Viele Gesundheitsdienstleister bevorzugen die Verwendung von Textnachrichten, um auf persönlichen Mobilgeräten miteinander und mit ihren Patienten zu kommunizieren, da dies schnell, einfach und bequem ist. Wenn Textnachrichten jedoch die geschützten Gesundheitsinformationen (PHI) eines Patienten enthalten, muss die Textnachricht den Regeln und bewährten Verfahren des Health Insurance Portability and Accountability Act (HIPAA) entsprechen, um Identitätsdiebstahl und Datenschutzverletzungen zu verhindern. Die HIPAA-Regeln enthalten Vorschriften zur Gewährleistung der Privatsphäre und Sicherheit von Gesundheitsdaten, einschließlich Daten in Bewegung oder Übertragung (z. B. SMS). Sie tragen auch dazu bei, Verstöße zu verhindern, die vertrauliche Patientendaten gefährden könnten. Gemäß der HIPAA-Sicherheitsregel ist ein Verstoß ein Erwerb, Zugriff, Verwendung oder Offenlegung von PHI durch eine nicht autorisierte Person.Eine der Möglichkeiten, wie Gesundheitsorganisationen die HIPAA-Compliance durch SMS durchsetzen können, besteht darin, sicherzustellen, dass alle Mitarbeiter, verbundenen Unternehmen, Ärzte sowie Drittanbieter und Lieferanten die HIPAA-Richtlinien zur Einrichtung technischer Sicherheitsvorkehrungen zum Schutz von PHI kennen und anwenden. Dies ist besonders wichtig für Angehörige der Gesundheitsberufe, die Textnachrichten auf jedem mobilen Gerät senden und empfangen.Im Folgenden finden Sie fünf HIPAA-Regeln für Textnachrichten, die Ihnen helfen, zu verstehen, wie Sie Gesundheitsinformationen sicher verwalten und gleichzeitig die Vorteile einer sicheren Messaging-Lösung nutzen können.
HIPAA-Regeln für SMS
Legen Sie Verfahren und Richtlinien fest, um zu verwalten, wer berechtigt ist, beim Senden von SMS auf PHI zuzugreifen.
HIPAA verlangt, dass Gesundheitsorganisationen und Geschäftspartner sicher verwalten, wer das Privileg und / oder das Recht hat, auf sensible Gesundheitsdaten zuzugreifen, diese zu ändern oder zu verteilen. Der Zugang zu PHI sollte nur auf die Menge an Informationen beschränkt sein, die zur Ausführung eines Auftrags erforderlich sind.
Es liegt an jeder abgedeckten Entität zu bestimmen, welche Art von Zugriffskontrollen, Software und Systemen sie verwenden, um den autorisierten Zugriff auf PHI in Bezug auf SMS-Software zu verwalten. Die HIPAA-Sicherheitsregel erfordert jedoch die folgenden Sicherheitsmaßnahmen, um die HIPAA-Konformität sicherzustellen:
Eindeutige Benutzer-IDs: Auf PHI muss von jemandem mit einem eindeutigen Benutzernamen oder einer eindeutigen Nummer zugegriffen werden können, die nachverfolgt werden können. Auf diese Weise können abgedeckte Entitäten autorisierte Benutzer für ihre Aktivitäten zur Rechenschaft ziehen, während sie in einem System angemeldet sind, das PHI enthält. Für sichere Textnachrichtenprogramme müssen autorisierte Benutzer eine eindeutige ID verwenden, um auf HIPAA-konformen Text zuzugreifen, ihn zu senden und zu empfangen.
Notfall-Zugriffsverfahren: Im Notfall müssen die betroffenen Unternehmen über operative Workflows verfügen, um auf PHI zugreifen zu können. Diese sollten berücksichtigen, welche Art von Notfällen einen dringenden Zugang erfordern und wem in Notfallszenarien Zugriffsrechte auf PHI gewährt werden sollten.
Automatische Abmeldung: Jede Software, die PHI enthält oder in PHI integriert ist, einschließlich einer sicheren Textnachrichtenplattform, muss Benutzer nach einer vorgegebenen Zeit der Inaktivität automatisch abmelden. Dies stellt sicher, dass niemand, der nicht autorisiert ist, über Textnachrichten auf dem Gerät eines anderen auf PHI zugreifen kann, solange es noch geöffnet ist.Verschlüsselung von Nachrichten: Um unbefugten Zugriff auf PHI (oder Textnachrichten) zu verhindern, müssen sichere Textnachrichten verschlüsselt werden. Dies macht es für jeden unlesbar, der keine Zugriffsberechtigung erhalten hat, insbesondere wenn ein Gerät gestohlen wird oder verloren geht. Wenn Sie PHI sicher von einem Mobilgerät oder Organisationscomputer aus an einen anderen Benutzer in derselben Organisation senden, müssen sowohl der Absender als auch der Empfänger die Verschlüsselungsanforderungen für eine PHI-enthaltende Nachricht während der Übertragung und im Ruhezustand erfüllen.
Implementieren Sie Audit- und Reporting-Kontrollen für HIPAA-konforme SMS.
Die HIPAA-Sicherheitsregel verlangt, dass abgedeckte Unternehmen und ihre Geschäftspartner umfassende Prüfungskontrollen und Berichtsverfahren implementieren, um Aktivitäten im Zusammenhang mit der Verwendung von PHI zu dokumentieren und zu überprüfen. Auf diese Weise können sie alle Risiken analysieren, identifizieren und mindern, die in der technischen Infrastruktur und der Softwaresicherheit von PHI-bezogenen Technologien auftreten können. Die HIPAA-Regel gilt für jede sichere Textnachrichtenplattform, die Nachrichten sendet, speichert oder verwaltet geschützte Gesundheitsinformationen auf Unternehmens- oder PCS, einschließlich mobiler Geräte. Es liegt an der abgedeckten Einheit zu bestimmen, welche Audit-Kontrollen angemessen und angemessen sind, um Patientendaten während des Messaging zu schützen.
Stellen Sie sicher, dass PHI während der SMS nicht unsachgemäß geändert oder zerstört wird.
Die Aufrechterhaltung der Integrität sensibler Gesundheitsinformationen ist wichtig, weshalb HIPAA feststellt, dass PHI nicht „auf unbefugte Weise verändert oder zerstört“ werden darf. Wenn Patienteninformationen versehentlich oder absichtlich durch menschliches Versagen oder einen Ausfall des Informationssystems geändert werden, ist die Integrität der Daten gefährdet.
Die HIPAA-Sicherheitsregel verlangt von abgedeckten Unternehmen, Sicherheitsvorkehrungen zu treffen, um die Integrität von PHI durch Sicherheitsprozesse oder -funktionen zu gewährleisten. In Bezug auf sichere HIPAA-konforme SMS müssen technische Sicherheitsvorkehrungen getroffen werden, um sicherzustellen, dass die Datenintegrität nicht gefährdet ist, wenn sie über sicheres Messaging verteilt werden.
Stellen Sie vor dem Senden und Empfangen von Nachrichten einen Identitätsnachweis bereit.
In Übereinstimmung mit HIPAA müssen alle Benutzer, die auf PHI zugreifen, nachweisen können, dass sie der sind, der sie zu sein behaupten, indem sie ihre Identität authentifizieren. Ein sicheres Textnachrichtenprogramm kann dieser Regel entsprechen, indem Benutzer aufgefordert werden, sich mit etwas Einzigartigem anzumelden. Ein Benutzer wird authentifiziert, wenn die eindeutigen Anmeldeinformationen mit den im System gespeicherten übereinstimmen. HIPAA-konforme Authentifizierungsmethoden können Folgendes umfassen:
- Passwort oder PIN
- Smartcard, Schlüssel oder Token
- Biometrische Identifikatoren wie Fingerabdruck, Gesichtserkennung oder Sprachmuster
Für Angehörige der Gesundheitsberufe, die HIPAA-konforme Textnachrichten von ihren Mobilgeräten senden und empfangen, müssen sie eine Art Berechtigungsnachweis verwenden, um zu authentifizieren, dass sie die Person sind, für die sie sich ausgeben.
Schutz vor unbefugtem Zugriff von PHI während der Übertragung.
Wenn es schließlich um HIPAA-Regeln und sicheres Messaging geht, ist es wichtig, Datenschutz- und Sicherheitsmaßnahmen festzulegen, die den unbefugten Zugriff auf PHI von jedem mobilen Gerät aus verhindern, während es elektronisch für SMS übertragen wird. Für die Einhaltung beim sicheren Senden von SMS müssen abgedeckte Entitäten die folgenden zwei Spezifikationen erfüllen:
Schützen Sie die Integrität von PHI während der Übertragung. Ähnlich wie bei der HIPAA-Sicherheitsregel, um sicherzustellen, dass PHI während der Speicherung oder des Zugriffs durch nicht autorisierte Benutzer unverändert oder zerstört bleibt, müssen abgedeckte Entitäten sicherstellen, dass „die gesendeten Daten mit den empfangenen Daten übereinstimmen“. Eine Möglichkeit, die Datenintegrität während der Übertragung sicherzustellen, wenn Nachrichten gesendet werden, besteht darin, Netzwerkkommunikationsprotokolle einzurichten.
PHI während der Übertragung verschlüsseln. Und wie die HIPAA-Empfehlungen zur Minimierung des unbefugten Zugriffs auf gespeicherte PHI sollten abgedeckte Entitäten sicherstellen, dass PHI verschlüsselt werden, wenn sie über das Internet gesendet werden. Da Secure Texting zum Senden und Empfangen von Nachrichten auf eine Internetverbindung angewiesen ist, verlangt HIPAA, dass Entitäten Verschlüsselung und andere angemessene Sicherheitsvorkehrungen verwenden, um sicherzustellen, dass Daten für nicht autorisierte Benutzer verschlüsselt oder unlesbar sind. Es liegt an jeder Entität, zu bestimmen, wie sie die Verschlüsselung verwendet, indem sie bewertet, wie und wann PHI über SMS übertragen wird, sowie das damit verbundene Risiko.
Bei der Kommunikation von Patienteninformationen über sichere SMS auf persönlichen Mobilgeräten ist die Einhaltung der HIPAA-Richtlinien unerlässlich, um Sicherheitsverletzungen zu verhindern. Durch die Einhaltung der HIPAA-Regeln können Gesundheitsorganisationen und -fachkräfte die Sicherheit ihrer Praxis gewährleisten und den Patienten gleichzeitig den Komfort einer nahtlosen Kommunikation mit ihren Anbietern bieten.