De nombreux fournisseurs de soins de santé préfèrent utiliser la messagerie texte pour communiquer entre eux et avec leurs patients sur des appareils mobiles personnels, car elle est rapide, facile et pratique. Cependant, si la messagerie texte contient les informations de santé protégées (PHI) d’un patient, le message texte doit être conforme aux règles et aux meilleures pratiques de la Health Insurance Portability and Accountability Act (HIPAA) pour prévenir le vol d’identité et les violations de données.
Les règles HIPAA fournissent des réglementations pour aider à assurer la confidentialité et la sécurité des données de santé, y compris les données en mouvement ou en transmission (telles que les textos). Ils aident également à prévenir toute violation susceptible de compromettre les informations sensibles des patients. Selon la Règle de sécurité HIPAA, une violation est une acquisition, un accès, une utilisation ou une divulgation de renseignements personnels par une personne non autorisée.
L’une des façons dont les organisations de soins de santé peuvent appliquer la conformité HIPAA par textos consiste à s’assurer que tous les employés, affiliés, médecins et sous-traitants et fournisseurs tiers connaissent et appliquent les directives HIPAA pour établir des garanties techniques pour protéger les RPS. Ceci est particulièrement important pour les professionnels de la santé qui envoient et reçoivent des messages texte sur n’importe quel appareil mobile.
Voici cinq règles HIPAA relatives à la messagerie texte qui vous aideront à comprendre comment gérer en toute sécurité les informations sur la santé tout en profitant des avantages d’une solution de messagerie sécurisée.
Les règles HIPAA concernant les textos
Établissent des procédures et des politiques pour gérer qui est autorisé à accéder à PHI lors des textos.
La loi HIPAA exige que les organisations de soins de santé et leurs associés gèrent en toute sécurité qui a le privilège et/ou le droit d’accéder, de modifier ou de distribuer des données de santé sensibles. L’accès aux RPS devrait être limité à la quantité d’informations nécessaires à l’exécution d’un travail.
Il appartient à chaque entité couverte de déterminer le type de contrôles d’accès, de logiciels et de systèmes qu’elle utilise pour gérer l’accès autorisé aux RPS en ce qui concerne les logiciels de messagerie texte. Cependant, la règle de sécurité HIPAA exige les mesures de protection suivantes pour assurer la conformité HIPAA :
ID d’utilisateur uniques : une personne ayant un nom ou un numéro d’identification d’utilisateur unique pouvant être suivi doit accéder à PHI. Cela permet aux entités couvertes de tenir les utilisateurs autorisés responsables de leurs activités lorsqu’ils sont connectés à un système contenant des données de santé publique. Les programmes de messagerie texte sécurisés nécessitent que les utilisateurs autorisés utilisent un identifiant unique pour accéder, envoyer et recevoir tout texte conforme à la norme HIPAA.
Procédures d’accès d’urgence : En cas d’urgence, les entités couvertes doivent disposer de flux de travail opérationnels pour accéder à PHI. Ceux-ci devraient tenir compte du type d’urgence pouvant nécessiter un accès urgent et des personnes qui devraient se voir accorder le droit d’accéder aux RPS dans les scénarios d’urgence.
Déconnexion automatique: Tout logiciel contenant ou intégré à PHI, y compris une plate-forme de messagerie texte sécurisée, doit automatiquement déconnecter les utilisateurs après une période d’inactivité prédéterminée. Cela garantit que personne qui n’est pas autorisé ne peut accéder à PHI via des messages texte sur l’appareil de quelqu’un d’autre alors qu’il est encore ouvert.
Cryptage de la messagerie : Pour empêcher l’accès non autorisé aux messages texte (ou aux messages texte), la messagerie texte sécurisée doit être cryptée. Cela le rend illisible par toute personne qui n’a pas obtenu l’autorisation d’y accéder, en particulier si un appareil est volé ou perdu. Lorsque vous envoyez des messages de PHI en toute sécurité à un autre utilisateur de la même organisation à partir d’un appareil mobile ou d’un ordinateur de l’organisation, l’expéditeur et le destinataire doivent satisfaire aux exigences de cryptage pour un message contenant des PHI en transit et au repos.
Implémentez des contrôles d’audit et de reporting pour les textos conformes à la norme HIPAA.
La règle de sécurité HIPAA exige que les entités couvertes et leurs associés commerciaux mettent en œuvre des contrôles d’audit complets et des procédures de reporting pour documenter et examiner les activités liées à l’utilisation de PHI. Cela leur permet d’analyser, d’identifier et d’atténuer les risques pouvant apparaître dans l’infrastructure technique et la sécurité logicielle de la technologie liée aux PHI. La règle HIPAA s’applique à toute plate-forme de messagerie texte sécurisée qui envoie des messages, stocke ou gère des informations de santé protégées sur des ordinateurs personnels ou organisationnels, y compris des appareils mobiles. Il appartient à l’entité couverte de déterminer quels contrôles d’audit sont raisonnables et appropriés pour protéger les données des patients lors de la messagerie.
Assurez-vous que le PHI n’est pas modifié ou détruit de manière incorrecte pendant l’envoi de SMS.
Il est important de maintenir l’intégrité des informations sensibles sur la santé, c’est pourquoi la HIPAA stipule que les RPS ne doivent pas être » altérées ou détruites de manière non autorisée ”. Si les informations du patient sont modifiées accidentellement ou intentionnellement par une erreur humaine ou une défaillance du système d’information, l’intégrité des données est compromise.
La règle de sécurité HIPAA exige que les entités couvertes établissent des mesures de protection pour assurer l’intégrité des RPS par le biais de processus ou de fonctions de sécurité. En ce qui concerne les textos sécurisés conformes à la norme HIPAA, des mesures de protection techniques doivent être mises en place pour vérifier que l’intégrité des données ne risque pas d’être compromise lorsqu’elles sont distribuées via une messagerie sécurisée.
Fournir une preuve d’identité avant d’envoyer et de recevoir des messages.
Conformément à la loi HIPAA, tous les utilisateurs qui accèdent à PHI doivent pouvoir prouver qu’ils sont ce qu’ils disent être en authentifiant leur identité. Un programme de messagerie texte sécurisé peut se conformer à cette règle en obligeant les utilisateurs à se connecter avec quelque chose qui leur est unique. Un utilisateur est authentifié lorsque les informations d’identification uniques correspondent à ce qui est stocké dans le système. Les méthodes d’authentification conformes à HIPAA peuvent inclure :
- Mot de passe ou code pin
- Carte à puce, clé ou jeton
- Identifiants biométriques, tels qu’une empreinte digitale, une reconnaissance faciale ou un motif vocal
Pour les professionnels de la santé qui envoient et reçoivent des messages texte conformes à la norme HIPAA depuis leurs appareils mobiles, ils doivent utiliser une sorte d’identifiant pour authentifier qu’ils sont ce qu’ils disent être.
Garde contre l’accès non autorisé de PHI pendant la transmission.
Enfin, en ce qui concerne les règles HIPAA et la messagerie sécurisée, il est important d’établir des mesures de confidentialité et de sécurité qui empêchent l’accès non autorisé à PHI depuis n’importe quel appareil mobile pendant qu’il est transmis électroniquement pour envoyer des SMS. Pour assurer la conformité lors d’un envoi de SMS sécurisé, les entités couvertes doivent répondre aux deux spécifications suivantes :
Protéger l’intégrité des données de santé publique pendant la transmission. Semblable à la règle de sécurité HIPAA pour s’assurer que les données PHI restent inchangées ou détruites par des utilisateurs non autorisés pendant leur stockage ou leur accès, les entités couvertes doivent s’assurer que « les données envoyées sont les mêmes que les données reçues ”. Une façon pour les entités couvertes d’assurer l’intégrité des données lors de la transmission lorsque des messages sont envoyés consiste à établir des protocoles de communication réseau.
Chiffrez PHI pendant la transmission. Et, à l’instar des recommandations HIPAA pour minimiser l’accès non autorisé aux données PHI stockées, les entités couvertes doivent s’assurer que les données PHI sont cryptées lorsqu’elles sont envoyées sur Internet. Étant donné que les textos sécurisés reposent sur une connexion Internet pour envoyer et recevoir des messages, HIPAA exige que les entités utilisent le cryptage et d’autres mesures de protection raisonnables pour s’assurer que les données sont encodées ou illisibles pour tout utilisateur non autorisé. Il appartient à chaque entité de déterminer comment elle utilise le chiffrement en évaluant comment et quand la PHI est transmise par SMS, ainsi que le niveau de risque impliqué.
Lors de la communication d’informations sur les patients via des SMS sécurisés sur des appareils mobiles personnels, il est impératif de suivre les directives HIPAA pour éviter les failles de sécurité. En se conformant aux règles HIPAA, les organisations et les professionnels de la santé peuvent assurer la sûreté et la sécurité de leur pratique, tout en offrant aux patients la commodité d’une communication transparente avec leurs fournisseurs.