Molti operatori sanitari preferiscono utilizzare i messaggi di testo per comunicare tra loro e con i loro pazienti su dispositivi mobili personali perché è veloce, facile e conveniente. Tuttavia, se i messaggi di testo contengono informazioni sanitarie protette (PHI) di un paziente, il messaggio di testo deve essere conforme alle norme e alle best practice HIPAA (Health Insurance Portability and Accountability Act) per prevenire il furto di identità e le violazioni dei dati.
Norme HIPAA forniscono regolamenti per contribuire a garantire la privacy e la sicurezza dei dati sanitari compresi i dati in movimento o trasmissione (come SMS). Aiutano anche a prevenire eventuali violazioni che potrebbero compromettere le informazioni sensibili del paziente. Secondo la regola di sicurezza HIPAA, una violazione è un’acquisizione, accesso, uso o divulgazione di PHI da parte di un individuo non autorizzato.
Uno dei modi in cui le organizzazioni sanitarie possono far rispettare la conformità HIPAA tramite sms è garantire che tutti i dipendenti, gli affiliati, i medici e gli appaltatori e fornitori di terze parti conoscano e applichino le linee guida HIPAA per stabilire garanzie tecniche per proteggere il PHI. Ciò è particolarmente importante per gli operatori sanitari che inviano e ricevono messaggi di testo su qualsiasi dispositivo mobile.
Di seguito sono riportate cinque regole HIPAA relative ai messaggi di testo che ti aiuteranno a capire come gestire in modo sicuro le informazioni sanitarie mentre raccogli i vantaggi di una soluzione di messaggistica sicura.
Le regole HIPAA relative agli SMS
Stabiliscono procedure e criteri per gestire chi è autorizzato ad accedere a PHI durante gli sms.
HIPAA richiede che le organizzazioni sanitarie e i soci in affari gestiscano in modo sicuro chi ha il privilegio e / o il diritto di accedere, modificare o distribuire dati sanitari sensibili. L’accesso al PHI dovrebbe essere limitato alla sola quantità di informazioni necessarie per svolgere un lavoro.
Spetta a ciascuna entità coperta determinare quale tipo di controlli di accesso, software e sistemi utilizzano per gestire l’accesso autorizzato a PHI in relazione al software di messaggistica di testo. Tuttavia, la regola di sicurezza HIPAA richiede le seguenti misure di sicurezza per garantire la conformità HIPAA:
ID utente univoci: PHI deve essere accessibile da qualcuno con un nome di identificazione utente univoco o un numero che può essere monitorato. Ciò consente alle entità coperte di ritenere gli utenti autorizzati responsabili della loro attività durante l’accesso a un sistema contenente PHI. I programmi di messaggistica di testo sicuri richiedono agli utenti autorizzati di utilizzare un ID univoco per accedere, inviare e ricevere qualsiasi testo conforme HIPAA.
Procedure di accesso di emergenza: in caso di emergenza, le entità coperte devono disporre di flussi di lavoro operativi per accedere a PHI. Questi dovrebbero prendere in considerazione che tipo di emergenze possono richiedere l’accesso urgente e che dovrebbero essere concessi i diritti di accesso PHI in scenari di emergenza.
Disconnessione automatica: Qualsiasi software contenente o integrato con PHI, inclusa una piattaforma di messaggistica di testo sicura, deve disconnettere automaticamente gli utenti dopo un tempo predeterminato di inattività. Ciò garantisce che nessuno che non sia autorizzato possa accedere a PHI tramite messaggi di testo sul dispositivo di qualcun altro mentre è ancora aperto.
Crittografia dei messaggi: per impedire l’accesso non autorizzato a PHI (o messaggi di testo), i messaggi di testo sicuri devono essere crittografati. Ciò lo rende illeggibile da chiunque non abbia ricevuto il permesso di accedervi, specialmente se un dispositivo viene rubato o perso. Quando si invia un messaggio PHI in modo sicuro a un altro utente della stessa organizzazione da un dispositivo mobile o da un computer organizzativo, sia il mittente che il destinatario devono soddisfare i requisiti di crittografia per un messaggio contenente PHI in transito e a riposo.
Implementare controlli di audit e reporting per gli sms conformi HIPAA.
La regola di sicurezza HIPAA richiede che le entità coperte e i loro collaboratori implementino controlli di audit completi e procedure di reporting per documentare e rivedere le attività relative all’uso di PHI. Ciò consente loro di analizzare, identificare e mitigare eventuali rischi che possono emergere nell’infrastruttura tecnica e nella sicurezza del software della tecnologia correlata al PHI. La regola HIPAA si applica a qualsiasi piattaforma di messaggistica di testo sicura che invia messaggi, memorizza o gestisce informazioni sanitarie protette su computer aziendali o personali, inclusi i dispositivi mobili. Spetta all’entità coperta determinare quali controlli di audit sono ragionevoli e appropriati per proteggere i dati dei pazienti durante la messaggistica.
Assicurarsi che il PHI non venga modificato o distrutto in modo improprio durante gli sms.
Mantenere l’integrità delle informazioni sanitarie sensibili è importante, motivo per cui HIPAA afferma che il PHI non deve essere “alterato o distrutto in modo non autorizzato”. Se le informazioni del paziente vengono modificate accidentalmente o intenzionalmente da un errore umano o da un errore del sistema informativo, l’integrità dei dati viene compromessa.
La regola di sicurezza HIPAA richiede alle entità coperte di stabilire misure di sicurezza per garantire l’integrità del PHI attraverso processi o funzioni di sicurezza. Per quanto riguarda gli sms conformi a secure HIPAA, ci devono essere garanzie tecniche in atto per verificare che l’integrità dei dati non sia a rischio di essere compromessa quando viene distribuita tramite messaggistica sicura.
Fornire una prova di identità prima di inviare e ricevere messaggi.
In conformità con HIPAA, tutti gli utenti che accedono a PHI devono essere in grado di dimostrare di essere chi dicono di essere autenticando la propria identità. Un programma di messaggistica di testo sicuro può rispettare questa regola richiedendo agli utenti di accedere con qualcosa di unico per loro. Un utente viene autenticato quando le credenziali univoche corrispondono a ciò che è memorizzato nel sistema. Metodi di autenticazione in conformità HIPAA può includere un:
- Password o il pin
- Smart card, chiave, o token
- identificatori Biometrici, come le impronte digitali, riconoscimento facciale, o modello vocale
Per i professionisti sanitari, che sono l’invio e la ricezione di HIPAA compliant messaggi di testo dai loro dispositivi mobili, devono utilizzare un qualche tipo di credenziali di autenticazione che sono chi dicono di essere.
Guardia contro l’accesso non autorizzato di PHI durante la trasmissione.
Infine, quando si tratta di regole HIPAA e messaggistica sicura, è importante stabilire misure di privacy e sicurezza che impediscano l’accesso non autorizzato a PHI da qualsiasi dispositivo mobile mentre viene trasmesso elettronicamente per gli sms. Per la conformità quando si invia un SMS sicuro, le entità coperte devono soddisfare le seguenti due specifiche:
Proteggere l’integrità del PHI durante la trasmissione. Simile alla regola di sicurezza HIPAA per garantire che il PHI rimanga invariato o distrutto da utenti non autorizzati durante l’archiviazione o l’accesso, le entità coperte devono garantire che “i dati inviati siano gli stessi dei dati ricevuti”. Un modo entità coperte garantire l’integrità dei dati durante la trasmissione quando i messaggi vengono inviati, è stabilendo protocolli di comunicazione di rete.
Crittografare PHI durante la trasmissione. E, come le raccomandazioni HIPAA per ridurre al minimo l’accesso non autorizzato al PHI memorizzato, le entità coperte dovrebbero garantire che il PHI sia crittografato quando viene inviato su Internet. Poiché secure texting si basa su una connessione Internet per inviare e ricevere messaggi, HIPAA richiede alle entità di utilizzare la crittografia e altre garanzie ragionevoli per garantire che i dati siano codificati o illeggibili a qualsiasi utente non autorizzato. Spetta a ciascuna entità determinare come utilizzano la crittografia valutando come e quando il PHI viene trasmesso tramite sms, nonché il livello di rischio coinvolto.
Quando si comunicano informazioni sui pazienti tramite SMS sicuri su dispositivi mobili personali, è indispensabile seguire le linee guida HIPAA per prevenire violazioni della sicurezza. Rispettando le regole HIPAA, le organizzazioni sanitarie e i professionisti possono garantire la sicurezza e la sicurezza della loro pratica, offrendo ai pazienti la comodità di una comunicazione senza interruzioni con i loro fornitori.