wielu pracowników służby zdrowia woli używać wiadomości tekstowych do komunikowania się ze sobą i swoimi pacjentami na osobistych urządzeniach mobilnych, ponieważ jest to szybkie, łatwe i wygodne. Jeśli jednak wiadomości tekstowe zawierają chronione informacje zdrowotne pacjenta (PHI), wiadomość tekstowa musi być zgodna z przepisami i najlepszymi praktykami ustawy Health Insurance Portability and Accountability Act (HIPAA), aby zapobiec kradzieży tożsamości i naruszeniom danych.
Zasady HIPAA zapewniają regulacje, które pomagają zapewnić prywatność i bezpieczeństwo danych zdrowotnych, w tym danych w ruchu lub transmisji (takich jak SMS-y). Pomagają one również zapobiegać wszelkim naruszeniom, które mogłyby naruszyć wrażliwe informacje o pacjencie. Zgodnie z zasadą bezpieczeństwa HIPAA, naruszenie to nabycie, dostęp, wykorzystanie lub ujawnienie PHI przez nieupoważnioną osobę.
jednym ze sposobów, w jaki organizacje opieki zdrowotnej mogą egzekwować przestrzeganie przepisów HIPAA poprzez wysyłanie SMS-ów, jest zapewnienie, że wszyscy pracownicy, podmioty stowarzyszone, lekarze oraz zewnętrzni kontrahenci i dostawcy znają i stosują wytyczne HIPAA dotyczące ustanowienia technicznych zabezpieczeń ochrony PHI. Jest to szczególnie ważne dla pracowników służby zdrowia, którzy wysyłają i odbierają wiadomości tekstowe na dowolnym urządzeniu mobilnym.
poniżej znajduje się pięć zasad HIPAA dotyczących wiadomości tekstowych, które pomogą Ci zrozumieć, jak bezpiecznie zarządzać informacjami zdrowotnymi, jednocześnie czerpiąc korzyści z bezpiecznego rozwiązania do przesyłania wiadomości.
Zasady HIPAA dotyczące wysyłania SMS-ów
ustanawiają procedury i zasady zarządzania uprawnieniami do uzyskiwania dostępu do PHI podczas wysyłania SMS-ów.
HIPAA wymaga, aby organizacje opieki zdrowotnej i partnerzy biznesowi bezpiecznie zarządzali, kto ma przywilej i / lub prawo do dostępu, zmiany lub rozpowszechniania wrażliwych danych zdrowotnych. Dostęp do PHI powinien być ograniczony jedynie do ilości informacji niezbędnych do wykonywania pracy.
do każdego podmiotu objętego ochroną należy określenie, jakiego rodzaju kontroli dostępu, oprogramowania i systemów używają do zarządzania autoryzowanym dostępem do PHI w odniesieniu do oprogramowania do przesyłania wiadomości tekstowych. Jednak reguła bezpieczeństwa HIPAA wymaga następujących zabezpieczeń, aby zapewnić zgodność z HIPAA:
Unique User IDs: PHI musi być dostępne dla osoby z unikalną nazwą identyfikacyjną użytkownika lub numerem, który można śledzić. Dzięki temu podmioty objęte ochroną mogą pociągać uprawnionych użytkowników do odpowiedzialności za ich aktywność, gdy są zalogowani do systemu zawierającego PHI. Bezpieczne programy do przesyłania wiadomości tekstowych wymagają, aby upoważnieni użytkownicy używali unikalnego identyfikatora w celu uzyskiwania dostępu, wysyłania i odbierania dowolnego tekstu zgodnego z HIPAA.
procedury dostępu w sytuacjach awaryjnych: w przypadku sytuacji awaryjnej podmioty objęte ochroną muszą mieć operacyjne przepływy pracy, aby uzyskać dostęp do PHI. Powinny one uwzględniać, jakiego rodzaju sytuacje kryzysowe mogą wymagać pilnego dostępu i komu należy przyznać prawa dostępu do informacji poufnych w sytuacjach kryzysowych.
Automatyczne wylogowanie: Każde oprogramowanie zawierające lub zintegrowane z PHI, w tym bezpieczna platforma wiadomości tekstowych, musi automatycznie wylogowywać użytkowników po określonym czasie bezczynności. Dzięki temu nikt, kto jest nieautoryzowany, nie może uzyskać dostępu do PHI za pośrednictwem wiadomości tekstowych na cudzym urządzeniu, gdy jest ono nadal otwarte.
szyfrowanie wiadomości: aby zapobiec nieautoryzowanemu dostępowi do PHI (lub wiadomości tekstowych), bezpieczne wiadomości tekstowe muszą być szyfrowane. To sprawia, że jest nieczytelny dla każdego, kto nie otrzymał pozwolenia na dostęp do niego, zwłaszcza jeśli urządzenie zostanie skradzione lub zgubione. Podczas bezpiecznego wysyłania wiadomości PHI do innego użytkownika w tej samej organizacji z urządzenia mobilnego lub komputera organizacyjnego, zarówno nadawca, jak i odbiorca muszą spełniać wymagania dotyczące szyfrowania wiadomości zawierających PHI w trakcie przesyłania i w spoczynku.
wdrożenie kontroli audytu i raportowania dla SMS-ów zgodnych z HIPAA.
zasada bezpieczeństwa HIPAA wymaga, aby podmioty objęte ochroną i ich partnerzy biznesowi wdrażali kompleksowe kontrole audytu i procedury raportowania w celu udokumentowania i przeglądu działań związanych z korzystaniem z PHI. Pozwala to im analizować, identyfikować i ograniczać wszelkie zagrożenia, które mogą pojawić się w infrastrukturze technicznej i bezpieczeństwie oprogramowania technologii związanych z PHI. Reguła HIPAA ma zastosowanie do każdej bezpiecznej platformy wiadomości tekstowych, która wysyła wiadomości, przechowuje lub zarządza chronionymi informacjami zdrowotnymi na komputerach organizacyjnych lub osobistych, w tym urządzeniach mobilnych. Do podmiotu objętego ubezpieczeniem należy określenie, jakie kontrole audytu są rozsądne i właściwe w celu ochrony danych pacjentów podczas przesyłania wiadomości.
upewnij się, że PHI nie jest nieprawidłowo zmieniane lub niszczone podczas wysyłania SMS-ów.
zachowanie integralności wrażliwych informacji zdrowotnych jest ważne, dlatego HIPAA stwierdza, że PHI nie może być „zmieniane lub niszczone w nieautoryzowany sposób”. Jeśli informacje o pacjencie zostaną przypadkowo lub celowo zmienione przez błąd ludzki lub awarię systemu informacyjnego, integralność danych jest zagrożona.
reguła bezpieczeństwa HIPAA wymaga od podmiotów objętych ochroną ustanowienia zabezpieczeń w celu zapewnienia integralności PHI poprzez procesy lub funkcje bezpieczeństwa. Jeśli chodzi o bezpieczne wysyłanie SMS – ów zgodnych z HIPAA, muszą istnieć zabezpieczenia techniczne w celu sprawdzenia, czy integralność danych nie jest zagrożona naruszeniem, gdy są one rozpowszechniane za pośrednictwem bezpiecznych wiadomości.
przed wysłaniem i odebraniem wiadomości należy przedstawić dowód tożsamości.
zgodnie z HIPAA wszyscy użytkownicy, którzy uzyskują dostęp do PHI, muszą być w stanie udowodnić, że są tym, za kogo się podają, poprzez uwierzytelnienie swojej tożsamości. Bezpieczny program do przesyłania wiadomości tekstowych może spełnić tę zasadę, wymagając od użytkowników zalogowania się za pomocą czegoś unikalnego dla nich. Użytkownik jest uwierzytelniany, gdy unikalne poświadczenia pasują do tego, co jest przechowywane w systemie. Metody uwierzytelniania zgodne z HIPAA mogą obejmować:
- hasło lub pin
- karta inteligentna, klucz lub token
- identyfikatory biometryczne, takie jak odcisk palca, rozpoznawanie twarzy lub wzór głosu
dla pracowników służby zdrowia, którzy wysyłają i odbierają wiadomości tekstowe zgodne z HIPAA ze swoich urządzeń mobilnych, muszą użyć pewnego rodzaju poświadczenia, aby uwierzytelnić, że są tym, za kogo się podają.
Zabezpieczenie przed nieautoryzowanym dostępem PHI podczas transmisji.
wreszcie, jeśli chodzi o zasady HIPAA i bezpieczne przesyłanie wiadomości, ważne jest ustanowienie środków Prywatności i bezpieczeństwa, które zapobiegają nieautoryzowanemu dostępowi do PHI z dowolnego urządzenia mobilnego, podczas gdy jest on przesyłany elektronicznie w celu wysyłania wiadomości tekstowych. Aby zapewnić zgodność podczas bezpiecznego wysyłania SMS-ów, podmioty objęte ochroną muszą spełniać następujące dwie specyfikacje:
chronić integralność PHI podczas transmisji. Podobnie jak w przypadku zasady bezpieczeństwa HIPAA w celu zapewnienia, że PHI pozostanie niezmienione lub zniszczone przez nieupoważnionych użytkowników podczas przechowywania lub uzyskiwania do niego dostępu, podmioty objęte ochroną muszą zapewnić, że „wysyłane dane są takie same jak dane otrzymane”. Jednym ze sposobów zapewnienia integralności danych podczas transmisji podczas wysyłania wiadomości jest ustanowienie protokołów komunikacji sieciowej.
Szyfrowanie PHI podczas transmisji. Podobnie jak zalecenia HIPAA dotyczące minimalizacji nieautoryzowanego dostępu do przechowywanych danych PHI, podmioty objęte ochroną powinny zapewnić szyfrowanie danych PHI podczas przesyłania ich przez internet. Ponieważ bezpieczne wysyłanie i odbieranie wiadomości opiera się na połączeniu internetowym, HIPAA wymaga od podmiotów stosowania szyfrowania i innych uzasadnionych zabezpieczeń w celu zapewnienia, że dane są zakodowane lub nieczytelne dla każdego nieupoważnionego użytkownika. Każdy podmiot musi określić, w jaki sposób wykorzystuje szyfrowanie, oceniając, w jaki sposób i kiedy PHI jest przesyłane za pomocą SMS-ów, a także poziom związanego z tym ryzyka.
podczas przekazywania informacji o pacjencie za pośrednictwem bezpiecznych wiadomości tekstowych na osobistych urządzeniach mobilnych, przestrzeganie wytycznych HIPAA jest konieczne, aby zapobiec naruszeniom bezpieczeństwa. Przestrzegając przepisów HIPAA, organizacje medyczne i specjaliści mogą zapewnić bezpieczeństwo swojej praktyki, oferując jednocześnie pacjentom wygodę płynnej komunikacji ze swoimi świadczeniodawcami.