Er SMS-beskeder HIPAA-kompatible?
Tekstbeskeder (som en teknologi) er ikke HIPAA-kompatible. HIPAA forbyder dog ikke dig og dit lægekontor at sende sms-beskeder (f.eks. påmindelser om aftaler) til patienter.
Du skal blot være opmærksom på nogle specifikke regler og bedste praksis, før du begynder at sende sms-beskeder.
For at sende sms-beskeder til patienter:
-
Beskederne må ikke indeholde personlige helbredsoplysninger (PHI)
-
Patienterne skal vælge at acceptere at sende beskeder
COVID 19 UPDATE: Den 17. marts 2020 udsendte det amerikanske sundhedsministerium (HHS) en erklæring som svar på COVID 19 om HIPAA-håndhævelsesbeføjelser for udbydere af sundhedsydelser. Erklæringen giver større skønsbeføjelser og fleksibilitet til udbydere af sundhedsydelser, der hver dag betjener og kontakter patienter via kommunikationsteknologier.
Læs mere: Erklæring fra US Department of Health and Human Services
Disclaimer: Bemærk venligst, at vores råd kun er til oplysningsformål. Det er ikke ment som erstatning for rådgivning fra kvalificeret juridisk rådgiver.
Hvad er HIPAA? Hvad er personlige helbredsoplysninger (PHI)?
HIPAA står for Health Insurance Portability and Accountability Act (1996). HIPAA er en lov, der har til formål at beskytte beskyttede sundhedsoplysninger (PHI) og patienternes privatliv.
For at enhver meddelelsesteknologi kan være HIPAA-kompatibel, skal alle meddelelser vedrørende beskyttede sundhedsoplysninger (PHI) være krypteret. Tekster skal også opbevares sikkert, mens de er i transit, og ikke kun under afsendelse og modtagelse.
PHI udgør alle individuelt identificerbare sundhedsoplysninger. Alle identifikatorer eller oplysninger som fornavn, efternavn, fødselsdag eller adresse betragtes alle som PHI.
Suggested Article: Sammenfatning af HIPAA-sikkerhedsreglen
Hvorfor du skal sende HIPAA-kompatible sms-beskeder
Det er vigtigt at sende HIPAA-kompatible sms-beskeder, fordi sms-beskeder ikke er en sikker meddelelsesteknologi.
Teleselskaberne gemmer alle sms’er, teksterne er ikke krypterede, og de fleste telefoner har ikke en stærk adgangskodebeskyttelse.
I en sms’s levetid går den gennem forskellige teleselskaber og bliver gemt på deres servere. Når en besked er “i hvile”, bliver dataene gemt lokalt på modtagerens telefon. Dette gør indholdet af en meddelelse sårbart på hvert enkelt opbevaringssted.
Dertil kommer, at mobile enheder også kan blive tabt eller stjålet. Dette udsætter PHI for identifikationstyveri.
HIPAA-overtrædelser er også en alvorlig sag. Sanktionerne for HIPAA-overtrædelser kan variere fra 100 $ til 50.000 $ pr. dag afhængigt af overtrædelsens grovhed.
Top 3 grunde til, at sms’er ikke er HIPAA-kompatible:
-
Teleselskaberne gemmer alle tekstbeskeder som data på en server
-
Tekstbeskeder (som teknologi) er ikke nativt krypteret
-
Password beskyttelse på normale telefoner og sms-apps er ikke sikker nok
Sådan sender du HIPAA-kompatible sms-beskeder
Sådan sender dit lægekontor sms-beskeder til patienter, skal du først have samtykke. Samtykke gælder både for transaktions- og reklamebeskeder. Du skal også sikre dig, at dine sms’er ikke indeholder beskyttede sundhedsoplysninger (PHI).
Samtykke til transaktions- og reklamebeskeder
Indhentning af samtykke er en generel bedste praksis for sms-beskeder og bare normal sms-etiquette. Det er også et sms-krav, som alle sundhedsorganisationer er underlagt i henhold til Telephone Consumer Protection Act (TCPA).
For at opnå samtykke skal du kende forskellen mellem transaktions- og salgsfremmende sms-beskeder til patientkommunikation.
Transaktions- vs. salgsfremmende beskeder
Transaktionsbeskeder giver et stiltiende samtykke. Disse tekster hjælper med at lette, afslutte eller bekræfte en tidligere aftalt transaktion eller et tidligere aftalt forretningsmæssigt forhold.
Har din patient allerede planlagt en aftale med dit kontor? Hvis ja, er deres samtykke stiltiende på grund af jeres allerede etablerede transaktionsforhold. Det er derfor i orden at sende påmindelser om aftaler.
Promotive meddelelser kræver udtrykkeligt samtykke. Dette er alle de andre sms’er, der ikke direkte involverer en allerede eksisterende transaktion eller relation af forretningsmæssig art.
Har din patient givet dig sit udtrykkelige samtykke (skriftligt eller mundtligt) til at modtage sms’er? Hvis ikke, så har du ikke tilladelse til at sende dem reklame-sms’er eller dele nogen medicinske oplysninger.
| Transaktionelle sms-beskeder (stiltiende samtykke) |
Promotionelle sms-beskeder (udtrykkeligt samtykke – skriftlig eller mundtlig) |
||
|---|---|---|---|
| Påmindelser om aftaler | Skemalægning af næste aftale | ||
| Påmindelser om kontrolundersøgelser | Reklame for nye tjenester eller produkter | ||
| No-show / påmindelser om glemte aftaler | Sundhedsplejetips | ||
| Påmindelser om at tjekke ind og være klar på værelset | Patienttilfredshedsundersøgelser og afstemninger |
Håndtering af til- og fravalg
Alle patienter har brug for en måde at til- og fravælge sms’er fra dit kontor på. Dette er en del af TCPA-retningslinjerne og bedste praksis.
Mange sms-platforme til erhvervslivet som MessageDesk har indbyggede systemer til administration af til- og fravalg. Du får en nem og brugervenlig måde at se, hvem der har og ikke har tilmeldt sig messaging.
Hvis dit kontor sender sms’er til en patient for første gang, sender MessageDesk automatisk en opt-out-besked. Denne besked fortæller patienten, hvordan han/hun kan fravælge sms’er ved at svare STOP.
Hvis en patient fravælger sms’er og skriver STOP, sættes en vagt på hans/hendes nummer. Dette forhindrer dig og dit kontor i at sende sms’er til patienten, indtil han/hun igen vælger at modtage sms’er.
Foreslået artikel: Administration af til- og fravalg med MesageDesk
HIPAA-kompatible sms-skabeloner
Det kan forbedre dit kontors tidsbestillingsflow, hvis du beder patienter om at bekræfte deres aftaler via sms. Du kan reducere antallet af udeblivelser, forebygge telefonfis og forbedre patienttilfredsheden.
Den eneste måde at holde dine sms’er HIPAA-kompatible på er dog aldrig at sende personlige sundhedsoplysninger.
Med hver af de følgende HIPAA-kompatible sms-skabeloner kan du se, at navn ikke er inkluderet. Heller ikke årsagen til aftalen, behandlingen eller praksisens speciale.
Skabelon til påmindelse om aftale-sms:
Du har en aftale med {{ OrganizationName }} den {{ Date }}. Svar “ja” for at bekræfte eller “nej” for at aflyse. Du er velkommen til at svare på denne tekst med spørgsmål. Når du ankommer, kan du komme ind eller svare på denne sms for at tjekke ind. Ring venligst til {{ OrganizationPhone }}, hvis du ikke modtager et svar.
Checket ind Skabelon for tekstbesked:
Tak! Vi har fået dig Tjekket ind. Vi giver dig besked, så snart dit værelse er klar.
No Show or Missed Appointment Text
Vi savnede dig i dag! Dette er {{ OrganizationName }}, der meddeler dig, at du missede din aftale med os den på . Ring venligst til os på {{ OrganizationPhone }} for at få en ny tid.
Kontoropdateringer og tilgængelighed Skabelon for tekstbesked
Vær opmærksom på, at parkeringspladserne til {{ OrganizationName }} i øjeblikket er begrænsede på grund af vejarbejde. Planlæg venligst i forvejen i overensstemmelse hermed. Vi beklager eventuelle ulejligheder.
COVID 19 Guidelines Text Message Template
Vis venligst vores COVID-19 Guidelines FØR din aftale.
Patientens samtykke til at inkludere PHI
Når du ikke inkluderer PHI i dine sms-beskeder, overholder du HIPAA-kravene. Patienter kan dog stadig modtage deres medicinske oplysninger via sms, hvis de ønsker det.
For at dette kan ske, skal de give dit kontor udtrykkeligt skriftligt samtykke. Dit kontor skal også dokumentere dette tydeligt og udtrykkeligt fortælle patienten, at sms-beskeder ikke er sikre.
Hvad gør en HIPAA-kompatibel tekst-app:
HIPAA-sikkerhedsreglerne tillader dig at sende patientoplysninger over åbne, elektroniske netværk. Dette kan kun ske, så længe alle personlige sundhedsoplysninger er tilstrækkeligt beskyttet.
For at beskytte sundhedsoplysninger skal en HIPAA-kompatibel tekst-app have følgende funktioner. HIPAA-kompatible sms-apps er også omfattet af HITECH-loven (Health Information Technology for Economic and Clinical Health).
-
Har avanceret adgangskodebeskyttelse for alle brugere (adgangskontrol)
-
Begræns adgangen til personlige sundhedsoplysninger for forskellige kontormedarbejdere (revisionskontrol)
-
Krypterer alle tekstbeskeder (kryptering)
-
Har en Business Associate Agreement (BAA)
Advanced Password Protection (Access Controls)
Det er ikke alle på dit kontor, der har brug for adgang til hele patientjournalen. Adgangskontrol (som f.eks. adgangskodebeskyttelse) giver dine medarbejdere kun adgang til det minimale antal PHI.
Medarbejdere, der udfører fakturering, har ikke brug for adgang til en patients medicinske oplysninger. Tilsvarende har en sygeplejerske ikke brug for adgang til en patients økonomiske oplysninger.
Adgangskontrol giver hver enkelt medarbejder unikke loginoplysninger og et bestemt adgangsniveau for at udføre deres arbejdsfunktion.
Begræns adgang til PHI (revisionskontrol)
Automatisk kontrol overvåger, hvem og hvornår og hvor længe der er adgang til patientoplysninger. Herved etableres normale adgangsmønstre, som kan tilskrives specifikke personer.
Auditkontroller er vigtige for at opdage uautoriseret adgang til PHI. For de fleste traditionelle sms-platforme er det ikke muligt at overvåge adgangen.
Krypterede sms-beskeder (kryptering)
Der findes ikke noget, der hedder sikker sms-besked. Der findes kun MERE sikre sms’er. Alligevel kræver HIPAA kryptering til sikring af PHI.
Kryptering er den stærkeste form for digital beskyttelse. Den konverterer data til en ulæselig form. For at se dem skal du bruge en dekrypteringsnøgle.
Sms’er giver ikke mulighed for kryptering på grund af den måde, som udbyderne håndterer tekster på. Sms’er (som en teknologi) kan ikke krypteres. Det betyder, at du ikke kan bruge sms’er til at overføre personlige sundhedsoplysninger.
Business Associate Agreement (BAA)
Som en del af din HIPAA-politik for sms-beskeder skal du have en underskrevet business associate agreement (BAA). En BAA specificerer “omfattede enheder” og de beskyttelser, der sikrer beskyttede sundhedsoplysninger. Den kræver også, at begge enheder er i overensstemmelse med HIPAA.
Og uden en underskrevet BAA kan du ikke bruge en sms-app til at sende PHI.
Suggested Article: Sådan vælger du den bedste sms-app til din virksomhed eller organisation
Sluttanker og næste skridt
Er du klar til at begynde at sende sms’er til dine patienter? MessageDesk er her for at hjælpe med smartere og enklere sms-beskeder til lægepraksis, tandlægepraksis og private praksis.
Besøg vores læringscenter for at få oplysninger om, hvordan du kommer i gang med MessageDesk. Du finder en hurtig startguide til sms-beskeder, en oversigt over funktioner og en forklaring på, hvad MessageDesk er.
Du vil også gerne tjekke vores liste over gratis SMS-skabeloner. Du skal blot kopiere og indsætte for at komme i gang med at sende sms’er.
Til sidst er du velkommen til at starte en gratis prøveperiode på 7 dage med MessageDesk med 50 gratis sms’er.