Ist SMS-Textnachrichten HIPAA-konform?
Textnachrichten (als Technologie) sind nicht HIPAA-konform. Der HIPAA verbietet es Ihnen und Ihrer Arztpraxis jedoch nicht, Textnachrichten (z. B. Terminerinnerungen) an Patienten zu senden.
Sie müssen sich nur einiger spezifischer Regeln und bewährter Verfahren bewusst sein, bevor Sie mit dem Versand von Textnachrichten beginnen.
Um Textnachrichten an Patienten zu senden:
-
Nachrichten dürfen keine persönlichen Gesundheitsinformationen (PHI) enthalten
-
Patienten müssen sich für die Nachrichtenübermittlung entscheiden
COVID 19 UPDATE: Am 17. März 2020 veröffentlichte das US Department of Health and Human Services (HHS) eine Stellungnahme zu COVID 19 über den Ermessensspielraum bei der Durchsetzung des HIPAA für Gesundheitsdienstleister. Die Erklärung gibt Gesundheitsdienstleistern, die tagtäglich Patienten mit Hilfe von Kommunikationstechnologien betreuen und mit ihnen in Kontakt treten, einen größeren Ermessensspielraum und mehr Flexibilität.
Weiterlesen: Statement from the US Department of Health and Human Services
Haftungsausschluss: Bitte beachten Sie, dass unsere Ratschläge nur zu Informationszwecken dienen. Er ersetzt nicht die Beratung durch einen qualifizierten Rechtsbeistand.
Was ist HIPAA? Was sind persönliche Gesundheitsinformationen (PHI)?
HIPAA steht für den Health Insurance Portability and Accountability Act (1996). HIPAA ist ein Gesetz zum Schutz von geschützten Gesundheitsinformationen (PHI) und der Privatsphäre von Patienten.
Damit eine Nachrichtentechnologie HIPAA-konform ist, müssen alle Nachrichten, die geschützte Gesundheitsinformationen betreffen, verschlüsselt werden. Texte müssen auch während der Übertragung sicher gespeichert werden, nicht nur beim Senden und Empfangen.
PHI sind alle individuell identifizierbaren Gesundheitsinformationen. Alle Identifikatoren oder Informationen wie Vorname, Nachname, Geburtstag oder Adresse gelten als PHI.
Vorgeschlagener Artikel: Zusammenfassung der HIPAA-Sicherheitsregel
Warum Sie HIPAA-konforme Textnachrichten senden müssen
Das Senden von HIPAA-konformen Textnachrichten ist wichtig, weil Textnachrichten keine sichere Nachrichtentechnologie sind.
Die Telekommunikationsanbieter speichern alle Textnachrichten, die Texte sind nicht verschlüsselt und die meisten Telefone haben keinen starken Passwortschutz.
Im Laufe einer Textnachricht durchläuft sie verschiedene Anbieter und wird auf deren Servern gespeichert. Wenn eine Nachricht „in Ruhe“ ist, werden die Daten lokal auf dem Telefon des Empfängers gespeichert. Dies macht den Inhalt einer Nachricht an jedem Speicherpunkt angreifbar.
Außerdem können mobile Geräte auch verloren gehen oder gestohlen werden. Dadurch sind PHI dem Identitätsdiebstahl ausgesetzt.
HIPAA-Verstöße sind ebenfalls eine ernste Angelegenheit. Die Strafen für HIPAA-Verstöße können je nach Schwere des Verstoßes zwischen 100 und 50.000 Dollar pro Tag liegen.
Die 3 wichtigsten Gründe, warum Textnachrichten nicht HIPAA-konform sind:
-
Telekommunikationsanbieter speichern alle Textnachrichten als Daten auf einem Server
-
Textnachrichten (als Technologie) sind nicht nativ verschlüsselt
-
Passwort Schutz auf normalen Telefonen und Textnachrichten-Apps ist nicht sicher genug
Wie man HIPAA-konforme Textnachrichten versendet
Damit Ihre Arztpraxis Patienten eine SMS schicken kann, benötigen Sie zunächst eine Zustimmung. Die Zustimmung gilt sowohl für Transaktions- als auch für Werbenachrichten. Außerdem müssen Sie sicherstellen, dass Ihre Textnachrichten keine geschützten Gesundheitsinformationen enthalten.
Zustimmung für Transaktions- und Werbenachrichten
Die Einholung der Zustimmung ist eine allgemeine bewährte Praxis für Textnachrichten und eine ganz normale Texting-Etikette. Es ist auch eine Vorschrift, der alle Organisationen des Gesundheitswesens gemäß dem Telephone Consumer Protection Act (TCPA) unterliegen.
Um eine Zustimmung zu erhalten, müssen Sie den Unterschied zwischen transaktionalen und werblichen Textnachrichten für die Patientenkommunikation kennen.
Transaktionale Nachrichten vs. Werbetexte
Transaktionale Nachrichten begründen eine stillschweigende Zustimmung. Diese Texte tragen dazu bei, eine zuvor vereinbarte geschäftliche Transaktion oder Beziehung zu erleichtern, abzuschließen oder zu bestätigen.
Hat Ihr Patient bereits einen Termin in Ihrer Praxis vereinbart? Wenn ja, dann ist sein Einverständnis aufgrund der bereits bestehenden Geschäftsbeziehung implizit. Daher ist es in Ordnung, per SMS an Termine zu erinnern.
Werbetexte erfordern eine ausdrückliche Zustimmung. Dies sind alle anderen Texte, die nicht direkt mit einer bereits bestehenden geschäftlichen Transaktion oder Beziehung zu tun haben.
Hat Ihr Patient Ihnen seine ausdrückliche Zustimmung (schriftlich oder mündlich) zum Erhalt von SMS gegeben? Wenn nicht, dann haben Sie keine Erlaubnis, ihnen Werbetexte zu schicken oder medizinische Informationen weiterzugeben.
| Transaktionelle Textnachrichten (stillschweigende Zustimmung) |
Werbetextnachrichten (ausdrückliche Zustimmung – schriftlich oder mündlich) |
|---|---|
| Terminerinnerungen | Nächsten Termin vereinbaren |
| Kontrollerinnerungen | Werbung für neue Dienstleistungen oder Produkte |
| No-Erinnerungen an verpasste Termine | Gesundheitstipps |
| Erinnerungen an das Einchecken und die Bereitschaft für die Sprechstunde | Patientenzufriedenheitsumfragen und -befragungen |
Opt-In- und Opt-Out-Management
Alle Patienten benötigen eine Möglichkeit, sich für oder gegen Textnachrichten aus Ihrer Praxis zu entscheiden. Dies ist Teil der TCPA-Richtlinien und Best Practices.
Viele SMS-Plattformen für Unternehmen wie MessageDesk verfügen über integrierte Opt-In- und Opt-Out-Managementsysteme. So können Sie auf einfache und benutzerfreundliche Weise feststellen, wer sich für den Versand von Nachrichten entschieden hat und wer nicht.
Wenn Ihre Praxis einem Patienten zum ersten Mal eine SMS schickt, sendet MessageDesk automatisch eine Opt-out-Nachricht. In dieser Nachricht wird der Patient darüber informiert, wie er sich von Textnachrichten abmelden kann, indem er mit STOPP antwortet.
Wenn ein Patient sich abmeldet und STOPP schreibt, wird seine Nummer mit einem Schutz versehen. Dies verhindert, dass Sie und Ihr Büro dem Patienten eine SMS schicken, bis er sich wieder für das Messaging entscheidet.
Vorgeschlagener Artikel: Verwaltung von Opt-in und Opt-out mit MesageDesk
HIPAA-konforme Textnachrichtenvorlagen
Wenn Sie Patienten bitten, ihre Termine per SMS zu bestätigen, kann das den Terminplanungsablauf in Ihrer Praxis verbessern. Sie können die Zahl der unentschuldigten Fehltermine verringern, Telefonanrufe verhindern und die Patientenzufriedenheit verbessern.
Die einzige Möglichkeit, Ihre Textnachrichten HIPAA-konform zu gestalten, besteht darin, niemals persönliche Gesundheitsdaten zu übermitteln.
In jeder der folgenden HIPAA-konformen Textnachrichtenvorlagen werden Sie sehen, dass der Name nicht enthalten ist. Auch der Grund für den Termin, die Behandlung oder das Fachgebiet der Praxis sind nicht enthalten.
Termin-Erinnerungs-Textnachrichtenvorlage:
Sie haben einen Termin bei {{ OrganisationName }} am {{ Datum }}. Antworten Sie mit „Ja“, um den Termin zu bestätigen oder mit „Nein“, um ihn abzusagen. Sie können gerne auf diesen Text mit Fragen antworten. Wenn Sie ankommen, können Sie vorbeikommen oder auf diese SMS antworten, um einzuchecken. Bitte rufen Sie {{ OrganizationPhone }} an, wenn Sie keine Antwort erhalten.
Eingecheckt Textnachricht Vorlage:
Danke! Wir haben Sie eingecheckt. Wir werden Sie benachrichtigen, sobald Ihr Zimmer fertig ist.
No Show or Missed Appointment Text
Wir haben Sie heute vermisst! Dies ist {{ OrganizationName }}, um Ihnen mitzuteilen, dass Sie Ihren Termin bei uns am verpasst haben. Bitte rufen Sie uns unter {{ OrganizationPhone }} an, um einen neuen Termin zu vereinbaren.
Büro-Updates und Verfügbarkeit Textnachrichtenvorlage
Bitte beachten Sie, dass die Parkmöglichkeiten für {{ OrganizationName }} derzeit aufgrund von Straßenarbeiten eingeschränkt sind. Bitte planen Sie entsprechend voraus. Wir entschuldigen uns für die Unannehmlichkeiten.
COVID 19 Richtlinien Textnachrichtenvorlage
Bitte lesen Sie unsere COVID-19 Richtlinien VOR Ihrem Termin.
Zustimmung des Patienten zur Aufnahme von PHI
Wenn Sie PHI nicht in Ihre Textnachrichten aufnehmen, bleiben Sie HIPAA-konform. Dennoch können Patienten ihre medizinischen Informationen per SMS erhalten, wenn sie dies wünschen.
Dazu müssen sie Ihrer Praxis eine ausdrückliche schriftliche Zustimmung erteilen. Ihr Büro muss dies auch klar dokumentieren und den Patienten ausdrücklich darauf hinweisen, dass Textnachrichten nicht sicher sind.
Was macht eine HIPAA-konforme Textanwendung aus:
Die HIPAA-Sicherheitsvorschriften erlauben es Ihnen, Patienteninformationen über offene elektronische Netzwerke zu versenden. Dies ist jedoch nur möglich, wenn alle persönlichen Gesundheitsdaten angemessen geschützt sind.
Um Gesundheitsdaten zu schützen, muss eine HIPAA-konforme Textnachrichten-App die folgenden Merkmale aufweisen. HIPAA-konforme Textnachrichten-Apps unterliegen auch dem Health Information Technology for Economic and Clinical Health (HITECH) Act.
-
Erweiterter Passwortschutz für alle Benutzer (Zugangskontrollen)
-
Zugang zu persönlichen Gesundheitsinformationen für verschiedene Mitarbeiter der Praxis einschränken (Prüfkontrollen)
-
Alle Textnachrichten verschlüsseln (Verschlüsselung)
-
Eine Vereinbarung mit Geschäftspartnern (Business Associate Agreement, BAA)
Erweiterter Passwortschutz (Zugangskontrollen)
Nicht jeder in Ihrer Praxis muss Zugang zu allen Patientenakten haben. Zugangskontrollen (wie Passwortschutz) ermöglichen Ihren Mitarbeitern nur den Zugriff auf das Minimum an PHI.
Mitarbeiter, die mit der Rechnungsstellung betraut sind, brauchen keinen Zugriff auf die medizinischen Daten eines Patienten. Ebenso braucht eine Krankenschwester keinen Zugang zu den Finanzdaten eines Patienten.
Zugangskontrollen geben jedem Mitarbeiter eindeutige Anmeldedaten und eine bestimmte Zugriffsstufe, um seine Aufgaben zu erfüllen.
Zugang zu PHI begrenzen (Audit-Kontrollen)
Audit-Kontrollen überwachen, wer, wann und wie lange auf Patientendaten zugreift. Dadurch werden normale Zugriffsmuster festgelegt, die bestimmten Personen zugeordnet werden können.
Audit-Kontrollen sind wichtig, um unbefugten Zugriff auf PHI zu erkennen. Bei den meisten herkömmlichen SMS-Plattformen ist eine Überwachung des Zugriffs nicht möglich.
Verschlüsselte Textnachrichten (Verschlüsselung)
So etwas wie sichere Textnachrichten gibt es nicht. Es gibt nur MEHR sichere Textnachrichten. Dennoch schreibt der HIPAA die Verschlüsselung zur Sicherung von PHI vor.
Die Verschlüsselung ist die stärkste Form des digitalen Schutzes. Sie wandelt Daten in eine unlesbare Form um. Um sie einzusehen, braucht man einen Entschlüsselungscode.
Auch bei Textnachrichten ist eine Verschlüsselung nicht möglich, weil die Betreiber die Texte so behandeln. Texting (als Technologie) kann nicht verschlüsselt werden. Das bedeutet, dass Sie keine Texte verwenden können, um persönliche Gesundheitsinformationen zu übermitteln.
Business Associate Agreement (BAA)
Als Teil Ihrer HIPAA-Textnachrichtenpolitik benötigen Sie ein unterzeichnetes Business Associate Agreement (BAA). In einer BAA werden die „betroffenen Einrichtungen“ und die Schutzmaßnahmen zum Schutz geschützter Gesundheitsdaten festgelegt. Es schreibt auch vor, dass beide Einrichtungen den HIPAA einhalten.
Ohne ein unterzeichnetes BAA können Sie eine SMS-App nicht zum Senden von PHI verwenden.
Artikelvorschlag: Wie Sie die beste Texting-App für Ihr Unternehmen oder Ihre Organisation auswählen
Abschließende Überlegungen und nächste Schritte
Sind Sie bereit, Ihren Patienten eine SMS zu schicken? MessageDesk unterstützt Sie mit intelligentem und einfachem Text-Messaging für Arztpraxen, Zahnarztpraxen und Privatpraxen.
In unserem Lernzentrum finden Sie Informationen zu den ersten Schritten mit MessageDesk. Dort finden Sie eine Kurzanleitung für den Einstieg in den SMS-Versand, einen Überblick über die Funktionen und eine Erklärung, was MessageDesk ist.
Sie sollten sich auch unsere Liste der kostenlosen SMS-Vorlagen ansehen. Kopieren Sie sie einfach und fügen Sie sie ein, um mit dem SMS-Versand zu beginnen.
Zu guter Letzt können Sie MessageDesk 7 Tage lang kostenlos testen und dabei 50 kostenlose Textnachrichten versenden.