La messagerie textuelle SMS est-elle conforme à l’HIPAA ?
La messagerie textuelle (en tant que technologie) n’est pas conforme à l’HIPAA. Cependant, l’HIPAA n’interdit pas à vous et à votre cabinet médical d’envoyer des messages texte (comme des rappels de rendez-vous) aux patients.
Vous devez juste être conscient de certaines règles spécifiques et des meilleures pratiques avant de commencer à envoyer des textos.
Pour envoyer des messages texte aux patients :
-
Les messages ne peuvent pas contenir d’informations de santé personnelles (PHI)
-
Les patients doivent opter pour la messagerie
MISE À JOUR du CODE 19 : Le 17 mars 2020, le département américain de la santé et des services sociaux (HHS) a publié une déclaration en réponse à COVID 19 sur la discrétion d’application de l’HIPAA pour les fournisseurs de soins de santé. La déclaration donne plus de discrétion et de flexibilité aux prestataires de soins de santé qui servent et contactent les patients tous les jours par le biais des technologies de communication.
Lire la suite : Déclaration du ministère américain de la Santé et des Services sociaux
Disclaimer : Veuillez noter que nos conseils sont donnés à titre informatif uniquement. Ils ne sont pas destinés à remplacer les conseils d’un conseiller juridique qualifié.
Qu’est-ce que la loi HIPAA ? Qu’est-ce qu’une information de santé personnelle (PHI) ?
HIPAA est l’acronyme de Health Insurance Portability and Accountability Act (1996). L’HIPAA est une loi conçue pour assurer la sécurité des informations de santé protégées (PHI) et de la vie privée des patients.
Pour qu’une technologie de messagerie soit conforme à la HIPAA, tous les messages liés aux informations de santé protégées (PHI) doivent être cryptés. Les textes doivent également être stockés de manière sécurisée pendant leur transit, et pas seulement pendant l’envoi et la réception.
Les PHI constituent toutes les informations de santé identifiables individuellement. Tout identifiant ou information comme le prénom, le nom, la date de naissance ou l’adresse sont tous considérés comme des PHI.
Article suggéré : Résumé de la règle de sécurité HIPAA
Pourquoi vous devez envoyer des messages texte conformes à la HIPAA
L’envoi de messages texte conformes à la HIPAA est important parce que la messagerie texte n’est pas une technologie de messagerie sécurisée.
Les opérateurs de télécommunications stockent tous les messages texte, les textes ne sont pas cryptés et la plupart des téléphones n’ont pas de protection forte par mot de passe.
Dans la vie d’un message texte, il passe par divers opérateurs et est stocké sur leurs serveurs. Lorsqu’un message est « au repos », les données sont stockées localement sur le téléphone du destinataire. Cela rend le contenu d’un message vulnérable à chaque point de stockage.
En outre, les appareils mobiles peuvent également être perdus ou volés. Cela expose les PHI au vol d’identité.
Les violations de l’HIPAA sont également une affaire sérieuse. Les pénalités pour les violations de l’HIPAA peuvent aller de 100 à 50 000 dollars par jour en fonction de la gravité de la violation.
Les 3 principales raisons pour lesquelles les messages texte ne sont pas conformes à la HIPAA :
-
Les opérateurs télécoms stockent tous les messages texte en tant que données dans un serveur
-
Les messages texte (en tant que technologie) ne sont pas nativement cryptés
-
Mot de passe. protection sur les téléphones normaux et les applications de messagerie texte n’est pas assez sécurisé
Comment envoyer des messages texte conformes à la HIPAA
Pour que votre cabinet médical envoie des SMS aux patients, vous devez d’abord obtenir leur consentement. Le consentement s’applique à la fois aux messages transactionnels et promotionnels. Vous devez également vous assurer que vos messages texte ne contiennent pas d’informations de santé protégées (PHI).
Consentement pour les messages transactionnels et promotionnels
L’obtention du consentement est une meilleure pratique générale de messagerie texte et juste une étiquette normale de texto. C’est également une exigence en matière de textos à laquelle tous les organismes de soins de santé sont soumis en vertu de la Loi sur la protection des consommateurs de téléphone (TCPA).
Pour établir le consentement, vous devez connaître la différence entre les messages textuels transactionnels et promotionnels pour la communication avec les patients.
Messages transactionnels contre messages promotionnels
Les messages transactionnels établissent un consentement implicite. Ces textes contribuent à faciliter, compléter ou confirmer une transaction ou une relation de type commercial préalablement convenue.
Votre patient a-t-il déjà pris rendez-vous avec votre cabinet ? Si oui, alors son consentement est implicite en raison de votre relation transactionnelle déjà établie. Cela rend acceptable l’envoi de rappels de rendez-vous par texto.
Les messages promotionnels nécessitent un consentement explicite. Ce sont tous les autres textes qui n’impliquent pas directement une transaction ou une relation de type commercial déjà existante.
Votre patient vous a-t-il donné son consentement exprès (écrit ou verbal) pour recevoir des textos ? Si ce n’est pas le cas, alors vous n’avez pas l’autorisation de leur envoyer des textos promotionnels ou de partager des informations médicales.
Messages textuels transactionnels (consentement implicite) |
Messages textuels promotionnels (consentement explicite -. écrit ou verbal) |
|
---|---|---|
Rappels de rendez-vous | Prévocation du prochain rendez-vous | |
Rappels de contrôle | Publicité de nouveaux services ou produits | |
Rappels de rendez-vous manqués | Non.show / rendez-vous manqué | Conseils sur les soins de santé |
Rappels d’enregistrement et de préparation de la chambre | Enquêtes et sondages sur la satisfaction des patients |
Gestion de l’opt-in et de l’opt-out
Tous les patients ont besoin d’un moyen d’accepter et de refuser les messages texte de votre cabinet. Cela fait partie des directives et des meilleures pratiques de la TCPA.
Plusieurs plateformes de messagerie texte d’entreprise comme MessageDesk ont des systèmes intégrés de gestion de l’opt-in et de l’opt-out. Vous obtenez un moyen facile et convivial de voir qui a et n’a pas opté pour la messagerie.
Si votre cabinet envoie un SMS à un patient pour la première fois, MessageDesk enverra automatiquement un message d’opt-out. Ce message indique au patient comment se désinscrire des messages texte en répondant, STOP.
Si un patient se désinscrit et envoie un message STOP, une garde est placée sur son numéro. Cela vous empêche, vous et votre bureau, d’envoyer des textos au patient jusqu’à ce qu’il accepte de nouveau la messagerie.
Article suggéré : Gérer l’opt-in et l’opt-out avec MesageDesk
Modèles de messages texte conformes à la loi HPAA
Demander aux patients de confirmer leurs rendez-vous par texto peut améliorer le flux de prise de rendez-vous de votre cabinet. Vous pouvez réduire le nombre de non-présentations, empêcher les appels téléphoniques et améliorer la satisfaction des patients.
Cependant, la seule façon de garder vos textos conformes à la HIPAA est de ne jamais envoyer de renseignements personnels sur la santé.
Avec chacun des modèles de messages texte conformes à la HIPAA suivants, vous verrez que le nom n’est pas inclus. Les raisons du rendez-vous, le traitement ou la spécialité du cabinet ne le sont pas non plus.
Modèle de message texte de rappel de rendez-vous:
Vous avez un rendez-vous avec {{ Nom de l’organisation }} le {{ Date }}. Répondez « oui » pour confirmer ou « non » pour annuler. N’hésitez pas à répondre à ce texte pour poser des questions. À votre arrivée, vous pouvez vous présenter ou répondre à ce message pour vous enregistrer. Veuillez appeler {{ OrganizationPhone }} si vous ne recevez pas de réponse.
Message textuel d’enregistrement:
Merci ! Nous vous avons enregistré. Nous vous ferons savoir dès que votre chambre sera prête.
Message de non-présentation ou de rendez-vous manqué
Vous nous avez manqué aujourd’hui ! Ceci est {{ OrganizationName }} vous informant que vous avez manqué votre rendez-vous avec nous le à . Veuillez nous appeler au {{ Téléphone de l’organisation }} pour le reporter.
Mises à jour du bureau et disponibilité Modèle de message texte
Veuillez noter que le stationnement de {{ Nom de l’organisation }} est actuellement limité en raison de travaux routiers. Veuillez vous organiser en conséquence. Nous nous excusons pour tout inconvénient.
Modèle de message texte COVID 19
Veuillez consulter nos directives COVID-19 AVANT votre rendez-vous.
Consentement du patient à inclure des PHI
Ne pas inclure de PHI dans vos messages textuels vous permet de rester conforme à la HIPAA. Cependant, les patients peuvent toujours recevoir leurs informations médicales par texto s’ils le souhaitent.
Pour cela, ils doivent donner à votre bureau un consentement écrit exprès. Votre bureau devra également documenter cela clairement et dire explicitement au patient que la messagerie texte n’est pas sécurisée.
Qu’est-ce qui fait une application texte conforme à l’HIPAA :
Les règles de sécurité de l’HIPAA vous permettent effectivement d’envoyer des informations sur les patients sur des réseaux électroniques ouverts. Cela ne peut se faire que dans la mesure où toutes les informations de santé personnelles sont protégées de manière adéquate.
Pour protéger les informations de santé, une application textuelle conforme à la HIPAA aura les caractéristiques suivantes . Les applis de messagerie texte conformes à la HIPAA sont également soumises à la loi sur les technologies de l’information sur la santé pour la santé économique et clinique (HITECH).
-
Disposer d’une protection avancée par mot de passe pour tous les utilisateurs (contrôles d’accès)
-
Limiter l’accès aux informations de santé personnelles pour divers membres du personnel du bureau (contrôles d’audit)
-
Encrypter tous les messages texte (cryptage)
-
Avoir un accord d’associé commercial (BAA)
Protection avancée par mot de passe (contrôles d’accès)
Tout le monde dans votre bureau n’a pas besoin d’accéder aux dossiers complets des patients. Les contrôles d’accès (comme la protection par mot de passe) permettent à vos employés de n’accéder qu’au minimum de PHI.
Les employés chargés de la facturation n’ont pas besoin d’accéder aux informations médicales d’un patient. De même, une infirmière n’a pas besoin d’accéder aux informations financières d’un patient.
Les contrôles d’accès donnent à chaque employé des identifiants de connexion uniques et un niveau d’accès désigné pour effectuer sa fonction professionnelle.
Limiter l’accès aux RPS (contrôles d’audit)
Les contrôles d’audit surveillent qui et quand et pendant combien de temps les informations sur les patients sont consultées. Cela établit des modèles d’accès normaux qui peuvent être attribués à des personnes spécifiques.
Les contrôles d’audit sont importants pour détecter les accès non autorisés aux RPS. Pour la plupart des plateformes de texto traditionnelles, la surveillance de l’accès n’est pas possible.
Messages textuels chiffrés (chiffrement)
Il n’existe pas de messagerie textuelle sécurisée. Il n’y a que des messages texte PLUS sécurisés. Pourtant, l’HIPAA rend obligatoire le cryptage pour sécuriser les PHI.
Le cryptage est la forme la plus forte de protection numérique. Il convertit les données en une forme illisible. Pour les visualiser, vous avez besoin d’une clé de décryptage.
Encore, les textos ne permettent pas le cryptage en raison de la façon dont les transporteurs traitent les textes. Les textos (en tant que technologie) ne peuvent pas être cryptés. Cela signifie que vous ne pouvez pas utiliser les textos pour transmettre des informations de santé personnelles.
Accord d’associé commercial (BAA)
Dans le cadre de votre politique de messagerie texte HIPAA, vous devez signer un accord d’associé commercial (BAA). Un BAA spécifie les « entités couvertes » et les protections qui sécurisent les informations de santé protégées. Il impose également que les deux entités soient en conformité avec la loi HIPAA.
Sans BAA signé, vous ne pouvez pas utiliser une application de messagerie texte pour envoyer des PHI.
Article suggéré : Comment choisir la meilleure application de texto pour votre entreprise ou votre organisation
Pensées finales et prochaines étapes
Prêts à commencer à envoyer des textos à vos patients ? MessageDesk est là pour vous aider avec une messagerie texte plus intelligente et plus simple pour les cabinets médicaux, les cabinets dentaires et les cabinets privés.
Visitez notre centre d’apprentissage pour savoir comment démarrer avec MessageDesk. Vous y trouverez un guide de démarrage rapide des textos, un aperçu des fonctionnalités et une explication de ce qu’est MessageDesk.
Vous voudrez également consulter notre liste de modèles de SMS gratuits. Il suffit de copier et de coller pour commencer à envoyer des textos.
Enfin, n’hésitez pas à lancer une période d’essai gratuite de 7 jours de MessageDesk avec 50 textos gratuits.