Är SMS-textmeddelanden HIPAA-kompatibla?
Txtmeddelanden (som teknik) är inte HIPAA-kompatibla. HIPAA förbjuder dock inte dig och din läkarmottagning att skicka textmeddelanden (t.ex. påminnelser om möten) till patienter.
Du måste bara vara medveten om vissa specifika regler och bästa praxis innan du börjar skicka textmeddelanden.
För att skicka textmeddelanden till patienter:
-
Meddelanden får inte innehålla personlig hälsoinformation (PHI)
-
Patienterna måste välja att godkänna meddelandehantering
COVID 19 UPDATE: Den 17 mars 2020 gjorde US Department of Health and Human Services (HHS) ett uttalande som svar på COVID 19 om HIPAA:s verkställighetsbefogenheter för vårdgivare. Uttalandet ger större handlingsutrymme och flexibilitet för vårdgivare som dagligen betjänar och kontaktar patienter genom kommunikationsteknik.
Läs mer: Uttalande från US Department of Health and Human Services
Disclaimer: Observera att våra råd endast är avsedda för informationsändamål. De är inte avsedda att ersätta råd från kvalificerade juridiska rådgivare.
Vad är HIPAA? Vad är personlig hälsoinformation (PHI)?
HIPAA står för Health Insurance Portability and Accountability Act (1996). HIPAA är en lag som är utformad för att skydda skyddad hälsoinformation (PHI) och patienternas privatliv.
För att en meddelandeteknik ska vara HIPAA-kompatibel måste alla meddelanden som rör skyddad hälsoinformation (PHI) krypteras. Texter måste också lagras på ett säkert sätt under transporten, inte bara under sändning och mottagning.
PHI utgörs av all individuellt identifierbar hälsoinformation. Alla identifierare eller information som förnamn, efternamn, födelsedag eller adress betraktas som PHI.
Föreslagen artikel: Sammanfattning av HIPAA Security Rule
Varför du måste skicka HIPAA-kompatibla textmeddelanden
Det är viktigt att skicka HIPAA-kompatibla textmeddelanden eftersom textmeddelanden inte är en säker meddelandeteknik.
Teleoperatörer lagrar alla textmeddelanden, texterna är inte krypterade och de flesta telefoner har inget starkt lösenordsskydd.
Under ett textmeddelandes livstid går det genom olika operatörer och lagras på deras servrar. När ett meddelande är ”i vila” lagras uppgifterna lokalt på mottagarens telefon. Detta gör innehållet i ett meddelande sårbart vid varje lagringspunkt.
Också mobila enheter kan förloras eller stjälas. Detta utsätter PHI för identitetsstöld.
HIPAA-överträdelser är också en allvarlig sak. Straffavgifterna för HIPAA-överträdelser kan variera från 100 till 50 000 dollar per dag beroende på hur allvarlig överträdelsen är.
De tre främsta skälen till att textmeddelanden inte är HIPAA-kompatibla:
-
Telefonoperatörer lagrar alla textmeddelanden som data på en server
-
Txtmeddelanden (som teknik) är inte naturligt krypterade
-
Lösenord. skydd på vanliga telefoner och appar för textmeddelanden är inte tillräckligt säkert
Hur man skickar HIPAA-kompatibla textmeddelanden
För att din läkarmottagning ska kunna skicka textmeddelanden till patienter, behöver du först ett samtycke. Samtycket gäller för både transaktionsmeddelanden och reklammeddelanden. Du måste också se till att dina textmeddelanden inte innehåller någon skyddad hälsoinformation (PHI).
Samtycke för transaktions- och reklammeddelanden
Att få samtycke är en allmän bästa praxis för textmeddelanden och bara normal sms-etikett. Det är också ett krav för textmeddelanden som alla hälso- och sjukvårdsorganisationer måste uppfylla enligt Telephone Consumer Protection Act (TCPA).
För att fastställa samtycke måste du känna till skillnaden mellan transaktions- och reklamtextmeddelanden för patientkommunikation.
Transaktions- vs. reklammeddelanden
Transaktionsmeddelanden fastställer ett underförstått samtycke. Dessa texter hjälper till att underlätta, slutföra eller bekräfta en tidigare överenskommen transaktion eller relation av affärstyp.
Har din patient redan bokat in en tid på din mottagning? Om ja, är deras samtycke underförstått på grund av ert redan etablerade transaktionsförhållande. Detta gör det okej att skicka påminnelser om möten.
Kampanjmeddelanden kräver uttryckligt samtycke. Detta är alla andra texter som inte direkt involverar en redan befintlig transaktion eller relation av affärstyp.
Har din patient gett dig sitt uttryckliga samtycke (skriftligt eller muntligt) till att ta emot SMS? Om inte har du inte tillåtelse att skicka reklamsamtal till dem eller dela med dig av medicinsk information.
| Transaktionella textmeddelanden (underförstått samtycke) |
Promotionella textmeddelanden (uttryckligt samtycke – skriftlig eller muntlig) |
|---|---|
| Påminnelser om möten | Skapa nästa möte |
| Påminnelser om kontroller | Påminnelser om nya tjänster eller produkter |
| Nopåminnelser om utebliven tid | Hälsotips |
| Påminnelser om att checka in och att rummet är klart | Patientnöjdhetsundersökningar och omröstningar |
Hantering av opt-in och opt-out
Alla patienter måste ha ett sätt att välja att ta del av och välja bort sms-meddelanden från din mottagning. Detta är en del av TCPA:s riktlinjer och bästa praxis.
Många plattformar för sms-meddelanden till företag som MessageDesk har inbyggda system för hantering av opt-in och opt-out. Du får ett enkelt och användarvänligt sätt att se vem som har och inte har valt att delta i meddelandehantering.
Om ditt kontor sms:ar till en patient för första gången skickar MessageDesk automatiskt ett opt-out-meddelande. Meddelandet talar om för patienten hur han eller hon kan avstå från textmeddelanden genom att svara STOP.
Om en patient avstår från att skicka textmeddelanden och sänder STOP placeras en bevakning på hans eller hennes nummer. Detta hindrar dig och ditt kontor från att skicka sms till patienten tills han eller hon väljer tillbaka till meddelandehantering.
Föreslagna artikel: HIPAA-kompatibla mallar för textmeddelanden
Att be patienterna bekräfta sina möten via textmeddelande kan förbättra flödet vid schemaläggning av möten på ditt kontor. Du kan minska antalet uteblivna besök, förhindra telefonköer och förbättra patienttillfredsställelsen.
Det enda sättet att hålla dina sms HIPAA-kompatibla är dock att aldrig sms:a personlig hälsoinformation.
Med var och en av följande HIPAA-kompatibla mallar för sms:er ser du att namn inte ingår. Inte heller skälen till mötet, behandlingen eller praktikens specialitet.
Mall för textmeddelande för påminnelse om möte:
Du har ett möte med {{ OrganizationName }} den {{ Date }}. Svara ”ja” för att bekräfta eller ”nej” för att avboka. Du är välkommen att svara på denna text med frågor. När du anländer kan du komma in eller svara på detta sms för att checka in. Ring {{ OrganizationPhone }} om du inte får något svar.
Checkade in Textmeddelande Mall för textmeddelande:
Tack! Du har checkat in. Vi meddelar dig så snart ditt rum är klart.
No Show or Missed Appointment Text
Vi saknade dig idag! Det här är {{ OrganizationName }} som meddelar dig att du missade ditt möte med oss den . Vänligen ring oss på {{ OrganizationPhone }} för att boka en ny tid.
Kontorets uppdateringar och tillgänglighet Textmeddelande Mall för textmeddelande
Vänligen observera att parkeringen för {{ OrganizationName }} för närvarande är begränsad på grund av vägarbete. Vänligen planera i förväg i enlighet med detta. Vi ber om ursäkt för eventuella olägenheter.
COVID 19 Guidelines Text Message Template
Se våra COVID-19 Guidelines INNAN ditt möte.
Patientens samtycke till att inkludera PHI
Att inte inkludera PHI i dina textmeddelanden gör att du följer HIPAA. Patienterna kan dock fortfarande få sin medicinska information via sms om de så önskar.
För att detta ska kunna ske måste de ge ditt kontor ett uttryckligt skriftligt samtycke. Ditt kontor måste också dokumentera detta tydligt och uttryckligen tala om för patienten att textmeddelanden inte är säkra.
Vad gör en HIPAA-kompatibel text-app:
HIPAA-säkerhetsreglerna tillåter att du skickar patientinformation över öppna, elektroniska nätverk. Detta kan endast ske så länge all personlig hälsoinformation är tillräckligt skyddad.
För att skydda hälsoinformation har en HIPAA-kompatibel text-app följande funktioner. HIPAA-kompatibla sms-appar omfattas också av HITECH-lagen (Health Information Technology for Economic and Clinical Health).
-
Har ett avancerat lösenordsskydd för alla användare (åtkomstkontroller)
-
Begränsar åtkomsten till personlig hälsoinformation för olika kontorsanställda (revisionskontroller)
-
Krypterar alla. textmeddelanden (kryptering)
-
Har ett Business Associate Agreement (BAA)
Avancerat lösenordsskydd (åtkomstkontroller)
Inte alla på kontoret behöver ha tillgång till hela patientjournaler. Åtkomstkontroller (t.ex. lösenordsskydd) ger dina anställda endast tillgång till minsta möjliga PHI.
Anställda som utför fakturering behöver inte ha tillgång till patientens medicinska information. På samma sätt behöver en sjuksköterska inte ha tillgång till patientens ekonomiska information.
Accesskontroller ger varje anställd unika inloggningsuppgifter och en bestämd nivå av åtkomst för att kunna utföra sin arbetsuppgift.
Begränsad åtkomst till PHI (revisionskontroller)
Aditkontroller övervakar vem som har tillgång till patientinformation, när och hur länge. Detta fastställer normala åtkomstmönster som kan hänföras till specifika individer.
Aditkontroller är viktiga för att upptäcka obehörig åtkomst till PHI. För de flesta traditionella sms-plattformar är övervakning av åtkomst inte möjlig.
Krypterade textmeddelanden (kryptering)
Det finns inget som heter säkra textmeddelanden. Det finns bara MER säkra textmeddelanden. Ändå föreskriver HIPAA kryptering för att säkra PHI.
Kryptering är den starkaste formen av digitalt skydd. Den omvandlar data till en oläsbar form. För att se den behöver man en dekrypteringsnyckel.
Tillbaka till sms tillåter inte kryptering på grund av det sätt som operatörerna hanterar texter. Sms (som teknik) kan inte krypteras. Detta innebär att du inte kan använda sms för att överföra personlig hälsoinformation.
Business Associate Agreement (BAA)
Som en del av din HIPAA-policy för sms-meddelanden behöver du ett undertecknat business associate agreement (BAA). Ett BAA specificerar ”täckta enheter” och de skydd som säkrar skyddad hälsoinformation. Det kräver också att båda enheterna uppfyller kraven i HIPAA.
Och utan ett undertecknat BAA kan du inte använda en sms-app för att skicka PHI.
Föreslagen artikel: Hur du väljer den bästa sms-appen för ditt företag eller din organisation
Sluttliga tankar och nästa steg
Är du redo att börja skicka sms till dina patienter? MessageDesk är här för att hjälpa till med smartare och enklare textmeddelanden för läkarmottagningar, tandläkarmottagningar och privata mottagningar.
Besök vårt utbildningscenter för information om hur du kommer igång med MessageDesk. Du hittar en snabbstartguide för sms-meddelanden, en översikt över funktioner och en förklaring av vad MessageDesk är.
Du kommer också att vilja kolla in vår lista med gratis mallar för sms-meddelanden. Det är bara att kopiera och klistra in för att börja sms:a.
För att avsluta kan du gärna starta en 7-dagars gratis provperiod av MessageDesk med 50 gratis sms:ar.