I messaggi di testo SMS sono conformi all’HIPAA?
I messaggi di testo (come tecnologia) non sono conformi all’HIPAA. Tuttavia, l’HIPAA non vieta a voi e al vostro studio medico di inviare messaggi di testo (come i promemoria degli appuntamenti) ai pazienti.
È solo necessario essere consapevoli di alcune regole specifiche e delle migliori pratiche prima di iniziare a inviare messaggi.
Per inviare messaggi di testo ai pazienti:
-
I messaggi non possono contenere informazioni sanitarie personali (PHI)
-
I pazienti devono acconsentire alla messaggistica
COVID 19 UPDATE: Il 17 marzo 2020, il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) ha rilasciato una dichiarazione in risposta a COVID 19 sulla discrezione di applicazione dell’HIPAA per i fornitori di assistenza sanitaria. La dichiarazione dà maggiore discrezione e flessibilità ai fornitori di assistenza sanitaria che servono e contattano i pazienti ogni giorno attraverso le tecnologie di comunicazione.
Leggi di più: Dichiarazione del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti
Disclaimer: Si prega di notare che i nostri consigli sono solo a scopo informativo. Non è inteso a sostituire i consigli di un consulente legale qualificato.
Che cos’è l’HIPAA? Cosa sono le informazioni sanitarie personali (PHI)?
HIPAA sta per Health Insurance Portability and Accountability Act (1996). HIPAA è un atto progettato per mantenere al sicuro le informazioni sanitarie protette (PHI) e la privacy del paziente.
Perché qualsiasi tecnologia di messaggistica sia conforme all’HIPAA, tutti i messaggi relativi alle informazioni sanitarie protette (PHI) devono essere criptati. I testi devono anche essere memorizzati in modo sicuro durante il transito, non solo durante l’invio e la ricezione.
PHI costituisce tutte le informazioni sanitarie identificabili individualmente. Qualsiasi identificatore o informazione come nome, cognome, compleanno o indirizzo sono tutti considerati PHI.
Articolo suggerito: Riassunto della norma di sicurezza HIPAA
Perché è necessario inviare messaggi di testo conformi alla HIPAA
L’invio di messaggi di testo conformi alla HIPAA è importante perché i messaggi di testo non sono una tecnologia di messaggistica sicura.
I portatori di telecomunicazioni memorizzano tutti i messaggi di testo, i testi non sono criptati e la maggior parte dei telefoni non hanno una forte protezione con password.
Nella vita di un messaggio di testo, passa attraverso vari portatori e viene memorizzato sui loro server. Quando un messaggio è “a riposo” i dati vengono memorizzati localmente sul telefono del destinatario. Questo rende il contenuto di un messaggio vulnerabile in ogni punto di archiviazione.
Inoltre, i dispositivi mobili possono anche essere persi o rubati. Questo espone PHI al furto di identità.
Le violazioni HIPAA sono anche un affare serio. Le sanzioni per le violazioni HIPAA possono variare da 100 a 50.000 dollari al giorno a seconda della gravità della violazione.
Top 3 motivi per cui i messaggi di testo non sono conformi all’HIPAA:
-
I portatori di telecomunicazioni memorizzano tutti i messaggi di testo come dati in un server
-
I messaggi di testo (come tecnologia) non sono crittografati nativamente
-
Protezione con password sui telefoni normali e sulle app di messaggistica di testo non è abbastanza sicuro
Come inviare messaggi di testo conformi all’HIPAA
Per il tuo studio medico per inviare messaggi ai pazienti, è necessario innanzitutto il consenso. Il consenso si applica sia ai messaggi transazionali che a quelli promozionali. Devi anche assicurarti che i tuoi messaggi di testo non contengano informazioni sanitarie protette (PHI).
Consenso per messaggi transazionali e promozionali
Avere il consenso è una best practice generale per i messaggi di testo e solo una normale etichetta di testo. E’ anche un requisito che tutte le organizzazioni sanitarie sono soggette al Telephone Consumer Protection Act (TCPA).
Per stabilire il consenso, è necessario conoscere la differenza tra messaggi di testo transazionali e promozionali per la comunicazione con il paziente.
Messaggi transazionali vs messaggi promozionali
I messaggi transazionali stabiliscono un consenso implicito. Questi testi aiutano a facilitare, completare o confermare una transazione o una relazione di tipo commerciale precedentemente concordata.
Il tuo paziente ha già fissato un appuntamento con il tuo ufficio? Se sì, allora il loro consenso è implicito a causa del vostro rapporto transazionale già stabilito. Questo rende ok l’invio di messaggi di promemoria degli appuntamenti.
I messaggi promozionali richiedono un consenso esplicito. Questi sono tutti gli altri testi che non coinvolgono direttamente una transazione o una relazione di tipo commerciale già esistente.
Il vostro paziente vi ha dato il suo consenso esplicito (scritto o verbale) a ricevere testi? Se no, allora non avete il permesso di inviare loro testi promozionali o di condividere qualsiasi informazione medica.
| Messaggi di testo transazionali (consenso implicito) |
Messaggi di testo promozionali (consenso espresso – scritto o verbale) |
|---|---|
| Ricordo di appuntamento | Prenota il prossimo appuntamento |
| Ricordo di controllo | Pubblicità di nuovi servizi o prodotti |
| No-show / promemoria di appuntamenti mancati | Suggerimenti per la cura della salute |
| Ricordo di check-in e camera pronta | Inchieste e sondaggi sulla soddisfazione dei pazienti |
Gestione Opt-in e Opt-out
Tutti i pazienti hanno bisogno di un modo per scegliere di ricevere o meno messaggi di testo dal tuo ufficio. Questo fa parte delle linee guida e delle migliori pratiche del TCPA.
Molte piattaforme di messaggistica di testo aziendali come MessageDesk hanno integrato sistemi di gestione di opt-in e opt-out. Si ottiene un modo semplice e facile da usare per vedere chi ha e non ha optato per la messaggistica.
Se il vostro ufficio invia un messaggio a un paziente per la prima volta, MessageDesk invierà automaticamente un messaggio di opt-out. Questo messaggio dice al paziente come rinunciare ai messaggi di testo rispondendo, STOP.
Se un paziente sceglie di rinunciare e manda un messaggio STOP, una guardia è posta sul suo numero. Questo impedisce a voi e al vostro ufficio di inviare messaggi al paziente fino a quando non optano nuovamente per la messaggistica.
Articolo suggerito: Gestire Opt-in e Opt-out con MesageDesk
Modelli di messaggi di testo conformi a HIPAA
Chiedere ai pazienti di confermare i loro appuntamenti via testo può migliorare il flusso di programmazione degli appuntamenti del tuo ufficio. Puoi ridurre i no-show, prevenire il phone tag e migliorare la soddisfazione del paziente.
Tuttavia, l’unico modo per mantenere il tuo texting conforme all’HIPAA è quello di non inviare mai informazioni sanitarie personali.
Con ciascuno dei seguenti modelli di messaggi di testo conformi all’HIPAA, vedrai che il nome non è incluso. Né lo sono i motivi dell’appuntamento, il trattamento o la specialità dello studio.
Modello di messaggio di promemoria dell’appuntamento:
Hai un appuntamento con {{ Nome dell’organizzazione }} il {{ Data }}. Rispondi “sì” per confermare o “no” per cancellare. Sentiti libero di rispondere a questo testo con delle domande. Quando arrivi, puoi entrare o rispondere a questo messaggio per fare il check-in. Si prega di chiamare {{ OrganizationPhone }} se non si riceve risposta.
Checked in Text Message Template:
Grazie! Ti abbiamo fatto il check-in. Ti faremo sapere non appena la tua stanza sarà pronta.
Testo No Show o Appuntamento Mancato
Ci sei mancato oggi! Questo è {{ OrganizationName }} che la informa che ha saltato il suo appuntamento al . La preghiamo di chiamarci al {{ OrganizationPhone }} per fissare un nuovo appuntamento.
Aggiornamenti e disponibilità dell’ufficio Text Message Template
La informiamo che il parcheggio di {{ OrganizationName }} è attualmente limitato a causa di lavori stradali. Si prega di pianificare in anticipo di conseguenza. Ci scusiamo per qualsiasi inconveniente.
Linee guida COVID 19 Text Message Template
Si prega di rivedere le nostre linee guida COVID-19 PRIMA del vostro appuntamento.
Il consenso del paziente a includere PHI
Non includere PHI nei tuoi messaggi di testo ti mantiene conforme alla HIPAA. Tuttavia, i pazienti possono ancora ricevere le loro informazioni mediche via testo se lo desiderano.
Per questo, devono dare al tuo ufficio un espresso consenso scritto. Il tuo ufficio dovrà anche documentare questo chiaramente e dire esplicitamente al paziente che i messaggi di testo non sono sicuri.
Cosa rende un’applicazione di testo conforme all’HIPAA:
Le regole di sicurezza HIPAA ti permettono di inviare informazioni sui pazienti attraverso reti elettroniche aperte. Questo può avvenire solo fino a quando tutte le informazioni sanitarie personali sono adeguatamente protette.
Per proteggere le informazioni sanitarie, un’applicazione di testo conforme all’HIPAA avrà le seguenti caratteristiche. Le app di messaggistica di testo conformi all’HIPAA sono anche soggette alla legge HITECH (Health Information Technology for Economic and Clinical Health).
-
Avere una protezione avanzata della password per tutti gli utenti (controlli di accesso)
-
Limitare l’accesso alle informazioni sanitarie personali per il personale di vari uffici (controlli di audit)
-
Crittografare tutti messaggi di testo (crittografia)
-
Avere un Business Associate Agreement (BAA)
Protezione avanzata con password (controlli di accesso)
Non tutti nel tuo ufficio hanno bisogno di accedere ai file completi dei pazienti. I controlli d’accesso (come la protezione delle password) danno agli impiegati l’accesso solo al minimo di PHI.
Gli impiegati che fanno la fatturazione non hanno bisogno di accedere alle informazioni mediche di un paziente. Allo stesso modo, un’infermiera non ha bisogno di accedere alle informazioni finanziarie di un paziente.
I controlli di accesso danno ad ogni dipendente credenziali di accesso uniche e un livello designato di accesso per eseguire la loro funzione lavorativa.
Limitare l’accesso alle PHI (controlli di audit)
I controlli di audit monitorano chi e quando e per quanto tempo si accede alle informazioni del paziente. Questo stabilisce modelli di accesso normali che possono essere attribuiti a individui specifici.
I controlli di audit sono importanti per rilevare l’accesso non autorizzato a PHI. Per la maggior parte delle piattaforme di sms tradizionali il monitoraggio degli accessi non è possibile.
Messaggi di testo criptati (Crittografia)
Non esiste un messaggio di testo sicuro. Ci sono solo messaggi di testo PIÙ sicuri. Eppure, l’HIPAA impone la crittografia per la protezione di PHI.
La crittografia è la forma più forte di protezione digitale. Converte i dati in una forma illeggibile. Per visualizzarli, è necessaria una chiave di decrittazione.
Ancora una volta, gli SMS non consentono la crittografia a causa del modo in cui i vettori gestiscono i testi. Gli sms (come tecnologia) non possono essere criptati. Questo significa che non puoi usare gli sms per trasmettere informazioni sanitarie personali.
Accordo tra soci d’affari (BAA)
Come parte della tua politica di messaggistica di testo HIPAA, hai bisogno di un accordo firmato tra soci d’affari (BAA). Un BAA specifica le “entità coperte” e le protezioni che proteggono le informazioni sanitarie protette. Impone inoltre che entrambe le entità siano conformi all’HIPAA.
Senza un BAA firmato, non è possibile utilizzare un’applicazione di messaggistica di testo per inviare PHI.
Articolo suggerito: Come scegliere la migliore app di messaggistica per la tua azienda o organizzazione
Pensieri finali e passi successivi
Pronto a iniziare a mandare messaggi ai tuoi pazienti? MessageDesk è qui per aiutarti con messaggi di testo più intelligenti e semplici per uffici medici, studi dentistici e studi privati.
Visita il nostro centro di apprendimento per informazioni su come iniziare con MessageDesk. Troverai una guida rapida all’invio di messaggi, una panoramica delle funzioni e una spiegazione di cosa sia MessageDesk.
Vuoi anche controllare la nostra lista di modelli di messaggi di testo SMS gratuiti. Basta copiare e incollare per iniziare a messaggiare.
Infine, sentiti libero di iniziare una prova gratuita di 7 giorni di MessageDesk con 50 messaggi di testo gratuiti.