Is sms’en HIPAA-conform?
Sms’en (als technologie) is niet HIPAA-conform. HIPAA verbiedt u en uw medische dienst echter niet om sms-berichten (zoals afspraakherinneringen) naar patiënten te sturen.
U moet zich alleen bewust zijn van enkele specifieke regels en best practices voordat u begint met sms’en.
Voor het verzenden van sms-berichten aan patiënten:
-
Berichten mogen geen persoonlijke gezondheidsinformatie (PHI) bevatten
-
Patiënten moeten opt-in hebben voor berichten
COVID 19 UPDATE: Op 17 maart 2020 heeft het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) een verklaring vrijgegeven in reactie op COVID 19 over de discretie van HIPAA-handhaving voor zorgverleners. De verklaring geeft meer discretie en flexibiliteit aan zorgaanbieders die dagelijks patiënten bedienen en contact hebben via communicatietechnologieën.
Lees meer: Verklaring van het Amerikaanse ministerie van Volksgezondheid en Human Services
Disclaimer: Houd er rekening mee dat ons advies alleen bedoeld is voor informatieve doeleinden. Het is niet bedoeld ter vervanging van advies van een gekwalificeerde juridisch adviseur.
Wat is HIPAA? Wat is persoonlijke gezondheidsinformatie (PHI)?
HIPAA staat voor Health Insurance Portability and Accountability Act (1996). HIPAA is een wet die is ontworpen om beschermde gezondheidsinformatie (PHI) en de privacy van patiënten veilig te stellen.
Voor elke berichtentechnologie die voldoet aan de HIPAA, moeten alle berichten met betrekking tot beschermde gezondheidsinformatie (PHI) worden gecodeerd. Teksten moeten ook veilig worden opgeslagen tijdens het vervoer, niet alleen tijdens het verzenden en ontvangen.
PHI vormt alle individueel identificeerbare gezondheidsinformatie. Alle identificatoren of informatie zoals voornaam, achternaam, verjaardag of adres worden als PHI beschouwd.
Geadviseerd artikel: Samenvatting van de HIPAA-beveiligingsregel
Waarom u HIPAA-conforme sms-berichten moet verzenden
Het verzenden van HIPAA-conforme sms-berichten is van belang omdat sms-berichten geen veilige berichtentechnologie zijn.
Telecommunicatiedragers slaan alle sms-berichten op, teksten zijn niet versleuteld en de meeste telefoons hebben geen sterke wachtwoordbeveiliging.
In het leven van een sms-bericht gaat het langs verschillende dragers en wordt het opgeslagen op hun servers. Wanneer een bericht “in ruste” is, worden de gegevens lokaal opgeslagen op de telefoon van de ontvanger. Dit maakt de inhoud van een bericht kwetsbaar op elk opslagpunt.
Verder kunnen mobiele apparaten ook zoekraken of worden gestolen. Dit stelt PHI bloot aan identiteitsdiefstal.
HIPAA-schendingen zijn ook een ernstige aangelegenheid. De straffen voor HIPAA-overtredingen kunnen variëren van $ 100 tot $ 50.000 per dag, afhankelijk van de ernst van de overtreding.
Top 3 redenen waarom tekstberichten niet HIPAA-compliant zijn:
-
Telecombedrijven slaan alle tekstberichten als gegevens op in een server
-
Tekstberichten (als technologie) zijn niet van nature versleuteld
-
Wachtwoord beveiliging op normale telefoons en sms-apps is niet veilig genoeg
Hoe HIPAA-conforme sms-berichten verzenden
Als uw medische praktijk sms-berichten naar patiënten verstuurt, moet u eerst toestemming hebben. Toestemming geldt voor zowel transactie- als promotieberichten. U moet er ook voor zorgen dat uw sms-berichten geen beschermde gezondheidsinformatie (PHI) bevatten.
Toestemming voor transactionele en promotionele berichten
Het verkrijgen van toestemming is een algemene best practice voor sms-berichten en gewoon normale sms-etiquette. Het is ook een sms-vereiste waaraan alle organisaties in de gezondheidszorg moeten voldoen onder de Telephone Consumer Protection Act (TCPA).
Om toestemming te krijgen, moet u het verschil weten tussen transactionele en promotionele sms-berichten voor communicatie met patiënten.
Transactionele vs. promotionele berichten
Transactionele berichten geven impliciete toestemming. Deze teksten helpen een eerder overeengekomen zakelijke transactie of relatie te vergemakkelijken, te voltooien of te bevestigen.
Heeft uw patiënt al een afspraak met uw kantoor gemaakt? Zo ja, dan is hun toestemming impliciet vanwege uw reeds gevestigde transactionele relatie. Daarom is het goed om een herinnering aan een afspraak te sms’en.
Promotieberichten vereisen uitdrukkelijke toestemming. Dit zijn alle andere teksten die niet direct betrekking hebben op een reeds bestaande zakelijke transactie of relatie.
Heeft uw patiënt u zijn uitdrukkelijke toestemming gegeven (schriftelijk of mondeling) om sms-berichten te ontvangen? Zo niet, dan heeft u geen toestemming om hen promotionele teksten te sturen of enige medische informatie te delen.
Transactionele tekstberichten (impliciete toestemming) |
Promotionele tekstberichten (uitdrukkelijke toestemming – schriftelijk of mondeling) |
|
---|---|---|
Afspraakherinneringen | Regelen volgende afspraak | |
Rekenherinneringen | Aanprijzing nieuwe diensten of producten | |
No- | herinneringen aan gemiste afspraken | tips over gezondheidszorg |
herinneringen aan inchecken en klaarmaken van de kamer | Patiënttevredenheidsonderzoeken en polls |
Opt-in en Opt-out Management
Alle patiënten moeten een manier hebben om te kunnen kiezen of ze sms’en van uw kantoor willen ontvangen of niet. Dit is onderdeel van de TCPA-richtlijnen en beste praktijken.
Veel platforms voor zakelijke sms-berichten, zoals MessageDesk, hebben ingebouwde opt-in- en opt-out-managementsystemen. U kunt op een eenvoudige en gebruikersvriendelijke manier zien wie wel en wie niet voor berichten heeft gekozen.
Als uw kantoor een patiënt voor de eerste keer sms’t, stuurt MessageDesk automatisch een opt-out-bericht. In dit bericht wordt de patiënt verteld hoe hij zich kan afmelden voor sms-berichten door te antwoorden met STOP.
Als een patiënt zich afmeldt en STOP sms’t, wordt een bewaker op zijn nummer geplaatst. Dit voorkomt dat u en uw kantoor van het sms’en van de patiënt totdat ze opt terug in messaging.
Suggested Artikel: Beheer Opt-in en Opt-out met MesageDesk
HIPAA Compliant Text Message Templates
Aan patiënten vragen om hun afspraken via sms te bevestigen, kan de afsprakenschema’s van uw kantoor verbeteren. U kunt no-shows verminderen, phone tag voorkomen, en de tevredenheid van de patiënt verbeteren.
De enige manier om uw sms’jes HIPAA-conform te houden, is echter om nooit persoonlijke gezondheidsinformatie te sms’en.
Bij elk van de volgende HIPAA-conforme sms-sjablonen, zult u zien dat de naam niet is opgenomen. Evenmin worden de redenen voor de afspraak, de behandeling of het specialisme van de praktijk vermeld.
Afspraak Herinnering Tekstbericht Sjabloon:
U heeft een afspraak met {{ Organisatienaam }} op {{ Datum }}. Antwoord met “ja” om te bevestigen of “nee” om te annuleren. Voel u vrij om op deze tekst te reageren met vragen. Als u aankomt, kunt u binnenkomen of deze sms beantwoorden om in te checken. Bel a.u.b. {{ OrganizationPhone }} als u geen antwoord ontvangt.
Inchecken Text Message Template:
Dank u! We hebben u ingecheckt. We laten het u weten zodra uw kamer klaar is.
No Show or Missed Appointment Text
We hebben u vandaag gemist! Dit is {{ OrganizationName }} om u te informeren dat u uw afspraak met ons gemist heeft op . Bel ons op {{ OrganizationPhone }} om uw afspraak te verzetten.
Office Updates and Availability Text Message Template
Gelieve te noteren dat de parking voor {{ OrganizationName }} momenteel beperkt is wegens wegenwerken. Wij verzoeken u dit van tevoren te plannen. Onze excuses voor het ongemak.
COVID 19-richtlijnen
Lees onze COVID-19-richtlijnen VOORDAT u een afspraak maakt.
Toestemming van patiënt om PHI op te nemen
Door geen PHI op te nemen in uw sms-berichten blijft u HIPAA-conform. Patiënten kunnen echter nog steeds hun medische informatie per sms ontvangen als ze dat willen.
Om dit te laten gebeuren, moeten ze uw kantoor uitdrukkelijk schriftelijke toestemming geven. Uw kantoor zal dit ook duidelijk moeten documenteren en de patiënt expliciet moeten vertellen dat sms niet veilig is.
Wat maakt een HIPAA-conforme sms-app:
De HIPAA-beveiligingsregels staan u wel toe om patiëntinformatie via open, elektronische netwerken te verzenden. Dit kan alleen gebeuren zolang alle persoonlijke gezondheidsinformatie adequaat wordt beschermd.
Om gezondheidsinformatie te beschermen, zal een HIPAA-conforme sms-app de volgende kenmerken hebben. HIPAA-conforme sms-apps zijn ook onderworpen aan de Health Information Technology for Economic and Clinical Health (HITECH) -wet.
-
Geavanceerde wachtwoordbeveiliging voor alle gebruikers (toegangscontrole)
-
Beperking van de toegang tot persoonlijke gezondheidsinformatie voor diverse kantoormedewerkers (auditcontrole)
-
Encryptie van alle tekstberichten (encryptie)
-
Een Business Associate Agreement (BAA)
Geavanceerde wachtwoordbeveiliging (toegangscontroles)
Niet iedereen in uw kantoor hoeft toegang te hebben tot volledige patiëntendossiers. Toegangscontrole (zoals wachtwoordbeveiliging) geeft uw werknemers alleen toegang tot de minimale informatie over de patiënt.
Werknemers die de facturering verzorgen, hoeven geen toegang te hebben tot de medische gegevens van een patiënt. Evenzo heeft een verpleegkundige geen toegang nodig tot de financiële informatie van een patiënt.
Toegangscontroles geven elke werknemer unieke inloggegevens en een bepaald toegangsniveau om hun functie uit te voeren.
Beperk de toegang tot PHI (auditcontroles)
Auditcontroles controleren wie, wanneer en hoe lang toegang krijgt tot patiëntinformatie. Hierdoor worden normale toegangspatronen vastgesteld die aan specifieke personen kunnen worden toegeschreven.
Auditcontroles zijn belangrijk voor het opsporen van onbevoegde toegang tot PHI. Voor de meeste traditionele sms-platforms is controle op de toegang niet mogelijk.
Geëncrypteerde sms-berichten (encryptie)
Er bestaat niet zoiets als veilige sms-berichten. Er is alleen MEER veilige sms. Toch vereist HIPAA encryptie voor het beveiligen van PHI.
Encryptie is de sterkste vorm van digitale bescherming. Het zet gegevens om in een onleesbare vorm. Om ze te kunnen bekijken, hebt u een decoderingssleutel nodig.
Ook bij sms is codering niet mogelijk, vanwege de manier waarop de carriers met sms’jes omgaan. Sms’jes (als technologie) kunnen niet worden versleuteld. Dit betekent dat u sms-berichten niet kunt gebruiken om persoonlijke gezondheidsinformatie te verzenden.
Business Associate Agreement (BAA)
Als onderdeel van uw HIPAA-sms-beleid hebt u een ondertekende business associate agreement (BAA) nodig. Een BAA specificeert “gedekte entiteiten” en de beveiligingen die beschermde gezondheidsinformatie beveiligen. Het mandateert ook dat beide entiteiten binnen de HIPAA-naleving zijn.
Zonder een ondertekende BAA kunt u geen sms-app gebruiken om PHI te verzenden.
Suggested Article: Hoe kiest u de beste sms-app voor uw bedrijf of organisatie
Eindgedachten en volgende stappen
Klaar om te beginnen met het sms’en van uw patiënten? MessageDesk is er om u te helpen met slimmere, eenvoudigere sms-berichten voor medische en tandartspraktijken.
Bezoek ons leercentrum voor informatie over hoe u met MessageDesk aan de slag kunt. U vindt er een snelstartgids voor sms’en, een overzicht van de functies en een uitleg over wat MessageDesk is.
U zult ook onze lijst met gratis sjablonen voor sms-berichten willen bekijken. Kopieer en plak gewoon om te beginnen met sms’en.
Ten slotte, voel je vrij om te beginnen met een 7-daagse gratis MessageDesk proef met 50 gratis tekstberichten.