Czy wiadomości tekstowe SMS są zgodne z HIPAA?
Wiadomości tekstowe (jako technologia) nie są zgodne z HIPAA. Jednak HIPAA nie zabrania Tobie i Twojemu gabinetowi medycznemu wysyłania wiadomości tekstowych (takich jak przypomnienia o wizytach) do pacjentów.
Po prostu musisz być świadomy pewnych konkretnych zasad i najlepszych praktyk, zanim zaczniesz wysyłać wiadomości tekstowe.
Aby wysyłać wiadomości tekstowe do pacjentów:
-
Wiadomości nie mogą zawierać osobistych informacji zdrowotnych (PHI)
-
Pacjenci muszą wyrazić zgodę na wysyłanie wiadomości
COVID 19 UPDATE: W dniu 17 marca 2020 r. amerykański Departament Zdrowia i Usług Społecznych (HHS) wydał oświadczenie w odpowiedzi na dokument COVID 19 w sprawie swobody egzekwowania przepisów HIPAA przez podmioty świadczące usługi opieki zdrowotnej. Oświadczenie daje większą swobodę i elastyczność dostawcom usług opieki zdrowotnej, którzy służą i kontaktują się z pacjentami każdego dnia za pośrednictwem technologii komunikacyjnych.
Read More: Statement from the US Department of Health and Human Services
Disclaimer: Należy pamiętać, że nasze porady mają charakter wyłącznie informacyjny. Nie zastępują one porad udzielanych przez wykwalifikowanych prawników.
Co to jest HIPAA? Co to są osobiste informacje zdrowotne (PHI)?
HIPAA to skrót od Health Insurance Portability and Accountability Act (1996). HIPAA jest ustawą zaprojektowaną w celu utrzymania chronionych informacji zdrowotnych (PHI) i prywatności pacjenta bezpieczne.
Aby jakakolwiek technologia przesyłania wiadomości była zgodna z HIPAA, wszystkie wiadomości związane z chronionymi informacjami zdrowotnymi (PHI) muszą być zaszyfrowane. Teksty muszą być również bezpiecznie przechowywane w czasie tranzytu, a nie tylko podczas wysyłania i odbierania.
PHI stanowi wszystkie indywidualnie identyfikowalne informacje zdrowotne. Wszelkie identyfikatory lub informacje, takie jak imię, nazwisko, data urodzenia lub adres są uważane za PHI.
Sugerowany artykuł: Summary of the HIPAA Security Rule
Why You Need to Send HIPAA Compliant Text Messages
Sending HIPAA compliant text messages matters because text messaging isn’t a secure messaging technology.
Przewoźnicy telekomunikacyjni przechowują wszystkie wiadomości tekstowe, teksty nie są szyfrowane, a większość telefonów nie posiada silnej ochrony hasłem.
W życiu wiadomości tekstowej, przechodzi ona przez różnych przewoźników i jest przechowywana na ich serwerach. Kiedy wiadomość jest „w spoczynku” dane są przechowywane lokalnie na telefonie odbiorcy. To sprawia, że treść wiadomości jest podatna na ataki w każdym punkcie przechowywania.
Dodatkowo, urządzenia mobilne mogą również zostać zgubione lub skradzione. To naraża PHI do identyfikacji kradzieży.
HIPAA naruszenia są również poważne sprawy. Kary za naruszenia HIPAA może wynosić od 100 do 50.000 dolarów za dzień w zależności od powagi naruszenia.
Top 3 powody, dla których wiadomości tekstowe nie są zgodne z HIPAA:
-
Przewoźnicy telekomunikacyjni przechowują wszystkie wiadomości tekstowe jako dane na serwerze
-
Wiadomości tekstowe (jako technologia) nie są natywnie szyfrowane
-
Hasło Ochrona hasłem w zwykłych telefonach i aplikacjach do obsługi wiadomości tekstowych nie jest wystarczająco bezpieczna
Jak wysyłać wiadomości tekstowe zgodne z przepisami HIPAA
Aby Twój gabinet medyczny mógł wysyłać wiadomości tekstowe do pacjentów, najpierw potrzebna jest zgoda. Zgoda dotyczy zarówno wiadomości o charakterze transakcyjnym, jak i promocyjnym. Należy również upewnić się, że wiadomości tekstowe nie zawierają żadnych chronionych informacji zdrowotnych (PHI).
Zgoda na wiadomości transakcyjne i promocyjne
Uzyskanie zgody jest ogólną najlepszą praktyką w zakresie wiadomości tekstowych i normalną etykietą. Jest to również wymóg dotyczący wiadomości tekstowych, któremu podlegają wszystkie organizacje opieki zdrowotnej zgodnie z ustawą o ochronie konsumentów przez telefon (TCPA).
Aby uzyskać zgodę, należy znać różnicę między transakcyjnymi a promocyjnymi wiadomościami tekstowymi do komunikacji z pacjentem.
Wiadomości transakcyjne a promocyjne
Wiadomości transakcyjne ustanawiają dorozumianą zgodę. Teksty te ułatwiają, uzupełniają lub potwierdzają wcześniej uzgodnioną transakcję lub relację typu biznesowego.
Czy Twój pacjent już zaplanował wizytę w Twoim biurze? Jeśli tak, to ich zgoda jest domniemana z powodu już ustalonej relacji transakcyjnej. To sprawia, że jest to ok do tekstu przypomnienia appointment.
Promocyjne wiadomości wymagają wyraźnej zgody. Są to wszystkie inne teksty, które nie dotyczą bezpośrednio już istniejącej transakcji typu biznesowego lub relacji.
Czy pacjent wyraził wyraźną zgodę (pisemną lub ustną) na otrzymywanie wiadomości tekstowych? Jeśli nie, to nie masz pozwolenia na wysyłanie im tekstów promocyjnych ani na udostępnianie jakichkolwiek informacji medycznych.
| Transakcyjne wiadomości tekstowe (dorozumiana zgoda) |
Promocyjne wiadomości tekstowe (wyraźna zgoda – pisemna lub ustna). pisemna lub ustna) |
|---|---|
| Przypomnienia o wizycie | Przypomnienia o następnej wizycie |
| Przypomnienia o badaniach kontrolnych | Reklamowanie nowych usług lub produktów |
| NoShow / missed appointment reminders | Porady dotyczące opieki zdrowotnej |
| Check in and room ready reminders | Badania satysfakcji pacjentów i sondaże |
Opt-in i Opt-out Management
Wszyscy pacjenci potrzebują sposobu, aby zrezygnować z otrzymywania wiadomości tekstowych z Twojego biura. Jest to część wytycznych TCPA i najlepszych praktyk.
Wiele biznesowych platform do obsługi wiadomości tekstowych, takich jak MessageDesk, ma wbudowane systemy zarządzania opt-in i opt-out. Otrzymujesz łatwy i przyjazny dla użytkownika sposób sprawdzania, kto wyraził, a kto nie wyraził zgody na wysyłanie wiadomości.
Jeśli Twój gabinet wysyła SMS-y do pacjenta po raz pierwszy, MessageDesk automatycznie wysyła wiadomość opt-out. Wiadomość ta informuje pacjenta, jak zrezygnować z otrzymywania wiadomości tekstowych poprzez odpowiedź STOP.
Jeśli pacjent zrezygnuje z otrzymywania wiadomości tekstowych i napisze STOP, na jego numerze zostanie nałożona ochrona. Zapobiega to wysyłaniu przez Ciebie i Twoje biuro wiadomości tekstowych do pacjenta, dopóki nie zrezygnuje on z otrzymywania wiadomości.
Sugerowany artykuł: Managing Opt-in and Opt-out with MesageDesk
HIPAA Compliant Text Message Templates
Poproszenie pacjentów o potwierdzenie ich terminów za pośrednictwem tekstu może poprawić przepływ planowania wizyt w Twoim biurze. Możesz zmniejszyć liczbę no-shows, zapobiec tag telefonu, i poprawić zadowolenie pacjenta.
Jednakże jedynym sposobem, aby utrzymać tekstowe zgodne z HIPAA jest nigdy nie tekst osobiste informacje zdrowotne.
Z każdym z następujących szablonów wiadomości tekstowych zgodnych z HIPAA, zobaczysz, że nazwa nie jest wliczone. Nie są również podawane powody umówienia się na wizytę, leczenie ani specjalność praktyki.
Szablon wiadomości tekstowej z przypomnieniem o wizycie:
Masz umówioną wizytę w {{ Nazwa organizacji }} w dniu {{ Data }}. Odpowiedz „tak”, aby potwierdzić, lub „nie”, aby anulować. Proszę swobodnie odpowiadać na ten tekst, zadając pytania. Kiedy przyjedziesz, możesz wejść lub odpowiedzieć na ten tekst, aby się zameldować. Jeśli nie otrzymasz odpowiedzi, zadzwoń pod numer {{ OrganizationPhone }}.
Checked in Text Message Template:
Thank you! Zameldowałeś się. Poinformujemy Cię, jak tylko Twój pokój będzie gotowy.
No Show or Missed Appointment Text
Tęskniliśmy za Panem/Panią dzisiaj! Tu {{ OrganizationName }} informujemy, że nie udało Ci się umówić z nami na spotkanie w dniu . Prosimy o kontakt telefoniczny pod numerem {{ OrganizationPhone }} w celu zmiany terminu spotkania.
Aktualności i dostępność biura Szablon wiadomości tekstowej
Informujemy, że parking dla {{ OrganizationName }} jest obecnie ograniczony z powodu prac drogowych. Prosimy o odpowiednie planowanie. Przepraszamy za wszelkie niedogodności.
Wskazówki dotyczące COVID 19 Szablon wiadomości tekstowej
Proszę zapoznać się z naszymi wskazówkami dotyczącymi COVID-19 PRZED umówieniem się na wizytę.
Zgoda pacjenta na włączenie informacji PHI
Nieuwzględnianie informacji PHI w wiadomościach tekstowych zapewnia zgodność z przepisami HIPAA. Jednak pacjenci mogą nadal otrzymywać swoje informacje medyczne za pośrednictwem wiadomości tekstowych, jeśli tak zdecydują.
Aby tak się stało, muszą oni udzielić Twojemu gabinetowi wyraźnej pisemnej zgody. Twoje biuro będzie musiało również udokumentować to wyraźnie i wyraźnie powiedzieć pacjentowi, że wiadomości tekstowe nie są bezpieczne.
Co sprawia, że aplikacja tekstowa jest zgodna z HIPAA:
Zasady bezpieczeństwa HIPAA pozwalają na wysyłanie informacji o pacjencie przez otwarte sieci elektroniczne. Może to nastąpić tylko tak długo, jak wszystkie osobiste informacje zdrowotne są odpowiednio chronione.
Aby chronić informacje zdrowotne, aplikacja tekstowa zgodna z HIPAA będzie miała następujące cechy. Aplikacje do przesyłania wiadomości tekstowych zgodne z HIPAA podlegają również ustawie Health Information Technology for Economic and Clinical Health (HITECH).
-
Posiadać zaawansowaną ochronę hasłem dla wszystkich użytkowników (kontrola dostępu)
-
Ograniczyć dostęp do osobistych informacji zdrowotnych dla różnych pracowników biura (kontrola audytu)
-
Szyfrować wszystkie wiadomości tekstowe (szyfrowanie)
-
Posiadanie umowy Business Associate Agreement (BAA)
Zaawansowana ochrona hasłem (kontrola dostępu)
Nie każdy w biurze musi mieć dostęp do pełnych akt pacjentów. Kontrola dostępu (jak ochrona hasłem) zapewnia pracownikom dostęp tylko do minimalnego zakresu informacji PHI.
Pracownicy zajmujący się rozliczeniami nie potrzebują dostępu do informacji medycznych pacjenta. Podobnie pielęgniarka nie potrzebuje dostępu do informacji finansowych pacjenta.
Kontrole dostępu dają każdemu pracownikowi unikalne dane uwierzytelniające do logowania i wyznaczony poziom dostępu do wykonywania jego funkcji.
Ograniczyć dostęp do informacji PHI (kontrole audytowe)
Kontrole audytowe monitorują, kto, kiedy i jak długo uzyskuje dostęp do informacji o pacjencie. W ten sposób ustala się normalne wzorce dostępu, które można przypisać do konkretnych osób.
Kontrole audytowe są ważne dla wykrywania nieautoryzowanego dostępu do PHI. W przypadku większości tradycyjnych platform do przesyłania wiadomości tekstowych monitorowanie dostępu nie jest możliwe.
Szyfrowane wiadomości tekstowe (szyfrowanie)
Nie ma czegoś takiego jak bezpieczne przesyłanie wiadomości tekstowych. Jest tylko WIĘCEJ bezpiecznych wiadomości tekstowych. Jednak HIPAA nakazuje szyfrowanie w celu zabezpieczenia PHI.
Szyfrowanie jest najsilniejszą formą ochrony cyfrowej. Przekształca dane w formę niemożliwą do odczytania. Aby je wyświetlić, potrzebny jest klucz deszyfrujący.
Znowu, wysyłanie wiadomości tekstowych nie pozwala na szyfrowanie ze względu na sposób, w jaki przewoźnicy obsługują teksty. Texting (jako technologia) nie może być zaszyfrowany. Oznacza to, że nie można używać tekstów do przesyłania osobistych informacji zdrowotnych.
Umowa o współpracy biznesowej (BAA)
Jako część polityki HIPAA dotyczącej przesyłania wiadomości tekstowych potrzebna jest podpisana umowa o współpracy biznesowej (BAA). BAA określa „podmioty objęte” i zabezpieczenia, które zabezpieczają chronione informacje zdrowotne. To również nakazuje, że oba podmioty są w ramach zgodności HIPAA.
Bez podpisanej umowy BAA, nie można korzystać z aplikacji do przesyłania wiadomości tekstowych do wysyłania PHI.
Sugerowany artykuł: How to Choose the Best Texting App for Your Business or Organization
Final Thoughts and Next Steps
Ready to start texting your patients? MessageDesk jest tutaj, aby pomóc w inteligentnym i prostym wysyłaniu wiadomości tekstowych dla gabinetów medycznych, stomatologicznych i prywatnych praktyk.
Odwiedź nasze centrum szkoleniowe, aby uzyskać informacje na temat rozpoczęcia pracy z MessageDesk. Znajdziesz tam przewodnik szybkiego startu, przegląd funkcji oraz wyjaśnienie czym jest MessageDesk.
Zapoznaj się również z naszą listą darmowych szablonów wiadomości tekstowych SMS. Wystarczy skopiować i wkleić, aby rozpocząć wysyłanie wiadomości tekstowych.
Na koniec, zapraszamy do rozpoczęcia 7-dniowej darmowej wersji próbnej MessageDesk z 50 darmowymi wiadomościami tekstowymi.
.