Is SMS Text Messaging HIPAA Compliant?
Mensagens de texto (como uma tecnologia) não é compatível com HIPAA. No entanto, a HIPAA não proíbe que você e seu consultório médico enviem mensagens de texto (como lembretes de consulta) aos pacientes.
Você só precisa estar ciente de algumas regras específicas e melhores práticas antes de começar a enviar mensagens de texto.
Para enviar mensagens de texto aos pacientes:
-
As mensagens não podem conter informações pessoais de saúde (PHI)
-
Os pacientes precisam optar pelo envio de mensagens
COVID 19 UPDATE: Em 17 de março de 2020, o Departamento de Saúde e Serviços Humanos (HHS) dos EUA divulgou uma declaração em resposta à COVID 19 sobre a discrição de aplicação da HIPAA para prestadores de serviços de saúde. A declaração dá maior discrição e flexibilidade aos prestadores de cuidados de saúde que servem e contactam os pacientes diariamente através das tecnologias de comunicação.
Ler mais: Declaração do Departamento de Saúde e Serviços Humanos dos EUA
Declaração de responsabilidade: Por favor, note que nosso conselho é apenas para fins informativos. Não se destina a substituir o conselho de um advogado qualificado.
O que é o HIPAA? O que é Informação Pessoal de Saúde (PHI)?
HIPAA significa Health Insurance Portability and Accountability Act (1996). HIPAA é uma lei concebida para manter a informação de saúde protegida (PHI) e a privacidade do paciente segura.
Para que qualquer tecnologia de mensagens seja compatível com a HIPAA, todas as mensagens relacionadas com informação sobre saúde protegida (PHI) precisam ser criptografadas. Os textos também têm de ser armazenados de forma segura enquanto em trânsito, e não apenas enquanto enviados e recebidos.
PHI constitui toda a informação de saúde individualmente identificável. Quaisquer identificadores ou informação como nome, apelido, aniversário, ou endereço são todos considerados PHI.
Suggested Article: Resumo da Regra de Segurança HIPAA
Por que você precisa enviar mensagens de texto compatíveis com a HIPAA
Enviar mensagens de texto compatíveis com a HIPAA é importante porque o envio de mensagens de texto não é uma tecnologia segura de envio de mensagens.
As operadoras de telecomunicações armazenam todas as mensagens de texto, os textos não são criptografados e a maioria dos telefones não tem uma forte proteção por senha.
Na vida de uma mensagem de texto, ela passa por várias operadoras e é armazenada em seus servidores. Quando uma mensagem está “em repouso”, os dados são armazenados localmente no telefone do destinatário. Isto torna o conteúdo de uma mensagem vulnerável em cada ponto de armazenamento.
Adicionalmente, os dispositivos móveis também podem ser perdidos ou roubados. Isto expõe os PHI a identificar roubo.
As violações de PHI também são um assunto sério. As penalidades para violações de HIPAA podem variar de $100 a $50.000 por dia, dependendo da gravidade da violação.
Top 3 razões pelas quais as mensagens de texto não são compatíveis com a HIPAA:
-
As operadoras de telecomunicação armazenam todas as mensagens de texto como dados em um servidor
-
As mensagens de texto (como uma tecnologia) não são nativamente encriptadas
-
Senha protecção em telefones normais e aplicações de mensagens de texto não é suficientemente segura
Como enviar mensagens de texto compatíveis com a HIPAA
Para o seu consultório médico para enviar mensagens de texto aos pacientes, precisa primeiro de consentimento. O consentimento aplica-se tanto a mensagens transaccionais como a mensagens promocionais. Você também precisa ter certeza de que suas mensagens de texto não contenham nenhuma informação de saúde protegida (PHI).
Consentimento para mensagens transacionais e promocionais
Conseguir consentimento é uma melhor prática geral de mensagens de texto e apenas uma etiqueta normal de envio de mensagens de texto. É também um requisito de mensagens de texto que todas as organizações de saúde estão sujeitas à Lei de Proteção ao Consumidor Telefônico (TCPA).
Para estabelecer consentimento, você precisa saber a diferença entre mensagens de texto transacionais e promocionais para a comunicação do paciente.
Mensagens Transacionais vs. Mensagens Promocionais
Mensagens Transacionais estabelecem o consentimento implícito. Estes textos ajudam a facilitar, completar ou confirmar uma transação ou relacionamento do tipo comercial previamente acordado.
O seu paciente já marcou uma consulta com o seu consultório? Se sim, então o consentimento deles está implícito devido à sua relação transacional já estabelecida. Isto faz com que seja possível enviar mensagens de texto com lembretes da consulta.
As mensagens promocionais requerem consentimento expresso. Estes são todos os outros textos que não envolvem directamente uma transacção ou relação de tipo comercial já existente.
O seu paciente deu-lhe o seu consentimento expresso (escrito ou verbalmente) para receber textos? Se não, então você não tem permissão para enviar-lhes textos promocionais ou compartilhar qualquer informação médica.
| Mensagens de Texto Promocionais (consentimento implícito) |
Mensagens de Texto Promocionais (consentimento expresso – escrito ou verbal) |
|---|---|
| Lembretes de compromissos | Apróximo compromisso |
| Relembretes de verificação | Anunciar novos serviços ou produtos |
| Nãomostrar / lembretes de consultas faltantes | Dicas de cuidados de saúde |
| Verifica os lembretes de entrada e saída do consultório | Sondagens e inquéritos de satisfação do paciente |
Administração de Opt-in e Opt-out
Todos os pacientes precisam de uma forma de opt-in e out de mensagens de texto do seu consultório. Isto faz parte das diretrizes do TCPA e das melhores práticas.
Muitas plataformas de mensagens de texto de negócios como MessageDesk têm sistemas de gerenciamento de opt-in e opt-out incorporados. Você obtém uma maneira fácil e amigável de ver quem tem e não optou por mensagens.
Se o seu escritório enviar mensagens de texto a um paciente pela primeira vez, o MessageDesk enviará automaticamente uma mensagem de opt-out. Esta mensagem diz ao paciente como optar por não enviar mensagens de texto respondendo, STOP.
Se um paciente optar por não enviar mensagens de texto e STOP, é colocado um guarda no seu número. Isto evita que você e seu consultório enviem mensagens de texto ao paciente até que ele opte por voltar ao envio de mensagens.
Suggested Article: Gerenciando Opt-in e Opt-out com MesageDesk
HIPAAA Modelos de Mensagens de Texto Compatíveis com HIPAA
Asking pacientes para confirmar suas consultas via texto pode melhorar o fluxo de agendamento de consultas do seu consultório. Você pode reduzir os no-shows, prevenir o uso de etiquetas de telefone e melhorar a satisfação do paciente.
No entanto, a única maneira de manter sua mensagem de texto compatível com HIPAA é nunca enviar mensagens de texto com informações pessoais de saúde.
Com cada um dos seguintes modelos de mensagens de texto compatíveis com HIPAA, você verá que o nome não está incluído. Também não estão incluídos os motivos para a consulta, o tratamento ou a especialidade da clínica.
Modelo de mensagem de texto de lembrete de consulta:
Você tem uma consulta com {{{Nome da organização }} em {{{Data }}. Responda “sim” para confirmar ou “não” para cancelar. Sinta-se à vontade para responder a este texto com perguntas. Ao chegar, você pode entrar ou responder a este texto para fazer o check-in. Ligue para {{{ OrganizationPhone }} se não receber uma resposta.
Checked in Text Message Template:
Obrigado! Nós temos você verificado. Nós o informaremos assim que o seu quarto estiver pronto.
No Show or Missed Appointment Text
Sentimos a sua falta hoje! Isto é {{{Nome da Organização }} notificando que você faltou à sua consulta conosco em . Por favor ligue-nos para {{{ OrganizationName }} para marcar novamente.
Office Updates and Availability Text Message Template
Por favor seja avisado que o estacionamento para {{{ OrganizationName }} está actualmente limitado devido ao trabalho na estrada. Por favor, planeje com antecedência. Pedimos desculpas por qualquer inconveniente.
COVID 19 Modelo de Mensagem de Texto de Diretrizes
Please review our COVID-19 Guidelines BEFORE your appointment.
Patient Consent to Include PHI
Não incluir PHI nas suas mensagens de texto mantém-no em conformidade com HIPAA. No entanto, os pacientes ainda podem receber suas informações médicas por texto se assim o desejarem.
Para que isso aconteça, eles devem dar consentimento expresso por escrito ao seu consultório. O seu consultório também precisará documentar isso de forma clara e explícita para dizer ao paciente que as mensagens de texto não são seguras.
O que torna uma aplicação de texto compatível com a HIPAA:
As Regras de Segurança HIPAA permitem que você envie informações sobre os pacientes através de redes eletrônicas abertas. Isso só pode ocorrer desde que todas as informações pessoais de saúde estejam adequadamente protegidas.
Para proteger as informações de saúde, um aplicativo de texto compatível com o HIPAA terá as seguintes características. Os aplicativos de mensagens de texto compatíveis com a HIPAA também estão sujeitos à lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH).
-
Disponha uma senha avançada de proteção para todos os usuários (controles de acesso)
-
Limite o acesso à informação pessoal de saúde para vários funcionários do escritório (controles de auditoria)
-
Encrypt all mensagens de texto (criptografia)
-
Acordo de associação de negócios (BAA)
Proteção avançada por senha (controles de acesso)
Nem todos no seu escritório precisam ter acesso aos arquivos completos dos pacientes. Os controles de acesso (como a proteção por senha) dão aos seus funcionários acesso apenas ao mínimo PHI.
Os funcionários que realizam o faturamento não precisam ter acesso às informações médicas de um paciente. Da mesma forma, uma enfermeira não precisa acessar as informações financeiras de um paciente.
Controles de acesso dão a cada funcionário credenciais de login exclusivas e um nível de acesso designado para executar sua função.
Acesso limitado às PHI (controles de auditoria)
Controles de auditoria monitoram quem e quando e por quanto tempo as informações do paciente são acessadas. Isto estabelece padrões normais de acesso que podem ser atribuídos a indivíduos específicos.
Controles de auditoria são importantes para detectar o acesso não autorizado às PHI. Para a maioria das plataformas tradicionais de monitoramento de texto o acesso não é possível.
Mensagens de texto criptografadas (Criptografia)
Não há mensagens de texto seguras. Só há MAIS mensagens de texto seguras. No entanto, a HIPAA exige criptografia para proteger as PHI.
A encriptação é a forma mais forte de protecção digital. Converte dados em uma forma ilegível. Para vê-la, você precisa de uma chave de decriptação.
Again, a encriptação de texto não permite a encriptação devido à forma como os portadores lidam com os textos. As mensagens de texto (como uma tecnologia) não podem ser criptografadas. Isto significa que você não pode usar textos para transmitir informações pessoais de saúde.
Business Associate Agreement (BAA)
Como parte da sua política de mensagens de texto HIPAA, você precisa de um acordo de associado de negócios assinado (BAA). Um BAA especifica “entidades cobertas” e as proteções que asseguram informações de saúde protegidas. Ele também determina que ambas as entidades estejam dentro do cumprimento da HIPAA.
Sem um BAA assinado, você não pode usar um aplicativo de mensagens de texto para enviar PHI.
Artigo coberto: Como escolher o melhor aplicativo de mensagens de texto para o seu negócio ou organização
Pensamentos finais e próximos passos
Pronto para começar a enviar mensagens de texto aos seus pacientes? MessageDesk está aqui para ajudar com mensagens de texto mais inteligentes e simples para consultórios médicos, consultórios odontológicos e consultórios particulares.
Visite nosso centro de aprendizado para informações sobre como começar a usar o MessageDesk. Você encontrará um guia de início rápido para mensagens de texto, uma visão geral das características e uma explicação do que é MessageDesk.
Você também vai querer conferir nossa lista de modelos gratuitos de mensagens de texto SMS. Basta copiar e colar para começar a enviar mensagens.
Finalmente, sinta-se livre para começar um teste gratuito de 7 dias do MessageDesk com 50 mensagens de texto grátis.