Seite auswählen

HIPAA-konformes Texting – was ist das und wann brauchen Sie es nicht?

By
Veröffentlicht am
9. November 2020

Wussten Sie, dass Verstöße gegen die Vorschriften zum Versenden von HIPAA-konformen Textnachrichten zu Geldstrafen zwischen 50,000 und 1.5 Millionen US-Dollar pro Verstoß führen können?

Die Gesundheitsdaten einer Person sind persönlich und sollten niemandem außer dem medizinischen Fachpersonal bekannt sein. Es wäre jedoch nicht fair, diesen Fachleuten die Möglichkeit des SMS-Versands vorzuenthalten. Um dieses Problem zu lösen, wurden HIPAA-konforme SMS-Regeln eingeführt. 

Aber wie stellen Sie sicher, dass Ihre Organisation diese Regeln beim Versenden von Textnachrichten einhält? In diesem Beitrag erfahren Sie alles, was Sie wissen müssen.  

Was ist HIPAA-konformes Texting?

Der Health Insurance Portability and Accountability Act (HIPAA) setzt den Standard für den Schutz sensibler Patientendaten, vor allem in den Vereinigten Staaten. 

Jede Organisation, die sich mit geschützte Gesundheitsinformationen (PHI) muss sicherstellen, dass alle erforderlichen physischen, Netzwerk- und Prozesssicherheitsmaßnahmen vorhanden sind und befolgt werden. Zu diesen Organisationen gehören:

  • Abgedeckte Einheiten (CE) – Organisationen, die Behandlung, Bezahlung und Operationen im Gesundheitswesen durchführen. Dazu gehören Gesundheitsdienstleister, Krankenkassen, Privatpraxen usw. 
  • Wirtschaftspartner (BA): Drittorganisationen, die abgedeckte Einheiten mit Zugriff auf Patienteninformationen unterstützen. Dazu gehören externe Abrechnungsunternehmen, Cloud-Dienstanbieter, Anbieter von Softwareanwendungen usw.  

HIPAA-konformes Texting ist eine Erweiterung dieses Gesetzes und verpflichtet Organisationen dazu, sichere Messaging-Apps zu verwenden, die die Sicherheit elektronisch geschützter Gesundheitsinformationen (ePHI) gewährleisten, die zwischen autorisierten Benutzern übermittelt werden. 

HIPAA-Konformitätsregeln

Um vollständig zu verstehen, wie man HIPAA-konformes Texten erreicht, müssen wir verstehen, was HIPAA-Konformität beinhaltet. Sie besteht aus drei Regeln.

  1. Datenschutzbestimmungen
  2. Sicherheitsregel
  3. Regel zur Benachrichtigung bei Verstößen

Sehen wir sie uns im Detail an.

Datenschutzbestimmungen

Das Datenschutzregel legt eine Reihe nationaler Standards zum Schutz bestimmter Gesundheitsinformationen fest. 

Diese Standards regeln die Verwendung und Offenlegung der Gesundheitsinformationen einer Person durch Organisationen. Sie enthalten auch Normen für die Rechte einer Person, zu verstehen und zu kontrollieren, wie ihre Gesundheitsinformationen verwendet werden. Sie geben den Menschen die Gewissheit, dass ihre Daten bei der Weitergabe ausreichend geschützt sind, um ihnen eine qualitativ hochwertige Versorgung zu bieten.

Typischerweise umfassen die „Gesundheitsinformationen“: 

  • Der psychische oder körperliche Gesundheitszustand einer Person in der Vergangenheit, Gegenwart oder Zukunft 
  • Die dem Einzelnen zuteilwerdende Gesundheitsversorgung
  • Vergangene, aktuelle oder zukünftige Zahlungsdaten für die Erbringung von Gesundheitsleistungen

Anonymisierte Gesundheitsinformationen

Während die Datenschutzrichtlinie alle Patientendaten schützt, gilt sie nicht für anonymisierte Gesundheitsinformationen. 

Anonymisierte Patientendaten beinhalten nicht „Direktkennungen“, die andernfalls zur Identifizierung des Patienten anhand der Akte verwendet werden könnten. 

Es gibt zwei Möglichkeiten, Informationen zu anonymisieren: 

  1. Safe Harbor-Methode: Dies erfordert alle 18 Personenkennungen eliminiert werden.
  2. Expertenmeinung: Dabei werden bestimmte Identifikatoren (normalerweise Daten und demografische Daten) gespeichert und durch einen Experten versichert, dass diese nicht zur erneuten Identifizierung des Patienten verwendet werden können. 

Wenn es um die Übermittlung anonymisierter Gesundheitsinformationen geht, müssen Organisationen bei der Auswahl HIPAA-konformer SMS-Apps keine strengen Vorgaben machen. Sie können jede umfassende Lösung für den Massen-SMS-Versand um ihren Bedarf an Öffentlichkeitsarbeit zu decken.

Sicherheitsregel

Die Sicherheitsregel enthält Richtlinien zu den Sicherheitsvorkehrungen, die getroffen werden müssen, um den angemessenen Schutz elektronisch geschützter Gesundheitsinformationen (ePHI) zu gewährleisten. Dies gilt nicht für Informationen, die mündlich oder schriftlich übermittelt werden. 

Es gibt drei Sicherheitsvorkehrungen, die jede Organisation treffen muss, um die Sicherheitsvorschriften einzuhalten:  

Administrative SicherungsmaßnahmenTechnische SicherungsmaßnahmenPhysische Schutzmaßnahmen
Sicherheitsmanagementprozess: Identifizieren potenzieller Risiken für ePHI und Implementieren von Sicherheitsmaßnahmen zu deren Reduzierung. Zugriffskontrolle. Implementierung von Verfahren wie der eindeutigen Benutzeridentifizierung, um sicherzustellen, dass nur autorisierte Personen Zugriff auf ePHI haben.Zugangskontrolle zu Einrichtungen: Beschränkung des physischen Zugangs zu Einrichtungen und Sicherstellung, dass nur autorisiertes Personal Zutritt hat.
Sicherheitspersonal: Benennung eines Sicherheitsbeauftragten, der für die Entwicklung und Implementierung von Sicherheitsrichtlinien und -verfahren verantwortlich ist.Prüfungskontrollen: Implementierung von Mechanismen zur Aufzeichnung und Untersuchung von Zugriffen und anderen Aktivitäten in Informationssystemen, die ePHI enthalten. Geräte- und Mediensteuerung: Sicherstellung geeigneter Verfahren zur Entsorgung nicht mehr verwendeter Geräte und zum Löschen der Daten von Geräten, die wiederverwendet werden sollen. 
Verwaltung des Informationszugriffs: Beschränken Sie den Zugriff auf ePHI bei Bedarf nur auf autorisierte Beamte.  Integritätskontrollen: Es müssen geeignete Maßnahmen getroffen werden, um sicherzustellen, dass ePHI bei einer Löschung ordnungsgemäß vernichtet wird. 
Schulung und Führung der Belegschaft: Schulung der Mitarbeiter hinsichtlich Sicherheitsrichtlinien und -verfahren. Dazu gehört auch die Verhängung angemessener Strafen gegen Mitarbeiter, die gegen die Richtlinien verstoßen.Übertragungssicherheit: Sicherstellen, dass die verwendeten Anwendungen die Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsseln.
Bewertung: Durchführen einer regelmäßigen Bewertung der Sicherheitsrichtlinien und -verfahren sowie ihrer Wirksamkeit. 

Regel zur Benachrichtigung bei Verstößen

Die Regel zur Meldung von Verstößen verlangt von Organisationen mit Zugriff auf PHI, im Falle eines Verstoßes eine Benachrichtigung an folgende Stellen zu senden:

  • Von dem Verstoß betroffene Personen. Sie können per Post oder E-Mail benachrichtigt werden. 
  • Sekretär des HHS indem Sie einen Online-Bericht über Verstöße ausfüllen und übermitteln. 
  • Medien, wenn der Verstoß mehr als 500 Einwohner eines Staates oder einer Gerichtsbarkeit betrifft. 

Als Verstoß gilt jede unbefugte Nutzung oder Weitergabe von PHI, die die Informationssicherheit und Privatsphäre einer Person gefährdet. Dieser Verstoß kann folgende Ursachen haben:

  • Unbefugter Zugriff durch einen Mitarbeiter oder einen Dritten 
  • Ein Malware-Angriff 
  • Diebstahl von Geräten mit ePHI  

Eine Benachrichtigung ist nicht erforderlich, wenn die PHI (aufgrund der Verschlüsselung) von unbefugtem Personal nicht verwendet oder gelesen werden kann.

Schritte zur Sicherstellung der HIPAA-Textnachrichtenkonformität

Um sicherzustellen, dass HIPAA-konforme SMS-Maßnahmen vorhanden sind, müssen Sie drei wichtige Schritte unternehmen. Dazu gehören:  

  1. Festlegen von SMS-Richtlinien auf Unternehmensebene
  2. Ermittlung der entsprechenden Anbieteranforderungen zur Auswahl der richtigen SMS-Lösung
  3. Aktive Überwachung des Messaging-Prozesses und der Richtlinien

Hier erfahren Sie, was die einzelnen Punkte mit sich bringen. 

Schritt 1: Richtlinien für das Versenden von SMS

Der erste Schritt besteht in der Etablierung organisationsweiter Einhaltung von SMS-Versand Richtlinien, an die sich jeder, auch Geschäftspartner, halten muss. 

Die beiden Schlüsselfaktoren, die HIPAA-konforme SMS-Richtlinien hervorheben müssen, sind: 

  1. Definieren einer Textnachricht (einschließlich akzeptierter Datenformate, zur Kommunikation verwendeter Geräte usw.) 
  2. Erstellen von Protokollen zum sicheren Senden und Empfangen von ePHI.

Diese Richtlinien müssen allen Beteiligten (Mitarbeitern, Partnern usw.) mitgeteilt werden und den Benutzern öffentlich zur Einsicht zur Verfügung stehen. 

Zu den Standardrichtlinien, die Sie implementieren müssen, gehören:

Benutzer sollten keine Textnachrichten mit ePHI senden, es sei denn, die Nachricht ist während der Übertragung und im Ruhezustand verschlüsselt. 

Die Nachricht sollte zu keinem Zeitpunkt von der verwendeten SMS-Anwendung entschlüsselt und gespeichert werden.

Sowohl das Gerät des Absenders als auch das des Empfängers müssen die Verschlüsselungsanforderungen für die Nachricht während der Übertragung und im Ruhezustand erfüllen.

Alle Benutzer, die Nachrichten mit ePHI senden möchten, müssen sicherstellen, dass die IT-Abteilung die SMS-Anwendung genehmigt.   

Das verwendete Gerät/die SMS-Anwendung muss passwortgeschützt sein. Diese Funktion sollte niemals deaktiviert werden.

Das Gerät/die Anwendung muss so konfiguriert sein, dass es/sie nach einer Zeit der Inaktivität (normalerweise 5 Minuten) automatisch gesperrt wird. 

Alle Textnachrichten mit ePHI sollten nur die für den zulässigen Zweck erforderlichen Mindestinformationen enthalten. Benutzer müssen die Verwendung mehrerer Kennungen vermeiden. 

Melden Sie alle Textnachrichten, die unverschlüsselt sind oder an die falsche Person gesendet werden, dem HIPAA-Sicherheitsbeauftragten. 

Richtlinien zum Versenden von Textnachrichten

Abgesehen von den oben genannten Richtlinien müssen Sie auch einige Richtlinien festlegen, an die sich die Benutzer halten müssen, um die Einhaltung des HIPAA-Textversands sicherzustellen. Einige dieser Richtlinien umfassen: 

Bestätigung des Empfängers des Textes vor dem Senden.

Bestätigung der Zustellung und des Empfangs der Textnachricht. Vermeidung der Verwendung von Kurzformen oder Textabkürzungen.

Überprüfen Sie die Nachricht und stellen Sie sicher, dass die Autokorrekturfunktion keine Informationen ändert. 

Löschen aller Texte, die ePHI enthalten, sobald die Daten nicht mehr benötigt werden. 

Basierend auf der Nutzung in Ihrer Organisation und den Benutzern können Sie diese Richtlinien ergänzen, um HIPAA-konformes Textversand zu gewährleisten. 

Schritt 2: Lieferantenanforderungen und SMS-Lösung ermitteln

Sobald Sie die Richtlinien für die Nutzung festgelegt haben, besteht der nächste Schritt darin, SMS-Lösungen zu finden. Die von Ihnen gewählte Lösung muss mit den für die Nutzung festgelegten Richtlinien vereinbar sein. 

Normalerweise müssen Organisationen, die nach einer HIPAA-konformen SMS-App suchen, nach Lösungen suchen, die die folgenden Anforderungen erfüllen: 

Authentifizierungsmethoden: Muss sichere Benutzerauthentifizierungsmethoden bereitstellen, um autorisierten Zugriff zu gewährleisten.

Passwortverwaltung: Die generierten Passwörter müssen ausreichend komplex sein. Es müssen sichere Mechanismen zum Ändern oder Zurücksetzen von Passwörtern vorhanden sein. 

Login-Überwachung: Alle Anmeldeversuche (erfolgreich oder erfolglos) müssen überwacht werden. Das Konto muss nach einer bestimmten Anzahl erfolgloser Versuche gesperrt werden. 

Automatische Abmeldung: Die Anwendung muss sich nach einer Zeit der Inaktivität abmelden. 

Zugriffskontrolle: Benutzer dürfen nur auf die Informationen zugreifen können, die sie senden oder empfangen. 

Eindeutige Benutzeridentifikation: Alle Benutzer sollten in der gesamten Anwendung eindeutig identifiziert werden, sodass alle ihre Aktivitäten zu Prüfzwecken auf diese IDs zurückgeführt werden können. 

Kontoautorisierung: Nur Administratoren sollten neue Konten erstellen oder neue Benutzer hinzufügen können. 

Kontoauflösung: Der Administrator kann Konten löschen. Die gelöschten Konten sollten keinen Zugriff auf vorherige Nachrichten haben.  

Audit-Funktionen: Sollte alle Aktivitäten im Zusammenhang mit der Benutzerauthentifizierung und dem Nachrichtenzugriff mit Zeitstempeln protokollieren. 

Übertragungssicherheit: Die Anwendung muss alle Nachrichten im Ruhezustand und während der Übertragung verschlüsseln. 

Schutz der Daten auf dem Gerät: Alle auf dem Mobilgerät gespeicherten Daten müssen verschlüsselt werden. Dies gilt auch für per SMS versendete Anhänge. 

Neben diesen Schlüsselfunktionen muss die Anwendung auch die folgenden weiteren Verwaltungs- und Sicherheitsanforderungen erfüllen:

Sichere Benachrichtigungen – Angezeigte Nachrichtenbenachrichtigungen sollten keine ePHI enthalten. 

Fernlöschung: Administratoren sollten in der Lage sein, Nachrichten von gestohlenen oder verlorenen Geräten aus der Ferne zu löschen und den Zugriff darauf zu widerrufen. 

Lebensdauer der Nachricht: Nachrichten sollten nach einer bestimmten Zeit automatisch gelöscht werden.

Standardintegrationen

Bei der Auswahl einer SMS-Lösung möchten Sie nicht nur etwas Sicheres, sondern auch eine einfache Kommunikation. Die von Ihnen gewählte klinische Kommunikationsplattform sollte sich in folgende Systeme integrieren lassen: 

  • Telefonbücher
  • Elektronische Gesundheitsakten
  • Laborkommunikationsgeräte
  • Bildarchivierungs- und Kommunikationssysteme

Denken Sie zuletzt daran, eine Geschäftspartnervereinbarung vom Anbieter einzuholen. Diese Vereinbarung sollte beinhalten, dass der Anbieter HIPAA-Compliance-Maßnahmen ergriffen hat, da diese auch für ihn gelten. 

Schritt 3: Tracking und Überwachung

Sobald eine SMS-Lösung implementiert ist, ist es für Unternehmen von entscheidender Bedeutung, aktiv zu überwachen, ob die Maßnahmen vorhanden sind und die HIPAA-Konformität gewahrt bleibt. 

Hierzu gehört im Allgemeinen die regelmäßige Überwachung von Protokolldateien und Prüfinformationen, um eine ordnungsgemäße Verwendung sicherzustellen. 

Um dies sicherzustellen, sollten IT-Administratoren einige allgemeine Aktivitäten proaktiv durchführen:

Verfolgen und Überwachen von Administratoraktivitäten im Zusammenhang mit Benutzerverwaltung, Informationszugriff und Richtlinien. 

Sicherstellen, dass Authentifizierungsereignisse und Prüfdaten korrekt erfasst werden.

Stellen Sie sicher, dass die Nachrichtenübermittlung und Lesebestätigungen mit einem Zeitstempel versehen sind. 

Sicherstellen, dass die Benutzer mit den von der Organisation festgelegten HIPAA-konformen SMS-Richtlinien vertraut sind. 

Obwohl diese Schritte für das sichere Versenden von ePHI-Textnachrichten unerlässlich sind, gibt es einige Fälle, in denen diese Richtlinien und Maßnahmen für die Kommunikation möglicherweise nicht erforderlich sind.

Wann sind HIPAA-konforme SMS-Maßnahmen nicht erforderlich?

Einfach ausgedrückt gelten die HIPAA-Konformitätsregeln nicht für zwei Arten von Nachrichten: 

  1. Nachrichten, die keine PHI enthalten
  2. Texte mit anonymisierten Gesundheitsinformationen

Zu den Anwendungsfällen, die keine HIPAA-konformen SMS-Maßnahmen erfordern, gehören typischerweise die folgenden:

1. Terminmeldungen

Über 40 % der Menschen verpassen Termine, weil sie sie vergessen. Terminerinnerungstexte ist eine gute Möglichkeit, dies zu vermeiden. Um es einzurichten, müssen Sie: 

  • Richten Sie ein SMS-Anmeldung für Benutzer. Patienten senden ein Schlüsselwort an eine Kurzwahl, um Erinnerungen zu erhalten. 
  • Richten Sie ein SMS-Autoresponder um eine Bestätigung zu senden, dass ihre Anfrage eingegangen ist.
  • Planen Sie eine Textübertragung an alle Patienten, die sich mit den Termindetails angemeldet haben. 
HIPAA-konforme SMS-Erinnerung

2. Kommunikation zur Terminverschiebung

Oft passt der Termin für den Patienten nicht. Wenn Sie ihm die Möglichkeit geben, den Termin per SMS zu verschieben, können Sie dafür sorgen, dass er eine gute Erfahrung macht. 

Die Terminverschiebung ist lediglich eine Erweiterung der Erinnerungen. Die ersten Schritte bleiben dieselben. 

Opt-in für HIPAA-konformes SMS-Versand

Wenn sich jemand für eine Terminverschiebung entscheidet, können Sie das Gespräch auf zwei Arten fortsetzen: 

  • Einrichten automatisierte Textnachrichten um ihren Umbuchungswunsch zu bestätigen. Sie können die Daten der Patienten mit Umbuchungswünschen zusammentragen und ihnen dann eine SMS mit einem neuen Termin schicken. 
  • Hebelwirkung Peer-to-Peer-SMS um mit dem Patienten per SMS zu kommunizieren und einen neuen Termin zu vereinbaren. So würde es aussehen:
HIPAA-konformes Peer-Texting

3. Bitte an die Patienten, in der Praxis anzurufen

Wenn Sie mit Patienten persönliche Angelegenheiten besprechen müssen, können Sie ihnen eine SMS schicken, damit sie Sie anrufen. Sie müssen lediglich eine SMS-Rundsendung einrichten, die an die Patienten gesendet wird. 

HIPAA-konforme SMS-Anrufanfrage

4. Patienten auf sichere Patientenportale verweisen

Auch wenn Sie die Gesundheitsinformationen eines Patienten nicht per Textnachricht weitergeben können, können Sie sie verwenden, um sie zu sicheren Portalen zu leiten, über die sie auf ihre Informationen zugreifen können. Ähnlich wie bei der Planung von Anrufen müssen Sie lediglich ein Textexplosion mit einem Link zum Portal darin. 

HIPAA-konforme SMS-Erinnerung

5. Senden allgemeiner Updates an Patienten und Mitarbeiter

Wenn Ihre Organisation Patienten oder Mitarbeiter einbinden möchte mit SMS-Marketing, können Sie das auch tun. Dazu könnte das Versenden von Updates gehören mit:

  • Gesundheitstipps oder -warnungen
  • Organisatorische Ankündigungen
  • Werbeangebote
  • Ankündigungen neuer Produkte/Dienste usw.
HIPAA-konforme SMS-Werbung

Bei der Wahl einer Software zum Versenden von Massen-SMS Wählen Sie für diese Anwendungen eine umfassende Lösung wie Anrufhub, das alle oben genannten Funktionen bietet. 

Durch die Kombination aller Funktionen in einer Lösung wird der Wechsel zwischen Anwendungen zur Verwaltung verschiedener Kampagnen vereinfacht. Darüber hinaus ist es auch kostengünstiger, da Sie nicht für mehrere Apps bezahlen müssen. 

HIPAA-konforme SMS-Apps

Hier sind einige gängige HIPAA-konforme SMS-Apps, die Sie für Ihr Unternehmen in Betracht ziehen können. 

Bedenken Sie, dass diese Apps zwar den HIPAA-Standardregeln entsprechen, jedoch möglicherweise nicht den Richtlinien Ihrer Organisation. Es wird daher empfohlen, dass Sie Ihre Anforderungen sorgfältig mit den Bestimmungen vergleichen, bevor Sie eine Wahl treffen. 

Schlussfolgern

Immer mehr Patienten und Gesundheitsdienstleister nutzen Smartphones und versprechen sich von den praktischen Vorteilen dieses Geräts in vielerlei Hinsicht, etwa beim Empfangen und Zugreifen auf Gesundheitsinformationen. 

Dies wird durch HIPAA-konforme SMS-Maßnahmen ermöglicht.  

Hoffentlich helfen Ihnen die oben genannten Punkte zu verstehen, wie Sie diese Konformität erreichen und die Sicherheit Ihrer Patienten und Ihrer Organisation gewährleisten.  

Empfohlene Bildquelle: National Cancer Institute

Nandhaan Verma Linkedin
Nandhaan ist ein Marketingexperte mit fast 5 Jahren Erfahrung in der Recherche und dem Schreiben von Beiträgen über Kommunikation für gemeinnützige Organisationen, Interessenvertretungen und politische Kampagnen. Seine Erkenntnisse haben zahlreichen Organisationen geholfen, ihre Kommunikation zu optimieren und Veränderungen voranzutreiben.