Wysyłać SMS-y do pacjentów czy nie? The Message from HIPAA

Większość z 1,9 biliona tekstów, które Amerykanie wysłali w ubiegłym roku ze swoich smartfonów do przyjaciół i rodziny, nie byłaby wystarczająco bezpieczna dla placówek służby zdrowia. To niefortunne, ponieważ wysyłanie wiadomości tekstowych jest szybkim, łatwym i skutecznym sposobem komunikacji.

Prawdopodobnie nie jest również zaskoczeniem, że wysyłanie wiadomości tekstowych jest najpopularniejszą funkcją smartfona, zgodnie z ankietą Pew Research Center z 2015 r., a 97% Amerykanów używa swoich telefonów do wysyłania wiadomości tekstowych.

Ale jak w większości innych rzeczy, w świecie opieki zdrowotnej obowiązują inne zasady.

Zasady HIPAA/HITECH dotyczące prywatności i bezpieczeństwa obejmują wszelką komunikację z elektronicznymi chronionymi informacjami zdrowotnymi (ePHI), w tym pocztę elektroniczną, media społecznościowe i wiadomości tekstowe. W jednym z rzeczywistych przypadków dostawcy usług w ośrodku opiekuńczym poprosili pielęgniarki o przesłanie im SMS-em informacji o pacjencie. Nawet bez dowodów na to, że nieupoważniona osoba widziała te wiadomości, CMS interweniował z 10-punktowym planem naprawczym, aby przekwalifikować personel, wyznaczyć specjalistę ds. bezpieczeństwa HIPAA oraz zmienić politykę i procedury HIPAA.

Pamiętaj, że wysyłanie wiadomości tekstowych pozostawia zapis, w przeciwieństwie do rozmów telefonicznych. Ponadto łatwiej jest się upewnić, że kontaktujesz się z właściwą osobą przez telefon. Ryzyko wysłania SMS-a z poufnymi informacjami o pacjencie do innej osoby nie jest zerowe – w badaniach publicznych około jedna trzecia osób twierdzi, że omyłkowo wysłała SMS-a do niewłaściwej osoby.

W dodatku naruszenie zasad ochrony prywatności zawartych w normie HIPAA/HITECH może skutkować wysokimi karami, nawet do 50 000 USD. Tak więc unikanie pokusy wysłania SMS-a do kolegi w celu szybkiej konsultacji z pacjentem może również zaoszczędzić pieniądze.

HIPAA Compliant Texting

Nawet w tym przypadku Wspólna Komisja nie wykluczyła wszystkich SMS-ów, według Andrew A. Brooks, MD, chirurga ortopedy i głównego dyrektora medycznego w Tigertext, firmie zajmującej się bezpiecznym przesyłaniem wiadomości mobilnych. W artykule dla American Academy of Orthopaedic Surgeons, dr Brooks wskazuje, że minimalne wymagania dotyczące zgodności z HIPAA obejmują:

Bezpieczne centra danych-Osite lub offsite (w chmurze) centra danych muszą stosować wysoki poziom bezpieczeństwa fizycznego i polityki przeglądu kontroli i prowadzenia bieżącej oceny ryzyka.
Szyfrowanie – dane osobowe są szyfrowane zarówno w tranzycie, jak i w spoczynku.
Uwierzytelnianie odbiorcy – potwierdzenie, że wszelka komunikacja zawierająca ePHI trafia wyłącznie do zamierzonego odbiorcy.
Kontrole audytowe – możliwość tworzenia i rejestrowania śladu audytowego wszystkich działań, w tym wiadomości tekstowych zawierających ePHI.

Sama ilość wiadomości tekstowych wskazuje na ogólne preferencje dla tej formy komunikacji. 1,92 biliona wiadomości tekstowych wysłanych w ubiegłym roku to prawie dwa razy więcej niż 1 bilion wysłany w 2008 r., więc kto wie, ile wiadomości tekstowych Amerykanie będą wysyłać w przyszłości.

Tekstowe przypomnienia o wizytach i badaniach wellness

Twoja praktyka może już wysyłać pacjentom tekstowe przypomnienia o zbliżających się wizytach. Istnieją dowody na to, że ta strategia może zmniejszyć wskaźnik niestawiennictwa pacjentów. Zasady HIPAA generalnie nie mają zastosowania do komunikacji bez ePHI.

Przypomnienia tekstowe wydają się również pomagać pacjentom w przypadku przypomnień o lekach, opiece zdrowotnej i stylu życia. Przykładowo, badacze wykazali, że wiadomości tekstowe dotyczące chorób przewlekłych mogą pomóc pacjentom w zarządzaniu cukrzycą, przypominać Afroamerykanom z wysokim ciśnieniem krwi o przyjmowaniu leków i pomagać ludziom w zwiększeniu poziomu ćwiczeń i aktywności fizycznej, chociaż niektórzy twierdzą, że potrzeba więcej badań nad najlepszymi praktykami.

Sprzedawcy z branży opieki zdrowotnej oferują aplikacje, które obiecują bezpieczne przesyłanie wiadomości tekstowych i pozwoliłyby lekarzom i pracownikom medycznym komunikować się w ramach platformy zgodnej z HIPAA. Należy sprawdzić, czy informacje są zgodne z HIPAA, ponieważ agencje rządowe nie weryfikują wielu z tych aplikacji. Ponadto, jeżeli zdecydujesz się na korzystanie z platformy bezpiecznego przesyłania wiadomości tekstowych innej firmy, pamiętaj o trzech wymaganiach dotyczących zabezpieczenia informacji PHI: poufności, integralności i dostępności. Każda wybrana platforma musi spełniać wszystkie trzy elementy, zgodnie z Mellette PC Prawnicy dostawcy usług medycznych w Virginia.

Inna opcja, teraz, że ponad 80% lekarzy korzysta z systemów elektronicznych rekordów zdrowotnych, jest do komunikowania się z pacjentami poprzez wysyłanie wiadomości e-mail za pośrednictwem bezpiecznego portalu pacjenta. Jak zapewne wiecie, bezpieczne portale mogą pomóc kwalifikującym się dostawcom w spełnieniu wymogów Meaningful Use.

Bez względu na stosowaną strategię, przypominajcie swoim pracownikom, aby nigdy nie przekazywali informacji ePHI za pomocą niezabezpieczonych metod komunikacji. I choć gratulujemy przejścia do świata szybkiej i wygodnej komunikacji elektronicznej z pacjentami, tutaj, w Power Your Practice, nie chcemy również, abyś został ukarany finansowo.