Нужен VoIP, соответствующий HIPAA? Убедитесь, что у вас есть подписанный BAA

С 1996 года HIPAA служит законным средством защиты конфиденциальных данных пациентов. С быстрым ростом технологического учета и коммуникации правила HIPAA продолжают обеспечивать легкий доступ к информации о пациентах, сохраняя при этом личную конфиденциальность.

Многие провайдеры VoIP, включая Nextiva и RingCentral, сами соответствуют требованиям HIPAA, но этого недостаточно, чтобы гарантировать, что у вашего бизнеса есть все необходимые элементы.

Есть еще один важный шаг, который вам необходимо предпринять для того, чтобы VoIP полностью соответствовал требованиям HIPAA — это соглашение о деловом партнерстве, которое обязывает поставщика соблюдать высочайший уровень протоколов конфиденциальности и безопасности.

СКАЧАТЬ: Эта политика HIPAA от TechRepublic Premium

Что следует включить в BAA для VoIP, соответствующего HIPAA

BAA, который иногда также называют контрактом делового партнерства, требуется Министерством здравоохранения и социальных служб (DHHS) для всех видов общения между медицинскими работниками и их деловыми партнерами, включая поставщиков VoIP.

По данным DHHS, этот контракт должен включать условия, требующие от поставщика:

Установить, как и когда он может законно использовать или раскрывать защищенную информацию. Принять необходимые меры для предотвращения незаконного доступа к персональной медицинской информации (PHI), как в электронном виде, так и иным образом. Сообщать вам о любых потенциальных или фактических нарушениях безопасности. Выполнять ваши запросы PHI от имени пациента или регулирующего органа. Выполнять все запросы DHHS относительно его внутренних практик, бухгалтерского учета и записей, связанных с правилами HIPAA. Возвратить или уничтожить всю PHI, связанную с вашим бизнесом, в случае расторжения BAA. Требовать от всех субподрядчиков соблюдения условий BAA. Разрешить вам расторгнуть ваш контракт, если какие-либо условия BAA будут нарушены.

В случае нарушения прав HIPAA DHHS принимает во внимание, знало ли ваше предприятие о каких-либо потенциальных рисках или несоблюдении требований. Таким образом, наличие BAA показывает, что вы предприняли все необходимые шаги для обеспечения соответствия требованиям поставщика.

Если вы столкнулись с утечкой PHI из-за ошибки провайдера VoIP, а вы не подписали BAA, то вы можете быть привлечены к юридической ответственности.

В зависимости от конкретного нарушения и степени вашей ответственности, Управление по гражданским правам DHHS может налагать штрафы до $1,9 млн с возможным тюремным заключением. Кроме того, вы можете столкнуться с возможностью судебных исков от любых пациентов, пострадавших от нарушения.

Чтобы упростить процесс заключения соглашения о сотрудничестве с поставщиками и другими организациями, DHHS предоставляет образец договора, который вы можете использовать в качестве руководства.

Что еще требуется для соответствия VoIP требованиям HIPAA?

Поскольку технологии продолжают развиваться, DHHS внедрило дополнительные меры защиты HIPAA для защиты всех типов защищенной медицинской информации, включая электронные документы и генетическую информацию.

Департамент выпустил положения, требующие от всех организаций, включая деловых партнеров, поставщиков и других, уведомлять пострадавшие стороны о любых нарушениях безопасности, а также многоуровневую систему наложения штрафов.

В свете этих изменений каждый поставщик VoIP-услуг, соответствующий требованиям HIPAA, должен следовать современным передовым протоколам в дополнение к подписанию BAA.

Когда речь идет о поддержании максимальной безопасности и конфиденциальности, а также предотвращении потенциальных утечек защищенной медицинской информации, следует обратить внимание на следующие аспекты:

Сквозное шифрование данных, гарантирующее, что любая перехваченная PHI не может быть легко расшифрована. Ограниченный доступ и дополнительные меры аутентификации гарантируют, что только обученный, назначенный персонал может просматривать конфиденциальную информацию. Журналы вызовов и/или аналитика вызовов, которые отслеживают данные пользователей в целях поддержания конфиденциальности, целостности и безопасности электронной PHI.

Если ваш поставщик VoIP предпринял все вышеперечисленные меры, никаких дополнительных шагов для обеспечения соответствия требованиям HIPAA для видео, записи звонков или услуг, связанных с телемедициной, не требуется.

Однако, поскольку телемедицина становится все более распространенной практикой, вам и вашим пациентам, возможно, захочется рассмотреть дополнительные функции безопасности, такие как автоматическое завершение сеанса или блокировка после определенного периода бездействия.

Поставщики VoIP, соответствующие требованиям HIPAA

Соответствие требованиям HIPAA является преимуществом для многих современных клиентов VoIP, поэтому большинство провайдеров предпринимают необходимые шаги для обеспечения соответствия этим требованиям.

Nextiva и RingCentral — два моих любимых решения, но я рекомендую вам ознакомиться с нашим полным руководством покупателя VoIP, чтобы получить более подробную информацию обо всех ведущих поставщиках на рынке, большинство из которых предлагают решения VoIP, соответствующие требованиям HIPAA.