标准短信 标准短信缺乏审计控制
大多数短信服务都没有针对医疗专业人员的审计控制。由于没有审计控制,治疗师或医务人员无法在数据库中记录对患者 PHI 所做的任何更改。
但符合 HIPAA 规定的治疗师短信服务则并非如此。HIPAA 在创建、修改、访问、共享或删除 PHI 时提供审计控制。SMS对 PHI 数据库没有审计控制。
标准短信不允许明确征得患者的同意(事先征得患者同意通过短信渠道分享敏感信息)。如果患者不希望收到短信更新,则没有选择退出机制。使用 HIPAA 安全短信,超出组织内部防火墙传输的数据将被加密,以确保其安全且隐藏,即使传输过程中被拦截。
如何确保治疗师的短信安全符合 HIPAA 标准
使用符合 HIPAA 要求的短信平台
许多短信平台提供符合 HIPAA 规定的短信服务,为发送消息提供额外的安全保障。此类短信平台会加密您的消息、规范对文本的受控访问并防止数据泄露。治疗师或任何其他医疗专业人员都可以使用此类平台保护其患者数据的安全,还可以避免违反医疗保健中规定的任何 HIPAA 法律。
征得患者同意
对于治疗师来说,安全 HIPAA 短信的最大动机是与患者建立信任关系。因此,患者在就诊时可以书面同意接收包含 PHI 的短信。在与患者开始消息线程以共享任何 PHI 信息(包括姓名、诊断结果、治疗计划等)之前,还应通过短信征得同意。如果患者不希望收到与健康相关的短信,还可以选择退出。
无需添加不必要的 PHI 信息
治疗师发送的消息可以包含尽可能少的 PHI 信息。治疗师可以使用患者的机密信息短代码和安全链接来获取更多 PHI 信息。这确保了增强的安全性以及 HIPAA 合规性。
安全设备
治疗师和其他医疗保健专业人员在处理 PHI 时应使用强密码和双重身份验证来增加一层安全性。应定期检查设备,以确保没有恶意软件或病毒威胁 PHI 安全。
避免保留短信
许多其他短信平台会将短信及其备份长期保留在其服务器上。这对患者的 PHI 信息可能是一个巨大的潜在威胁。治疗师应该充分了解消息备份、消息保留、敏感消息的存储时间以及如何安全地销毁或永久删除它们。使用符合 HIPAA 的安全短信,消息和数据库会被加密并定期监控。