客座文章: 这是一篇由 Atlantic.Net, Inc. 贡献的客座文章。Atlantic.Net 提供一系列托管服务,包括云、专用、托管、私有虚拟化和托管。他们最先进的基础设施符合 SOC2、SOC3、HIPAA 和 HITECH 标准,位于安全、气候受控的设施中,具有持续监控和与互联网骨干网的多个直接连接,以确保客户数据的可用性和安全性。
符合 HIPAA 标准的视频通话
视频会议在后 COVID-19 时代变得无处不在,是远程医疗服务的重要推动力。但是,要将视频通话用于医疗保健,您必须确保您的视频会议服务符合相关法规。在本文中,我们将解释美国视频通话的合规要求,符合 HIPAA 标准的服务/a>,以及如何选择适合您需要的服务。
什么是 HIPAA 合规性?
1996 年的健康保险流通与责任法案 (HIPAA) 旨在保护个人健康信息 (PHI) 和个人身份信息 (PII)患者。
HIPAA 要求适用于处理敏感患者信息的任何实体,以及代表涵盖实体处理 PHI 的业务伙伴。例如,在医疗保健行业运营的软件供应商通常被视为业务伙伴,必须遵守 HIPAA 要求。
HIPAA 法规旨在保护任何媒介或形式的 PHI。虽然 PHI 可能包括姓名、驾照和社会安全号码等信息,但它也代表更广泛的信息类别,包括照片、指纹和声纹。
符合 HIPAA 标准的视频聊天需要什么?
您组织的 健康数据管理实践还必须扩展到视频会议服务。以下是视频聊天解决方案为满足 HIPAA 要求而必须实施的几个安全要求:
- 加密——防止未经授权访问 PHI,因为数据只能使用解密密钥读取。尽管 HIPAA 没有严格要求,但加密是保护敏感数据的最安全方式。HIPAA 将加密视为一种“可寻址”安全措施——这意味着如果它在您的场景中不合理,您必须使用另一种等效的安全措施。
- 访问控制—确保获得授权的个人使用视频聊天仅访问他们执行任务所需的 PHI工作。访问控制根据员工的工作分配不同级别的 PHI 访问权限。
- 审计控制——跟踪对 PHI 的访问以防止未经授权的使用。维护 PHI 访问的审计日志允许组织监控常规员工访问模式并快速检测未经授权的访问。
然而,即使 SaaS 工具具有所有必要的安全措施,它也不能与没有签名的 PHI 一起使用 商业伙伴协议 (BAA)。该协议要求各方采取积极措施,充分保护受保护的健康信息。
监管机构最近忽视了与解决方案供应商达成 BAA 的要求,以便在 COVID 等突发公共卫生事件期间能够使用“善意的远程医疗”-19危机。
软件合规性取决于个人使用。要以符合 HIPAA 的方式使用视频聊天工具,必须对员工进行正确使用实践方面的培训。
符合 HIPAA 标准的视频通话:基本功能
供应商访问和审计
另一个重要的考虑因素 HIPAA 合规性谁有权访问敏感的个人数据。视频会议提供商可以保护患者数据不受外界影响,但他们也应该防止自己的员工访问 PHI。此外,审核供应商的视频API的使用 或其他处理或存储视频内容的外部服务。任何此类第三方 API 提供商还必须签署 BAA 并证明 HIPAA 合规性。
提供商必须采取管理、物理和技术保护措施,以防止未经授权的用户访问归类为 ePHI 的信息。例如,只有一小部分选定的已批准个人应具有登录凭据。包括智能手机和平板电脑在内的所有员工设备都必须受密码保护(最好使用多重身份验证),并且视频解决方案必须利用用户身份验证和密码保护。
理想情况下,供应商应该能够实施强大的审计工具并生成报告,其中包括每个文件的访问时间和访问者的日志。这对于在发现故意违规行为或识别和解决漏洞的情况下保护医疗保健专业人员很有用。
端到端加密
如前所述,HIPAA 并未严格要求加密,但在防止威胁行为者或未经授权的第三方访问视频通话或通话期间生成的数据方面极为有效.加密有助于防止未经授权的访问,因为只有授权的设备和用户(理想情况下)才能访问加密密钥。
意外违规
某些工具(例如 Zoom)在技术上可能被认为符合 HIPAA 标准。但是,如果用户向患者发送会议邀请或无意中将患者数据存储在 Zoom 帐户中,则可能违反 HIPAA 规定。这就是为什么与了解内部和外部 HIPAA 法规并且可以防止意外违规的供应商合作很重要。该解决方案必须限制可能导致违反 HIPAA 的活动。
如何评估符合 HIPAA 标准的视频通话系统
符合 HIPAA 的视频通话解决方案将患者隐私和保密放在首位。最好的系统超越最低安全标准,为提供者和患者提供一层安全保障。除了提供易于使用且价格合理的视频会议功能外,这些解决方案还必须制定保护用户的隐私标准。
要为您的用例确定符合 HIPAA 标准的视频会议系统,请考虑以下标准:
- 定价—评估每用户定价并特别注意录制视频会话的存储成本和保留能力.
- 功能—评估视频聊天功能,以确保您的员工可以使用该工具进行有效的远程医疗。
- 易于使用—确保患者和提供者都能轻松设置和使用。请记住,许多患者都是老年人或非技术人员,解决方案必须迎合他们。
- 辅助功能—确保您的所有用户都可以通过他们首选的设备、浏览器和操作系统访问视频会议。考虑到一些患者可能使用过时的计算系统。
- 安全——根据解决方案提供的安全层、安全措施的稳健性和易用性来评估解决方案它们可以由 IT 人员管理。确保该工具默认提供安全性并防止无意的违规行为。
结论
符合 HIPAA 标准的视频通话需要三个基本要素:端到端加密、强大的访问控制和审核功能,使您能够监控和防止未经授权的使用。
在评估用于医疗行业的视频会议服务时,确保:
- 提供安全连接
- 限制和审核视频会议提供商员工的访问权限
- 具有安全的默认配置以防止意外的合规性违规
这些要点将帮助您为医生和患者提供便捷的视频聊天服务,而不会侵犯隐私或面临合规处罚的风险。