Ensuring HIPAA Compliance in Text Messaging

许多医疗保健提供者和工作人员发现,短信可以快速访问他们做出医疗保健决策所需的信息,并且是与其他提供者和患者进行通信的方便方法. Yet, 医疗保健提供者和工作人员在使用文本消息传递时需要了解HIPAA隐私和安全规则,以避免违反这些规则.

典型的短消息服务(SMS)文本不能提供发送受保护的健康信息(PHI)所需的安全性。. 因此,如果未经授权的个人可以查看短信数据,患者的隐私可能会受到损害. Additionally, 多个运营商可能参与到文本消息的中继和路由中, messages can remain on servers in unencrypted formats, 也不能保证收件人一定会收到并阅读这条信息.1 如果不安全的短信导致违反HIPAA,可能会受到昂贵的处罚.

In some situations, standard text messaging may comply with HIPAA. For example, the HIPAA Journal 解释医疗保健提供者只有在短信内容不包括“个人标识符”且符合“最低必要标准”的情况下才能向患者发送短信."2 医疗保健提供者还必须警告患者,通过未加密的通道传递个人信息存在风险.

To ensure HIPAA compliance in texting, 医疗保健组织应该使用安全的消息传递系统,并制定符合HIPAA安全规则的策略和程序 administrative, physical, and technical safeguards. 技术保障措施特别适用于通过短信进行PHI的电子传输. These safeguards address concerns such as access controls, audit controls, integrity control, methods for ID authentication, 以及PHI以电子方式传输时的传输安全机制.3

When evaluating potential messaging systems, 医疗保健组织应该寻求提供多级加密的技术(例如.g.(存储数据、传输数据和应用程序内数据的加密). The technology also should be capable of operating on various devices, such as mobile phones running various operating systems, tablets, and desktop computers.4 Other features of a secure text messaging system to consider include:

  • Data storage on a secure private server with backup
  • 在移动设备丢失或被盗的情况下,用于从移动设备删除/禁用应用程序的远程选项
  • Automatic logout after a period of inactivity
  • 能够在各种无线频率和Wi-Fi上工作,以避免医院的死区
  • The ability to track and confirm message delivery
  • The ability to set a maximum message data life (e.g., 30 days)5

医疗保健组织还应该考虑综合消息传递系统的潜在好处, rather than single-purpose systems. 综合消息传递系统应该容易地与组织的日历集成, directory, customer relationship management system, single sign-on capabilities, and document-sharing service.6

另一个需要考虑的问题是选择能够提供对文档的即时访问的消息传递系统, images, and resources within conversations, 因此,医疗保健提供者和工作人员不必切换应用程序(或上下文)来访问关键信息.

医院和其他医疗保健组织还需要确定如何将短信活动纳入其健康记录文档策略中. HIPAA规定,个人有权查看和修改用于制定有关其护理的临床决策的PHI, which might include information sent via text messages. As such, 允许短信的组织应该制定政策,“要求对通过文本接收的任何ePHI进行医疗记录注释,并用于对患者做出决定。."7

Additionally, 医院和其他医疗机构也应该与付款人和认证组织核实,看看他们是否提供了与短信相关的指导或标准. For example, the Centers for Medicare & 如果使用安全平台,医疗补助服务(CMS)允许在医疗团队成员之间发送患者信息, but CMS prohibits texting of patient orders. 同样,联合委员会也不允许用短信来传达病人的命令.8


