Informática de salud: ¿cumple iMessage HIPAA?

Pienso mucho sobre esto

Entre lo que es posible, se encuentra el punto de apoyo sobre el que aprovechamos lo que podría ser la plataforma tecnológica más omnipresente a riesgo de exponer la PHI a personas inadecuadas.

En resumen, no puede enviar PHI a través de mensajes SMS o iMessage porque estas tecnologías no son un intercambio de datos punto a punto. Los mensajes, mientras se enrutan, se almacenan de forma duplicada en varios servidores, en un formato no encriptado. Algunos servidores almacenan estos durante días, algunos durante meses, algunos a perpetuidad. Como observó Dan, dado que el médico promedio nunca conseguiría que Apple o un transportista firmaran un BAA o trabajaran en una solución mejor, esto en su mayoría es verboten.

Pero, digamos que no vamos a enviar PHI. La definición de lo que es PHI y quiénes son entidades cubiertas es ambigua. Después de todo, parece que hemos decidido unilateralmente que está bien enviar recordatorios de citas por SMS, siempre que usemos “buen juicio”. Como tal, probablemente podamos enviar otra información útil a los pacientes siempre que no sea explícitamente específica para esa persona y forme parte del tratamiento (lo que es, es una respuesta para otro momento). Sin embargo, el problema más práctico es que un número de teléfono en sí mismo no es una gran manera de identificar a una persona (o un usuario, en un flujo de trabajo de la aplicación). Los teléfonos pueden pertenecer a varias personas. A menudo no hay garantía de que ese teléfono le pertenece a esa persona. Los números de teléfono pueden ser reasignados. No es que las llamadas telefónicas no tengan ese problema; es que es más fácil pedirle a alguien que valide su identidad. Como tal, debe equilibrar saber lo suficiente acerca de la persona que envía un mensaje de texto para que pueda validar quiénes son a través de las entradas de texto, sin divulgar suficiente información sobre la persona para que su conversación sea ahora PHI.

Uf.

En el año 2012, hay más teléfonos celulares que personas. Esto abarca todos los datos demográficos. Incluso con la creciente prevalencia de teléfonos inteligentes, las personas envían mensajes de texto cada vez más cada año. Probablemente deberíamos encontrar una forma responsable de manejar la PHI a través de SMS.

Verizon, AT & T y Sprint: esta es una idea gratuita: cree un servicio donde alguien pueda registrar ciertos números de teléfono para utilizar servidores cifrados. Cobra a las personas grandes cantidades de dinero para comprar esos números telefónicos como lo haces con asignaciones de Código Corto y firma BAA. Hay tantas compañías que intentan crear soluciones para esto con “aplicaciones” que inmediatamente tendrían un mejor servicio que al utilizar esto y que finalmente podríamos deshacernos de buscapersonas.

Para terminar, a uno de mis colegas le gustaba usar un adagio de Jurassic Park para describir flujos de trabajo que nunca se planificaron: la vida (o el flujo de trabajo) encuentra una manera. En nuestras reuniones con hospitales, descubrimos que el personal clínico envía mensajes de texto a pacientes que cumplen con HIPAA o no. Eficiente o no. Es porque saben que obtendrán una respuesta real de la persona de esa manera. Si no comenzamos a tratar de resolver esto de manera agresiva (y lograr que los actores involucrados participen para solucionarlo), las personas seguirán intentando hacerlo de forma ineficiente o poniendo en peligro la privacidad del paciente.

Es menos un problema técnico relacionado con el cifrado, y es más un problema relacionado con los requisitos legales de HIPAA, y hay algunos proveedores que se han movilizado para abordar esta comunicación “interna” (dentro de la burbuja sanitaria). Tres de nota:

  • Doximity
  • Sermo (recién adquirido)
  • Imprivata

Los requisitos de HIPAA son más amplios que el cifrado de extremo a extremo. Técnicamente, HIPAA requiere que las diversas entidades en un enlace de comunicación tengan Acuerdos de Asociados de Negocios, entre sí. Dado que los operadores (AT & T, Verizon, Sprint) probablemente no firmen con su entidad, ya sea que esté encriptada o no representa un riesgo, SI ESTÁ COMUNICANDO ePHI (información electrónica de salud del paciente, un término legal definido).

El problema que no se ha abordado por completo es el del proveedor (hospital o doc.) A las comunicaciones del paciente, que según su propia definición es probable que sea ePHI. También es una de las razones por las que los doctores son reticentes (o al menos reticentes) al correo electrónico abierto y mensajes de texto SMS con los pacientes.

Aquí no hay un abogado, así que verifique con los suyos, pero la transmisión electrónica (incluso con encriptación) es solo una pieza del rompecabezas HIPAA, cuando se está comunicando ePHI.

Siempre puede, por supuesto, correr el riesgo, pero a diferencia de hacer 75MPH en una zona de 65 MPH, las penalizaciones por incumplimiento son un poco más importantes.

Usar servicios de maneras nuevas a menudo resulta en consecuencias no deseadas. El titular de TechCrunch el año pasado fue un ejemplo bastante sorprendente de uno:

La actividad sexual seguida por FitBit aparece en la búsqueda de Google

http://techcrunch.com/2011/07/03

La respuesta simple es NO, principalmente debido a la falta de un acuerdo de socio comercial. En realidad, iMessage es probablemente más seguro que cualquier otro método de mensajería de uso común, debido a la estricta adherencia de Apple a la privacidad y la seguridad.

Aunque no soy un experto en esto, tengo entendido que probablemente estés bien usando iMessage siempre que no haya calzones que den lugar a la exposición de la información de salud de un paciente. Entonces, en realidad, probablemente estés bien usando iMessage (nuevamente, en mi opinión no experta).

HIPAA ha tenido como resultado muchas consecuencias involuntarias; por ejemplo, al no permitir iMessage, los médicos y los pacientes tienen restricciones adicionales en las opciones de comunicación, lo que resulta en múltiples barreras para una buena atención al paciente.

Piense en esto: iMessage es al menos 100.000 veces más seguro que enviar una carta que se encuentra en un buzón de correo en calles públicas o usar un fax que se transmite por líneas telefónicas no seguras (y comúnmente se envía al número equivocado).

Esta respuesta no es un sustituto de la asistencia médica profesional …

Aquí hay una publicación interesante en mac-talks que aborda vulnerabilidades clave con iMessage ( http://www.mac-talks.com/57793/i …).

Mark, creo que sacas una serie de puntos realmente buenos. Lamentablemente, no creo que haya ninguna forma en que los operadores puedan resolver este problema, ya que todos dependen del intercambio de mensajes entre redes y tecnologías dispares. La única forma en que pueden asegurar la transmisión de mensajes de extremo a extremo, así como la persistencia durante el proceso de almacenamiento y reenvío, es poseer la red. Por lo tanto, si bien los principales operadores podrían hacerlo, solo funcionaría por proveedor, similar al problema de iMessage (solo Apple). Esta es también la única forma en que puede lograr que un operador considere un BAA, si es propietario del proceso de extremo a extremo. En otras palabras, no va a suceder pronto, y si lo hiciera, no sería terriblemente útil.

En caso de que alguien esté interesado, aquí hay una infografía de qliqSoft que ilustra por qué SMS no cumple con HIPAA ( http://www.slideshare.net/qliqSo …).

Creo que los únicos escenarios posibles en los que podría usar SMS o iMessage para comunicar información del paciente es si logran desidentificar o anonimizar la información del paciente hasta el punto de que la información ya no sea identificable personalmente. Entonces podrías argumentar que técnicamente no estás conmutando ePHI. El otro escenario es una emergencia durante la cual usted puede enviar información por mensaje de texto a un respondedor de emergencia o proveedor médico que está técnicamente categorizado como ePHI. Hay dos desafíos para usar SMS o su equivalente consistentemente, como una cuestión de práctica, comunicar ePHI, pero de nuevo el envío de faxes es perfectamente accesible siempre que use una página de portada. 😛

Acabo de hablar por teléfono con el soporte de Apple, y la persona con la que hablé me ​​informó que iMessage NO era compatible con HIPAA. Solicité documentación oficial a la que pueda vincularme, y con suerte estará en mi bandeja de entrada en breve. Si / cuando esté disponible, actualizaré esta respuesta.

En realidad, estaba investigando esto hace bastante tiempo para mi propio negocio, pero no terminé necesitándolo. Sugiero que visiten http://www.mobilestorm.com/ , lo estábamos revisando como una opción.

La lección HIPAA – Enviar por correo electrónico y enviar mensajes de texto detallará detalladamente su práctica o tecnología de información comercial y cómo se relaciona con la Regla de seguridad de HIPAA, en particular dispositivos portátiles.