بدءًا من قانون التأمين الصحي لقابلية النقل والمساءلة (HIPPA) في عام 1996 ، عزز التشريع الجديد باستمرار لوائح خصوصية المريض. في عام 2009 ، تم تمرير قانون HITECH لضمان حماية معلومات المريض والإجراءات المدرجة التي يجب اتخاذها في حالة انتهاك معلومات المريض.
• مكتب الحقوق المدنية يفرض الامتثال للبريد الإلكتروني من خلال قاعدة أمان HIPAA. يُسمح بالاتصالات عبر البريد الإلكتروني بين الكيانات المشمولة والمرضى طالما تم توفير ضمانات "معقولة".
وتشمل هذه الضمانات الإخطارات والبوابات الآمنة وتشفير البريد الإلكتروني. تشمل الكيانات المشمولة مقدمي الرعاية الصحية، والخطط الصحية، وغرف تبادل المعلومات الخاصة بالرعاية الصحية.
على الرغم من أن رسائل البريد الإلكتروني قد تم استخدامها لأكثر من عشرين عامًا، إلا أنها لم تعتبر شكلاً آمنًا من أشكال الاتصال. أصبح استخدام رسائل البريد الإلكتروني بين مقدمي الرعاية الصحية والمرضى واسع الانتشار بشكل متزايد. رسائل البريد الإلكتروني ليست آمنة ما لم تكن مشفرة.
بالإضافة إلى ذلك، قد تفقد رسائل البريد الإلكتروني الآمنة المرسلة إلى الهواتف الذكية تشفيرها عند ترجمتها مرة أخرى إلى عملاء البريد الإلكتروني المستندين إلى الويب (مثل Google).
• قانون HITECH لعام 2009 وينص على عواقب محرجة إذا اشتكى مريض واحد من انتهاك الخصوصية.
إذا حدث خرق أمني مع مريض واحد، فهذا يعني أن الخروقات تحدث مع عدة مرضى.
مثل هذا الانتهاك يتطلب إخطار عدة أطراف. أولاً، يجب إخطار وزير الصحة والخدمات الإنسانية.
بعد ذلك، يجب إخطار جميع مرضى الكيان المغطى. وأخيرًا، قد يحتاج الكيان المغطى إلى الاتصال بوسائل الإعلام للوفاء بمتطلبات الإخطار. يتم إلغاء هذه المتطلبات إذا تم تشفير المعلومات.
لا يرغب أي مقدم رعاية صحية أو كيان في أن يصبح مركز اهتمام وسائل الإعلام. يمكن لمقدمي الرعاية الصحية (والهيئات المرتبطة بها) اتخاذ إجراءات لضمان الامتثال للبريد الإلكتروني الخاص بقانون نقل التأمين الصحي والمسؤولية (HIPAA).
يمكن لمقدمي الرعاية الصحية الذين يستخدمون أنظمة EMR (السجل الطبي الإلكتروني) استخدام بوابات آمنة داخل أنظمتهم لإرسال واستقبال اتصالات المرضى المحمية.
هذه طريقة مثالية وفعالة من حيث التكلفة للتواصل مع العملاء. يجب اختبار أمان هذه البوابات بدقة قبل استخدامها.
عادةً ما تحتوي البوابات الآمنة على عناوين ويب تبدأ بـ https (لاحظ الحرف "s" في النهاية). تترجم هذه الحروف إلى بروتوكول نقل النص التشعبي الآمن.
الامتثال للبريد الإلكتروني HIPAA يتطلب إعلام المرضى بالخيارات المتعلقة بمراسلات البريد الإلكتروني بعدة طرق.
في الماضي، حثت الحكومة الفيدرالية منظمات الرعاية الصحية على ممارسة الامتثال الطوعي. وقد تم استبدال هذا الطلب الطوعي بتفويضات وأساليب اللوم. تتضمن ممارسات البريد الإلكتروني المتوافقة مع HIPAA عددًا من الأحكام.
يجب أن تحتوي جميع رسائل البريد الإلكتروني الخاصة بالمريض على إخلاء المسؤولية لتلبية متطلبات الامتثال. وهذا يعني أنه يجب على الكيان المغطى تقديم إشعارات عبر البريد الإلكتروني وإشعارات "مادية" مرئية تحذر المرضى من المخاطر الأمنية المحتملة لنقل "المعلومات الصحية المحمية" (PHI) عبر البريد الإلكتروني.
إذا كان الكيان الخاص بك يتضمن صفحة ويب لإرسال أسئلة عبر البريد الإلكتروني، فالصق عبارة بارزة تنص على أن "اتصالات البريد الإلكتروني غير آمنة". وهذا لن ينطبق على بوابة آمنة.
قم بإنشاء توقيع بريد إلكتروني لجميع اتصالات البريد الإلكتروني الصادرة لإبلاغ المرضى بأن اتصالات البريد الإلكتروني ليست آمنة ويمكن اعتراضها من قبل أطراف غير معروفة.
استخدم نفس التوقيع لإبلاغ المرضى بعدم الكشف عن المعلومات الشخصية مثل تاريخ الميلاد أو المعلومات الطبية.
قم بإرشاد مرضاك بأنه ليس من الضروري تضمين المعلومات الطبية في مراسلات البريد الإلكتروني. ضع إخلاء المسؤولية في مواقع متعددة بما في ذلك مواقع الويب وجدران مكتبك وفي اتصالات البريد الإلكتروني الخاصة بك.
قم بتوثيق موافقة المريض على تلقي اتصالات البريد الإلكتروني. استخدم "أوراق الاتصال في حالات الطوارئ" لتوفير مناطق الموافقة عبر البريد الإلكتروني.
إذا كنت تستخدم نظام السجلات الطبية الإلكترونية، فتجنب إدخال عنوان البريد الإلكتروني للمريض في النظام. سيضمن هذا عدم تلقي المرضى تذكيرات بالمواعيد والإشعارات الأخرى عبر البريد الإلكتروني.
تسمح أنظمة السجلات الصحية الإلكترونية (EHR) بالوصول إلى بوابات المرضى الآمنة. قم بتوجيه مرضاك لاستخدام هذه البوابات للاتصالات الحساسة.
تم تصميم هذه البوابات لتتجاوز معايير أمان HIPAA وتسمح بالاتصالات الآمنة بما في ذلك مدفوعات بطاقات الائتمان وإعادة صرف الوصفات الطبية وحتى الوصول إلى السجلات الطبية. باعتبارك مزودًا، يجب عليك التأكد من أن هذه البوابات قد تم اختبارها بشكل مناسب من قبل موفر بوابة السجلات الصحية الإلكترونية الخاص بك وأنك مزود بشهادات الأمان.
إذا كان يجب عليك استخدام رسائل البريد الإلكتروني للتواصل مع العملاء ، فاستخدم تطبيقات تشفير البريد الإلكتروني الآمنة المتوافقة مع HIPAA. هناك العديد من هذه التطبيقات في السوق. الغرض من تطبيقات البريد الإلكتروني المتوافقة مع HIPAA هو:
- استخدم خوادم بريد إلكتروني آمنة
- التحكم في من يمكنه قراءة رسائل البريد الإلكتروني أو نسخها أو إعادة توجيهها
- إنشاء حدود "قراءة" وتعيين تواريخ انتهاء الصلاحية على رسائل البريد الإلكتروني المرسلة
- تشفير حسابات البريد الإلكتروني
- السماح بإرسال رسائل البريد الإلكتروني المشفرة من أي جهاز كمبيوتر
- السماح بعرض رسائل البريد الإلكتروني المشفرة من أي جهاز كمبيوتر متصل بالإنترنت
- قم بإنشاء إعدادات أمان متقدمة تعمل على تعطيل قدرات الطباعة والنسخ
- تشفير ليس فقط نص البريد الإلكتروني ولكن أيضًا المرفقات
تنشئ قاعدة أمان HIPAA معايير لحماية المعلومات الصحية الشخصية الإلكترونية (ePHI).
تتطلب قاعدة الأمان ضمانات مناسبة لضمان سرية المعلومات الصحية العامة (ePHI). تفرض قاعدة الأمان الامتثال للمعايير الحالية ويمكنها التحقيق في الشكاوى وإجراء مراجعات الامتثال.
إذا كانت مؤسستك عبارة عن كيان مشمول يجب أن يتوافق مع لوائح البريد الإلكتروني HIPAA ، فمن الضروري التصرف وفقًا لقاعدة الأمان. تتراوح عقوبات عدم الامتثال من العقوبات المدنية البالغة 100.00 دولار لكل انتهاك إلى العقوبات الجنائية البالغة 250,000.00 دولار وعشر سنوات في السجن لعدم الامتثال المتعمد.
في أحسن الأحوال ، فإن أي انتهاك سيؤدي إلى إخطار المرضى والدعاية السلبية. فحوصات الامتثال جارية ويجب على كل كيان مشمول تطوير وتنفيذ إجراءات أمنية بما في ذلك التوثيق. يجب أن تتضمن سياسات الامتثال إجراءات المراقبة والتحقق.
بالنسبة لمقدمي الرعاية الصحية الذين لا يرغبون في استخدام بوابات آمنة أو تطبيقات بريد إلكتروني متوافقة مع HIPAA ، تجنب وضع ePHI في نص رسالة بريد إلكتروني وقم بتشفير الملفات المرسلة يدويًا كمرفقات بالبريد الإلكتروني. قد يتم إرسال المعلومات الإلكترونية الخاصة بصحة المريض عبر شبكة إلكترونية مفتوحة طالما أن المعلومات محمية بشكل كافٍ.
تتطلب قواعد الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA) أن يمارس مقدم الرعاية الصحية أو الكيان المشمول احتياطات معقولة. يتضمن ذلك التحقق من عناوين البريد الإلكتروني للتأكد من دقتها وإرسال رسائل بريد إلكتروني للاختبار إلى المرضى لتأكيد العنوان. إذا بدأ المريض الاتصال بالبريد الإلكتروني ، فقد يفترض المزود أن جهة اتصال البريد الإلكتروني مقبولة للعميل.
هناك العديد من المنتجات في السوق لتأمين وتشفير مراسلات البريد الإلكتروني.
كن على دراية باللوائح والمتطلبات وخاصة العقوبات المفروضة على الفشل في تأمين مراسلات البريد الإلكتروني التي تحتوي على ePHI.
إذا كنت تقوم بالوصول إلى معلومات حساسة عبر الهواتف الذكية والأجهزة اللوحية، فتأكد من أن رسائل البريد الإلكتروني المشفرة تظل مشفرة على هذه الأجهزة. الامتثال للوائح البريد الإلكتروني HIPAA وتجنب أضواء الدعاية الإعلامية الضارة.
