1996 yılından bu yana HIPAA, hassas hasta ayrıntılarının korunmasına yönelik yasal bir araç olarak hizmet vermektedir. Teknoloji tabanlı kayıt tutma ve iletişimin hızla artmasıyla birlikte HIPAA düzenlemeleri, kişisel gizliliği korurken hasta bilgilerine kolay erişim sağlamaya devam ediyor.
Nextiva ve RingCentral da dahil olmak üzere pek çok VoIP sağlayıcısı HIPAA uyumludur ancak bu, işletmenizin gerekli tüm unsurlara sahip olduğunu garanti etmek için yeterli değildir.
Tamamen HIPAA uyumlu VoIP’ye sahip olmak için atmanız gereken bir ek kritik adım daha var: satıcıyı en yüksek düzeyde gizlilik ve güvenlik protokollerine tabi tutan bir iş ortaklığı anlaşması.
İNDİR: TechRepublic Premium’dan bu HIPAA Politikası
HIPAA uyumlu VoIP için BAA’ya neler dahil edilmelidir?
Bazen iş ortaklığı sözleşmesi olarak da adlandırılan BAA, Sağlık ve İnsani Hizmetler Bakanlığı (DHHS) tarafından, VoIP sağlayıcıları da dahil olmak üzere tıp uzmanları ve onların iş ortakları arasındaki tüm iletişim için gereklidir.
DHHS’ye göre bu sözleşme, satıcının aşağıdakileri yapmasını gerektiren şartları içermelidir:
- Korunan bilgileri yasal olarak nasıl ve ne zaman kullanabileceğini veya ifşa edebileceğini belirleyin.
- Elektronik veya başka türlü kişisel sağlık bilgilerine (PHI) yasa dışı erişimi önlemek için gerekli adımları atın.
- Olası veya fiili güvenlik ihlallerini size bildirin.
- Bir hasta veya düzenleyici kuruluş adına PHI taleplerinize uyun.
- DHHS’nin iç uygulamaları, muhasebesi ve HIPAA düzenlemeleriyle ilgili kayıtlarıyla ilgili tüm taleplerine uymak.
- BAA’yı feshetmeniz durumunda, işinizle ilgili tüm PHI’ları iade edin veya yok edin.
- Tüm taşeronların BAA şartlarına uymasını sağlayın.
- Herhangi bir BAA şartının ihlal edilmesi durumunda sözleşmenizi feshetmenize olanak tanır.
HIPAA hakları ihlal edildiğinde DHHS, işletmenizin herhangi bir potansiyel risk veya uyumsuzluktan haberdar olup olmadığını dikkate alır. Dolayısıyla bir BAA’ya sahip olmak, satıcı uyumluluğunu sağlamak için gerekli tüm adımları attığınızı gösterir.
VoIP sağlayıcısının hatası nedeniyle bir PHI ihlaliyle karşılaşırsanız ve bir BAA imzalamadıysanız yasal olarak sorumlu tutulabilirsiniz.
Spesifik ihlale ve sorumluluk derecenize bağlı olarak, DHHS Sivil Haklar Bürosu, olası hapis cezasıyla birlikte 1,9 milyon dolara kadar para cezası uygulayabilir. Ayrıca ihlalden etkilenen hastaların dava açma ihtimaliyle de karşı karşıya kalabilirsiniz.
Satıcılar ve diğer kuruluşlarla bir BAA oluşturma sürecini basitleştirmeye yardımcı olmak için DHHS, kılavuz olarak kullanabileceğiniz örnek bir sözleşme sağlar.
HIPAA uyumlu VoIP için başka neler gereklidir?
Teknoloji gelişmeye devam ettikçe DHHS, elektronik belgeler ve genetik bilgiler de dahil olmak üzere her türlü PHI’yı korumak için daha fazla HIPAA koruması uygulamaya koydu.
Bakanlık, iş ortakları, satıcılar ve diğerleri de dahil olmak üzere tüm kuruluşların, etkilenen tarafları herhangi bir güvenlik ihlali konusunda bilgilendirmesinin yanı sıra cezaların uygulanması için kademeli bir sistem kullanılmasını zorunlu kılan şartlar yayınladı.
Bu değişikliklerin ışığında, her HIPAA uyumlu VoIP sağlayıcısının bir BAA imzalamanın yanı sıra modern en iyi uygulama protokollerini takip etmesi gerekmektedir.
Potansiyel PHI ihlallerini önlerken maksimum güvenlik ve gizliliği korumak söz konusu olduğunda aranacak hususlar şunları içerir:
- Ele geçirilen herhangi bir PHI’nın kolayca çözülememesini sağlayan uçtan uca veri şifreleme.
- Kısıtlı erişim ve ek kimlik doğrulama önlemleri, yalnızca eğitimli ve atanmış personelin hassas bilgileri görebilmesini sağlar.
- Elektronik PHI’nin gizliliğini, bütünlüğünü ve güvenliğini korumak amacıyla kullanıcı verilerini izleyen çağrı kayıtları ve/veya çağrı analizleri.
VoIP sağlayıcınız yukarıdaki önlemlerin tümünü almışsa video, çağrı kaydı veya tele sağlıkla ilgili hizmetler için HIPAA uyumluluğunu sağlamak amacıyla herhangi bir ek adıma gerek yoktur.
Ancak tele sağlık daha yaygın bir uygulama haline geldikçe, siz ve hastalarınız otomatik seans sonlandırma veya belirli bir süre işlem yapılmadığında kilitleme gibi ek güvenlik özelliklerini dikkate almak isteyebilirsiniz.
HIPAA uyumlu VoIP sağlayıcıları
HIPAA uyumluluğu günümüzün birçok VoIP müşterisi için bir değerdir; bu nedenle çoğu sağlayıcı, gereksinimleri karşıladıklarından emin olmak için gerekli adımları atar.
Nextiva ve RingCentral benim favorilerimden ikisi, ancak çoğu HIPAA uyumlu VoIP çözümleri sunan piyasadaki en iyi satıcılar hakkında daha fazla bilgi için VoIP satın alma kılavuzumuzu incelemenizi tavsiye ederim.
Kaynak: https://www.techrepublic.com/article/hipaa-compliant-voip/