Zoom è conforme alla normativa HIPAA?

Zoom è una piattaforma di videoconferenza e un software di messaggistica istantanea basati sul cloud, utilizzati da aziende di tutte le dimensioni e in tutti i settori per riunire i team e collaborare in modo più rapido ed efficace sul posto di lavoro. Tuttavia, gli utenti di Zoom che operano in settori altamente regolamentati, come quello sanitario, devono attenersi alla legislazione governativa, come l'HIPAA. Gli operatori sanitari devono adottare ulteriori misure quando utilizzano Zoom per assicurarsi di farlo in modo conforme alla normativa HIPAA. 

Che cos'è lo Zoom? 

Un popolare strumento di videoconferenza, Zoom consente agli utenti (con o senza un account Zoom) di condurre riunioni virtuali con partecipanti di tutto il mondo. Zoom è una piattaforma popolare per l'uso aziendale ed è diventata molto popolare quando i dipendenti sono stati costretti a lavorare a distanza durante la pandemia. Zoom offre video e chat in tempo reale e include funzioni come la condivisione dello schermo, l'hosting di webinar, la trascrizione automatica e altro ancora. Zoom è disponibile per quasi tutti i dispositivi e sistemi operativi. 

Che cos'è la Chat di squadra di Zoom? 

Zoom Team Chat è una funzione di messaggistica della piattaforma di videoconferenza Zoom che consente agli utenti di inviare messaggi di testo durante una riunione Zoom o al di fuori di una riunione. Ciò consente la comunicazione in tempo reale tra i membri del team, sia che si trovino nella stessa sede fisica sia che siano remoti. Con Zoom Team Chat, gli utenti possono condividere idee, file e link e collaborare a progetti in modo semplificato attraverso messaggi privati e di gruppo e canali pubblici organizzati per argomento. 

Che cos'è l'HIPAA? 

Secondo la legge americana, le informazioni sensibili sulla sua salute e sul trattamento medico sono protette dall'Health Insurance Portability and Accountability Act (HIPAA). Questa legge crea standard nazionali per il controllo delle informazioni sanitarie protette (PHI) e delle PHI elettroniche (ePHI). Le entità coperte dall'HIPAA, come i fornitori di servizi sanitari, devono seguire una serie di standard rigorosi per garantire che i PHI che gestiscono non siano accessibili o esfiltrabili in modo illecito.  

Zoom è conforme alla normativa HIPAA nel 2023? 

Il servizio standard di Zoom non soddisfa i requisiti dell'HIPAA, per cui le organizzazioni sanitarie dovrebbero utilizzare il servizio dedicato Zoom for Healthcare, soprattutto quando forniscono servizi di teleassistenza. Zoom for Healthcare è stato creato appositamente per soddisfare gli standard di sicurezza e privacy richiesti dall'HIPAA, salvaguardando le informazioni sanitarie protette (PHI) condivise nell'ambito delle riunioni Zoom. Tuttavia, poiché la tecnologia Zoom non è certificabile né dall'Office of the National Coordinator for Health Information Technology né dal National Institute of Standards and Technology, Zoom non è ufficialmente certificato HIPAA. 

Che cos'è Zoom per l'assistenza sanitaria? 

Zoom ha un servizio specifico, chiamato Zoom for Healthcare, che è stato progettato per soddisfare i requisiti dell'HIPAA. Questo servizio include funzioni come la crittografia end-to-end, i controlli di accesso e la secure messaging, che possono aiutare a proteggere la riservatezza, l'integrità e la disponibilità delle informazioni del paziente. 

Perché Zoom non è conforme all'HIPAA in tutti i casi? 

L'HIPAA è una serie di standard di protezione dei dati che si applicano alle informazioni sanitarie protette (PHI). Poiché questi dati sono riservati, richiedono un trattamento più sicuro e ponderato rispetto ad altri tipi di dati meno sensibili. 

Zoom è stato progettato per rendere la comunicazione e la condivisione delle informazioni più veloce e più facile. Aderire a rigide norme di sicurezza dei dati in tutti i casi renderebbe lo Zoom più difficile da usare, vanificando in ultima analisi il suo scopo primario sul mercato. Pertanto, gli strumenti come Zoom non sono conformi all'HIPAA come standard, ma hanno la capacità di essere utilizzati in modo conforme all'HIPAA. 

Zoom è conforme all'HIPAA con un BAA? 

Quando fanno affari, le organizzazioni coperte dalla HIPAA Privacy Rule, come i fornitori di servizi sanitari, devono assicurarsi che anche i loro partner, associati e appaltatori salvaguardino i dati PHI che gestiscono. Un Contratto HIPAA per gli Associati d'Affari (BAA) è un accordo legale che delinea le precauzioni che ciascuna parte prenderà per proteggere le informazioni personali e mantenerle sicure. Zoom stipulerà dei BAA con gli utenti di Zoom for Healthcare o con quelli dei piani a pagamento di Zoom. Si tratta di un passo importante per qualsiasi entità coperta, al fine di rispettare l'HIPAA durante l'utilizzo di Zoom. 
Quale piano Zoom è conforme all'HIPAA? 

Per proteggere i dati personali, gli operatori sanitari dovrebbero utilizzare il piano Zoom for Healthcare per la teleassistenza, le consultazioni con i pazienti e altre esigenze di conferenze web in cui i dati personali potrebbero essere condivisi. Altre versioni di Zoom, come Zoom Pro, e bundle come Zoom One, possono essere utilizzate in modo conforme alle normative HIPAA, ma potrebbero non contenere tutte le funzioni necessarie per garantire la privacy dei dati. Zoom Basic, il piano gratuito di Zoom, non è conforme all'HIPAA perché non consente agli utenti di stipulare un BAA con Zoom. 

Come rendere le chiamate e le riunioni Zoom conformi alla normativa HIPAA 

La conformità HIPAA comporta la protezione dei dati PHI. Pertanto, seguire le best practice generali di sicurezza dei dati può aiutare un'azienda a utilizzare Zoom in modo conforme alle normative HIPAA. Alcuni esempi di come proteggere i PHI e i dati sensibili nelle riunioni Zoom includono: 

• Utilizza sempre un codice di accesso alla riunione, anche quando utilizza il suo ID riunione personale. 
• Approva e ammette i partecipanti individualmente, utilizzando la funzione Sala d'attesa. 
• Limita i partecipanti alle riunioni agli account firmati o agli utenti di domini specifici. 
• Blocca le riunioni per evitare che gli utenti si uniscano dopo l'orario di inizio. 
• Disabilita le funzioni di condivisione dello schermo e di registrazione per i partecipanti alla riunione. 

In molti casi, i proprietari degli account possono attivare automaticamente queste impostazioni per tutti gli utenti, in modo da garantire che i dipendenti seguano sempre le migliori pratiche di sicurezza informatica durante l'utilizzo di Zoom. 

Quali altri passi sono necessari per rendere lo Zoom conforme all'HIPAA? 

Zoom può essere conforme all'HIPAA per la telemedicina se vengono implementate determinate misure di sicurezza e privacy. Alcune delle caratteristiche di sicurezza incluse in Zoom for Healthcare che lo rendono conforme alla normativa HIPAA includono: 

1. Crittografia end-to-end: Zoom for Healthcare offre la crittografia end-to-end per tutte le videochiamate, l'audio e i contenuti delle chat, per proteggere la riservatezza delle informazioni dei pazienti.
2. Controlli di accesso: Zoom per la sanità consente agli utenti di limitare l'accesso alle riunioni e di controllare chi può unirsi, condividere contenuti e partecipare alla riunione.
3. Secure messaging: Zoom for Healthcare offre una secure messaging per consentire agli operatori sanitari di comunicare con i pazienti e altri professionisti della sanità, proteggendo al contempo la privacy delle informazioni del paziente.
4. Accordo di associazione d'affari (BAA) firmato: Zoom for Healthcare fornisce un Contratto di associazione d'affari (BAA) firmato che delinea le responsabilità e gli obblighi di Zoom in qualità di associato d'affari HIPAA.

Per garantire che Zoom sia pienamente conforme all'HIPAA, le organizzazioni dovrebbero anche implementare ulteriori misure di sicurezza, come l'impostazione di password forti, la configurazione dell'autenticazione a due fattori e la formazione dei dipendenti sulla conformità all'HIPAA. 

Le trascrizioni di Zoom sono conformi alla normativa HIPAA? 

Zoom offre ai clienti con licenza Business, Education ed Enterprise la possibilità di generare trascrizioni audio in diretta delle riunioni. Si tratta di trascrizioni generate dalla macchina con l'ausilio di un software speech-to-text e hanno vari gradi di accuratezza a seconda della qualità dell'audio, dell'accento dell'oratore, del rumore di fondo e della complessità del linguaggio utilizzato. Per gli utenti di Zoom for Healthcare, le trascrizioni dal vivo possono essere utili quando si parla con pazienti sordi o con problemi di udito. Gli utenti di Zoom for Healthcare hanno anche la possibilità di scaricare una trascrizione audio e salvarla nella cartella clinica elettronica del paziente. 

Qualsiasi utente all'interno della chiamata Zoom può salvare la trascrizione scritta, a meno che questa funzione non sia disattivata dall'organizzatore della riunione. Questo può compromettere i dati PHI se il file non viene salvato in un archivio sicuro e deve essere considerato prima che gli utenti generino una trascrizione utilizzando Zoom. 

In che modo Mimecast supporta la conformità HIPAA in Zoom Team Chat? 

La nostra piattaforma di collaboration intelligence si collega a Zoom Team Chat per segnalare automaticamente i rischi per la sicurezza dei dati in tempo reale. 

• Funzioni complete di privacy e conformità  
• Controlli di accesso rigorosi basati sui ruoli (RBAC) 
• Politiche di conservazione granulari per la regolamentazione dei dati 
• Aderenza alla conformità e rilevamento dei rischi in tempo reale 

Utilizzando Mimecast Aware, le organizzazioni sanitarie possono salvaguardare i dati personali attraverso solidi flussi di lavoro di conformità, supportati da un'elaborazione del linguaggio naturale (NLP) leader nel settore. Gli amministratori possono personalizzare le autorizzazioni per la loro organizzazione, in modo da indirizzare le informazioni riservate per ottenere risultati più precisi e meno falsi positivi, rendendo la conformità HIPAA più veloce e più facile da implementare e mantenere in Zoom Team Chat.  

Mimecast Aware supporta anche funzionalità avanzate di ricerca federata per identificare le informazioni sensibili all'interno di Zoom Team Chat in base a un'ampia gamma di parametri, tra cui espressione regolare (regex), parola chiave, custode, data/ora, sentimento e altro ancora. Questo supporta indagini interne più rapide ed efficienti, risposte a incidenti di sicurezza e richieste di informazioni sulla libertà. 

Con Mimecast Aware, le organizzazioni sanitarie possono supportare le politiche di gestione dei dati conformi alla normativa HIPAA in Zoom Team Chat, insieme alle funzionalità HIPAA native di Zoom e alle politiche e procedure interne.