快速入口: Teams官网 | Teams下载 | Teams网页版登录
概述
Microsoft Teams是符合HIPAA(美国健康保险可携性与责任法案)的,只要组织订阅了合适的商业计划、平台配置支持HIPAA合规,并且员工经过培训以合规使用 Teams,即可用于收集、存储、共享或传输电子受保护健康信息(ePHI)。
Microsoft Teams是一个通讯平台,提供安全聊天、视频会议和文件共享功能。该平台广泛用于企业,以“弥合远程与现场团队成员的沟通差距”,确保团队成员保持信息畅通、有序和互联。Teams 还可与数百个应用集成,以增强协作效率和简化工作流程。
凭借其高级功能和集成能力,Teams 是医疗行业十大通讯平台之一。该平台可用于企业沟通、入职培训、员工培训与排班,以及对一线员工进行健康检查——在当前医疗行业中,这类互动几乎是必需的。
当使用 Teams 不涉及收集、存储、共享或传输 ePHI 时,HIPAA 合规性问题并不适用。但如果涉及 ePHI 的操作——无论是通过 Teams 平台还是与之集成的应用——相关覆盖实体(covered entities)和业务伙伴(business associates)必须知道如何使 Teams 符合 HIPAA 规定。
如何使Microsoft Teams符合HIPAA
没有任何软件本身就“HIPAA 合规”,软件的配置和使用方式决定了合规性。因此,覆盖实体和业务伙伴在部署前必须了解软件功能及其可能的不足。例如,许多宣称符合 HIPAA 的软件缺乏自动注销功能,因为部署的软件所在设备应配置为在用户长时间不活动后自动注销。
在 Microsoft Teams 中,HIPAA 合规性还取决于组织订阅的商业计划。Teams 包含在大多数商业计划中(即非 Office Home 或 Apps for Business),但不同计划间功能存在差异。例如,三种“Frontline”商业计划中的两种缺乏完整的身份与访问管理控制,而只有 Microsoft 365 与 Office 365 E5 商业计划默认包含 Teams 电话系统。
虽然这些不足可以通过订阅附加许可解决,但平台及附加许可必须正确配置,以符合 HIPAA 安全规则的技术防护要求。这增加了实现 Teams HIPAA 合规的复杂性,同时提高了意外违反 HIPAA 或发生数据泄露的风险。任何与 Teams 集成的应用也存在同样问题。
平台使用方式的重要性
大多数支持 HIPAA 的软件在配置符合 HIPAA 安全规则技术防护要求后,意外违规或数据泄露的风险取决于使用方式。Teams 的用途和使用方式在判断其是否 HIPAA 合规时尤其重要,尤其是在与患者互动时。
Teams 可用于安排、管理和进行虚拟远程医疗咨询。甚至可以将 Teams 与特定 EHR(电子健康记录)集成(需满足前提条件),让医护人员直接从 EHR 发起虚拟咨询,并允许患者通过医疗实体的门户预约虚拟会诊。
进行远程医疗咨询时,如果患者身份未验证,或患者所在位置无法保证 ePHI 保密性,可能增加 HIPAA 违规风险。因此,使用 Teams 进行远程医疗的医护人员必须谨慎操作,确保 PHI 的披露符合 HIPAA 隐私规则。
其他需考虑的因素
1.数据丢失防护(DLP):Teams 提供 DLP 功能,可防止敏感数据与作为“访客”的参会者共享(大多数患者属于此类)。根据配置方式,可能会阻止医护人员合法向患者披露 PHI,这可能迫使他们使用其他不合规的远程医疗工具。
2.微软商业伙伴协议(BAA):订阅 Microsoft 365 或 Office 365 商业计划即表示自动接受 Microsoft 的 BAA。Microsoft 不会签署单个客户的 BAA。如果覆盖实体不接受条款,只能选择接受或寻找其他平台。
3.订阅成本:覆盖实体必须订阅商业计划才能在 BAA 下使用 Teams,并且所有用户必须拥有许可证。如果仅少数用户使用 Teams,或计划包含大量未使用的功能,成本可能非常高。
结论
通过订阅合适计划并正确配置Teams,可以使其符合HIPAA。但在采用Teams作为收集、存储、共享或传输ePHI的通信渠道前,需要考虑以下因素:
1.远程医疗咨询中PHI的保密性
2.用户可能绕过DLP控制使用非合规工具的风险
3.Microsoft的商业伙伴协议条款
4.订阅商业计划的成本及未使用功能
对于很多组织来说,可能存在成本更低的替代方案,但部分方案存在安全或连接问题。覆盖实体和业务伙伴应对任何潜在通信软件进行尽职调查,确保其支持 HIPAA 合规,且易于配置和使用。
常见问题解答
- 如果 Teams 未配置为 HIPAA 合规,覆盖实体可以使用吗?
可以使用,但前提是不收集、存储、共享或传输 ePHI。如果涉及 ePHI,则必须配置 Teams 符合 HIPAA,并对用户进行合规培训。
- 如果 Teams 商业计划缺乏合规控制,覆盖实体该怎么办?
通常可通过购买附加控制或订阅包含控制的“安全”或“合规”计划解决。但订阅后,主计划的所有用户都必须拥有许可证。
- 哪些 EHR 支持 Teams 集成?
支持 Teams 集成的 EHR 包括 Oracle Health(2018 年 11 月及之后版本)和 Epic(2018 年 11 月及之后版本)。集成 Teams 需订阅 Microsoft Cloud for Healthcare 或 Microsoft Teams EHR Connector,整个过程约需 8–10 天,再加几天测试时间。
- 为什么 DLP 功能可能成为问题?
DLP 防止将敏感信息共享给具有访客或外部访问权限的 Teams 用户。大多数医疗机构仅向患者提供访客或外部访问权限,因此无法直接分享检查结果、影像或文件,除非临时将患者注册为团队成员。这可能增加管理负担,并导致意外 HIPAA 违规。
- 如果患者请求通过 Teams 进行远程医疗,而医护人员使用个人账户,可以吗?
不可以。个人 Teams(付费或免费)缺乏 HIPAA 安全规则所需的功能,且必须在 BAA 下使用。
- 为什么 Microsoft 不签署覆盖实体的 BAA?
因为 Microsoft 提供的是大规模、多租户的标准化服务,无法针对每个客户单独修改服务条款。
- 覆盖实体可能不喜欢 Microsoft BAA 的哪些条款?
可能包括:
(1)Microsoft的使用和披露权限条款不明确
(2)不向覆盖实体报告所有安全事件
(3)不响应患者访问请求(因为 Microsoft 不将 PHI 存储在指定记录集中)
- 是否值得从Skype for Business 升级到Teams?
仅在组织能从Teams的附加功能和集成中受益时才值得升级。如果仅用于远程医疗且已订阅商业或企业计划,并受 Microsoft BAA 保护,可能无需升级。
本文由Teams下载站提供,如需了解更多资讯,欢迎收藏本站。
延伸阅读 #
- 黑客滥用Microsoft Teams投递基于PowerShell的远程访问恶意软件
- Teams社区运营秘籍:利用新功能提升群组活跃度与参与感
- 攻击者利用Teams等软件冒充传播ScreenConnect恶意软件
常见问题(FAQ) #
- 问:如何快速开始使用Teams? 答:通过“快速入口”完成下载/登录,创建团队与频道开始沟通与协作。
- 问:Teams支持哪些平台? 答:Windows、macOS、Android、iOS、Web全平台覆盖。
- 问:如何获取帮助与支持? 答:访问微软官方支持或查看站内“延伸阅读”文章。