تسجيل الاجتماعات المتوافق مع قانون HIPAA: ما يجب على فرق الرعاية الصحية إتقانه

أصبحت زيارات الرعاية الصحية عن بُعد، ومكالمات تنسيق الرعاية، والمراجعات متعددة التخصصات تُجرى عبر Google Meet بنفس وتيرة إجرائها في غرف الفحص. هذا التحول يتسم بالكفاءة، ولكنه يعني أيضاً أن معلومات الصحة المحمية (PHI) قد ينتهي بها المطاف داخل تسجيل أو نص مكتوب أو ملخص ذكاء اصطناعي دون أن يلاحظ أحد ذلك حتى يطلب التدقيق دليلاً.

لا يحظر قانون HIPAA تسجيل الاجتماعات، ولكنه يتطلب منك التعامل مع التسجيلات مثل أي نظام آخر يقوم بتخزين أو نقل معلومات الصحة المحمية (PHI). يشرح هذا الدليل كيف يبدو ذلك من الناحية العملية لسير عمل Google Meet، وما الذي يمكن لـ Google Workspace تغطيته وما لا يمكنه تغطيته، وكيفية بناء عملية تسجيل يمكن لفريق الامتثال الخاص بك الدفاع عنها.

للحصول على سياق أوسع حول الخصوصية، راجع دليل أمان تسجيلات Google Meet. وللحصول على عناصر التحكم على مستوى المنتج، راجع صفحة أمان Record Meeting.

ما يتطلبه قانون HIPAA فعلياً لتسجيلات الاجتماعات

ينطبق قانون HIPAA عندما تقوم جهة مغطاة (مستشفى، عيادة، خطة صحية) أو شريك أعمال (بائع يتعامل مع معلومات الصحة المحمية نيابة عنهم) بإنشاء أو تخزين أو مشاركة معلومات المريض القابلة للتحديد.

يصبح تسجيل الاجتماع مصدر قلق بموجب قانون HIPAA عندما يتضمن:

أسماء المرضى، أو تواريخ ميلادهم، أو أرقام سجلاتهم الطبية التي يتم نطقها بصوت عالٍ
التشخيصات، أو الأدوية، أو خطط العلاج، أو نتائج الاختبارات التي تتم مناقشتها أمام الكاميرا
مشاركة الشاشة التي تعرض المخططات، أو التصوير الطبي، أو لقطات شاشة السجلات الصحية الإلكترونية (EHR)
النصوص أو الملخصات التي يتم إنشاؤها بواسطة الذكاء الاصطناعي والمستمدة من ذلك الصوت

إذا كانت المكالمة تشغيلية بحتة ولا تحتوي على معرفات للمريض (على سبيل المثال، اجتماع تقني داخلي)، فقد تكون قواعد خصوصية مكان العمل القياسية كافية. في اللحظة التي تظهر فيها معلومات الصحة المحمية (PHI)، تنطبق قواعد HIPAA على ملف التسجيل، ونسخه الاحتياطية، وسجلات الوصول، وجدول الحذف.

هناك ثلاث قواعد من HIPAA هي الأكثر أهمية لتسجيل الاجتماعات:

القاعدة	ماذا تعني للتسجيلات
قاعدة الخصوصية	تحتاج إلى غرض مسموح به، والحد الأدنى من الإفصاح الضروري، وحقوق المريض (الوصول، التعديل، المحاسبة)
قاعدة الأمان	الضمانات الإدارية والمادية والتقنية حول التخزين والوصول والنقل
قاعدة إخطار الانتهاك	إذا وصل طرف غير مصرح له إلى معلومات الصحة المحمية، فقد تضطر إلى إخطار المرضى ووزارة الصحة والخدمات الإنسانية (HHS) ضمن جداول زمنية صارمة

التسجيل بحد ذاته ليس انتهاكاً، ولكن تخزين معلومات الصحة المحمية في نظام غير متوافق، أو مشاركتها على نطاق واسع جداً، أو الاحتفاظ بها لفترة طويلة جداً هو المكان الذي يتم فيه تغريم الفرق.

Google Workspace و Google Meet ومسألة اتفاقية شريك الأعمال (BAA)

يمكن لـ Google دعم سير العمل المتوافق مع HIPAA، ولكن فقط عند تكوين إصدار Google Workspace الصحيح وإبرام اتفاقية شريك أعمال (BAA) مع Google.

بشكل عام:

وقّع اتفاقية BAA الخاصة بـ Google لنطاق Workspace الخاص بك (متاحة في الخطط المدفوعة المؤهلة).
قم بتمكين الخدمات المدعومة من HIPAA فقط لسير العمل الذي يتضمن معلومات الصحة المحمية. يسرد دليل تنفيذ HIPAA الخاص بـ Google المنتجات المشمولة عندما تكون اتفاقية BAA نشطة.
قم بإيقاف أو حظر الخدمات غير المغطاة التي قد تعالج معلومات الصحة المحمية (بعض الإضافات، أو أدوات مستوى المستهلك، أو عمليات تكامل الطرف الثالث التي لا تملك اتفاقية BAA خاصة بها).
وثّق الاجتماعات التي قد يتم تسجيلها والأدوار التي قد تصل إلى الملفات بعد ذلك.

يحفظ تسجيل Google Meet الأصلي الملفات في Google Drive الخاص بالمنظم. يمكن أن يكون هذا المسار مغطى باتفاقية BAA عند تكوين Workspace بشكل صحيح. أما إضافة Chrome أو ملحق منفصل يلتقط الصوت، أو ينشئ نصوصاً، أو يخزن نسخاً خارج مجلد Drive الخاضع لسيطرتك فهو نظام جديد. يحتاج ذلك البائع إلى اتفاقية BAA خاصة به أو يجب أن يعمل بالكامل داخل بيئة Google المغطاة بالفعل دون الاحتفاظ بمعلومات الصحة المحمية على خوادمهم.

قبل طرح أي مسجل عبر الموظفين السريريين، يجب على مسؤول الامتثال الخاص بك الإجابة على سؤال واحد: أين يعيش الملف بعد المكالمة، ومن هو شريك الأعمال المسؤول عن هذا التخزين؟

سياسة عملية لتسجيل اجتماعات HIPAA

تفشل السياسات عندما تكون طويلة جداً ولا يتم تطبيقها. سياسة تسجيل اجتماعات HIPAA القابلة للتطبيق يجب أن تتناسب مع شاشة واحدة وترتبط بأدوات حقيقية.

1. حدد متى يُسمح بالتسجيل

استخدم شجرة قرار بسيطة:

الرعاية الصحية عن بُعد مع وجود المريض ← مسموح به فقط بموافقة موثقة من المريض وتكوين منصة معتمد.
اجتماع فريق الرعاية لمناقشة مريض محدد ← مسموح به للموظفين الذين لديهم حاجة قائمة على الدور. ليس للضيوف أو الطلاب الذين لم يتلقوا تدريباً.
عرض توضيحي للبائع أو مكالمة مبيعات ← لا توجد بيانات مريض حقيقية، أبداً. استخدم حالات اصطناعية فقط.
اجتماعات عامة أو تدريب ← التسجيل مسموح به إذا لم تتم مناقشة معلومات الصحة المحمية. اذكر هذه القاعدة في بداية كل جلسة.

انشر هذه المصفوفة في شبكتك الداخلية واربطها من قالب دعوة التقويم الذي يستخدمه الأطباء بالفعل.

2. أعلن عن الموافقة ووثقها

بالنسبة للزيارات التي يواجه فيها المريض الطبيب، لا يكفي الإعلان الشفهي دائماً. تتطلب العديد من برامج الامتثال:

موافقة كتابية أو إلكترونية قبل أول زيارة رعاية صحية عن بُعد مسجلة
ملاحظة في السجل الصحي الإلكتروني (EHR) تفيد بإمكانية حدوث تسجيل ومكان تخزين الملفات
طريقة سهلة لرفض التسجيل دون فقدان الوصول إلى الرعاية

يعرض Google Meet إشعار تسجيل للمشاركين عندما يستخدم المضيف التسجيل الأصلي. قد لا تفعل الأدوات المستندة إلى المتصفح ذلك. إذا كانت حزمة الأدوات الخاصة بك تستخدم مسار إضافة، يجب أن تتطلب سياستك نصاً شفهياً واضحاً في بداية كل زيارة.

3. التحكم في الوصول بعد المكالمة

معظم حوادث HIPAA هي مشاكل وصول، وليست مشاكل تشفير.

قم بتخزين التسجيلات السريرية في Shared Drive مخصص مع وصول محدود لأدوار الرعاية
امنع حفظ التسجيلات في مجلدات My Drive الشخصية
قم بتعطيل مشاركة “أي شخص لديه الرابط” في المجلدات التي قد تحتوي على معلومات الصحة المحمية
اطلب المصادقة متعددة العوامل (MFA) لجميع الحسابات التي يمكنها فتح تلك المجلدات

قم بإجراء تدقيق ربع سنوي للأذونات بنفس الطريقة التي تدقق بها تعيينات أدوار السجل الصحي الإلكتروني.

4. تحديد الاحتفاظ والحذف

يتوقع قانون HIPAA احتفاظاً معقولاً، وليس أرشيفات لا نهائية.

نوع الاجتماع	الاحتفاظ النموذجي	ملاحظات
زيارة الرعاية الصحية عن بُعد	6 إلى 7 سنوات (يختلف حسب الولاية)	توافق مع سياسة السجلات الطبية
مراجعة الحالة الداخلية	1 إلى 3 سنوات ما لم تكن مرتبطة بسجل نشط	احذف عند إغلاق مراجعة الجودة
التدريب ببيانات اصطناعية	90 يوماً	مخاطر أقل ولكن يجب توثيقها

قم بأتمتة الحذف حيثما أمكن ذلك. التنظيف اليدوي يفشل في غضون ستة أشهر في العيادات المزدحمة.

5. تدريب الموظفين على معلومات الصحة المحمية في مشاركات الشاشة

التسريب الأكثر شيوعاً ليس الصوت، بل علامة تبويب السجل الصحي الإلكتروني خلف نافذة مشتركة.

أضف قائمة تحقق لمشاركة الشاشة إلى كل تدريب سريري على Meet:

أغلق سجلات المرضى غير ذات الصلة قبل المشاركة
شارك نافذة تطبيق واحدة، وليس سطح المكتب بالكامل
توقف عن المشاركة قبل فتح شاشات الفواتير أو الجدولة التي تحتوي على معرفات

الضمانات التقنية التي يتوقعها المدققون

التوثيق يكسب عمليات التدقيق. ترتبط عناصر التحكم التقنية هذه مباشرة بلغة قاعدة أمان HIPAA.

التحكم في الوصول. معرفات مستخدم فريدة، وتسجيل خروج تلقائي، ووصول قائم على الدور إلى مكتبات التسجيل. لا يوجد تسجيل دخول مشترك للعيادة.

التشفير. بروتوكول TLS للجلسات المباشرة. تشفير AES-256 في حالة السكون في Google Drive للملفات المخزنة. إذا كان تقييم المخاطر الخاص بك يتطلب مفاتيح يديرها العميل، فخطط لتشفير Google Workspace من جانب العميل أو CMEK في فئات Enterprise.

النزاهة. يوضح سجل الإصدار وسجلات التدقيق في Drive من قام بفتح ملف أو تنزيله. قم بتصدير تلك السجلات لتحقيقات الحوادث.

أمان النقل. لا تنقل التسجيلات إلى Dropbox شخصي، أو رسائل نصية قصيرة، أو بريد إلكتروني غير آمن. استخدم روابط معتمدة داخل البيئة المغطاة باتفاقية BAA.

نصوص وملخصات الذكاء الاصطناعي. إذا تمت كتابة معلومات الصحة المحمية، فمن المؤكد تقريباً أن مزود النسخ هو شريك أعمال. تأكد مما إذا كانت النصوص تتم معالجتها في الولايات المتحدة، وما إذا كانت النماذج تحتفظ بالبيانات، وما إذا كان يمكنك حذف المطالبات والمخرجات عند الطلب. يغطي دليل ملاحظات اجتماعات الذكاء الاصطناعي الخاص بنا النظافة المحايدة للمنتج التي لا تزال تنطبق في البيئات الخاضعة للتنظيم.

جرب Record Meeting

سجل Google Meet من المتصفح دون انضمام روبوت إلى المكالمة. التقط النصوص والملخصات التي يمكن لفريقك توجيهها إلى سير عمل تخزين معتمد.

ابدأ مجاناً

قائمة مراجعة البائعين وشركاء الأعمال

قبل الموافقة على أي مسجل اجتماعات (بما في ذلك إضافات المتصفح)، يجب على القسم القانوني وتكنولوجيا المعلومات جمع:

اتفاقية BAA موقعة أو تأكيد بأن الأداة تخزن البيانات فقط داخل مستأجر Google المغطى باتفاقية BAA الخاص بك
قائمة المعالجات الفرعية لنسخ الذكاء الاصطناعي أو التخزين السحابي
بيان إقامة البيانات (توفر منطقة الولايات المتحدة إذا لزم الأمر)
إعدادات الاحتفاظ الافتراضية وما إذا كان البائع يدرب النماذج على محتوى العميل
واجهة برمجة تطبيقات الحذف أو العملية التي تطابق جداول زمنية لسياستك
تقرير SOC 2 Type II أو تقرير مستقل مكافئ
اتفاقية مستوى الخدمة لإخطار الحوادث (بالساعات، وليس بالأسابيع)

إذا رفض البائع توقيع اتفاقية BAA ولكن المنتج يلمس معلومات الصحة المحمية، فالإجابة هي لا. لا توجد أرضية وسط في تقييم مخاطر HIPAA.

أخطاء شائعة تؤدي إلى نتائج سلبية

استخدام Gmail للمستهلكين أو Meet المجاني للرعاية الصحية عن بُعد. لا توجد اتفاقية BAA، ولا توجد قصة امتثال.

ترك التسجيلات في Drive الشخصي للمنظم مع مشاركة افتراضية موروثة منذ سنوات.

إرسال رابط تنزيل عبر البريد الإلكتروني إلى فريق متعدد التخصصات بدلاً من استخدام Shared Drives خاضعة للتحكم.

الاحتفاظ بنصوص الذكاء الاصطناعي في SaaS منفصل دون مراجعة ما إذا كان هذا الـ SaaS مسموحاً به لمعلومات الصحة المحمية.

تخطي تدريب القوى العاملة على العروض التوضيحية الاصطناعية التي تستخدم عن طريق الخطأ قصص مرضى حقيقية.

عدم وجود خطة عمل للانتهاك في حالة “أعتقد أن هذا التسجيل قد تم توجيهه إلى الاستشاري الخطأ”.

كل من هذه الأخطاء قابل للإصلاح دون إيقاف التسجيل تماماً. أنت بحاجة إلى عملية، وليس ذعراً.

آداب الفريق عن بُعد لا تزال مهمة

يضيف قانون HIPAA صرامة، وليس عذراً لتخطي الاحترام الأساسي. قم بمواءمة قواعد التسجيل السريري مع معايير الفريق في دليل آداب تسجيل الاجتماعات عن بُعد:

اذكر الغرض من التسجيل في البداية
سمِّ من سيتلقى الملف بعد ذلك
قدم بديلاً للمشاركين الذين يرفضون (حيثما كان ذلك مناسباً سريرياً)
أنهِ التسجيل عندما ينتهي الجزء السريري، وليس عندما تبدأ الدردشة غير الرسمية

خارطة طريق التنفيذ (30 / 60 / 90 يوماً)

أول 30 يوماً

جرد كل أداة تسجل أو تنسخ أو تلخص مكالمات Meet
تأكد من نطاق اتفاقية BAA لـ Google وقم بتعطيل التطبيقات غير المغطاة التي تلمس معلومات الصحة المحمية
انشر مصفوفة السماح / الرفض ولغة الموافقة

من اليوم 31 إلى 60

انقل التسجيلات السريرية الحالية إلى Shared Drives معتمدة
قم بإزالة المشاركة الخارجية القائمة على الروابط في تلك المحركات
درب الأطباء على نظافة مشاركة الشاشة

من اليوم 61 إلى 90

أتمتة مهام الاحتفاظ وتوثيق أدلة الحذف
إجراء تمرين محاكاة للانتهاك باستخدام مشاركة تسجيل خاطئة
مراجعة المقاييس: منح الوصول المفتوح، الملفات المهجورة، متوسط عمر الاحتفاظ

أسئلة مكررة

هل تسجيل Google Meet متوافق مع HIPAA افتراضياً؟

لا يوجد منتج متوافق مع HIPAA افتراضياً. يمكن لـ Google Meet دعم الاستخدام المتوافق مع HIPAA عندما يكون لديك خطة Google Workspace مؤهلة، واتفاقية BAA منفذة، وخدمات مدعومة مهيأة، وسياسات داخلية تتحكم في الوصول والاحتفاظ. ميزة التسجيل وحدها لا تجعل معلومات الصحة المحمية آمنة.

هل أحتاج إلى موافقة المريض لتسجيل زيارة رعاية صحية عن بُعد؟

في معظم برامج الرعاية الصحية عن بُعد في الولايات المتحدة، نعم. تختلف متطلبات الموافقة حسب الولاية وما إذا كان التسجيل يصبح جزءاً من السجل الطبي. وثّق الموافقة في السجل، واشرح المدة التي تحتفظ فيها بالملف، وصف من يمكنه الوصول إليه. لا يحل شعار تسجيل المنصة محل الموافقة الخاصة بالبرنامج عندما تكون معلومات الصحة المحمية متضمنة.

هل يمكن لملاحظات اجتماعات الذكاء الاصطناعي معالجة معلومات الصحة المحمية؟

فقط إذا كان مزود الذكاء الاصطناعي شريك أعمال أو يعالج البيانات بالكامل داخل بيئتك المتوافقة دون الاحتفاظ بمعلومات الصحة المحمية. لا ينبغي أبداً لأدوات الذكاء الاصطناعي للمستهلكين التي لا تملك اتفاقية BAA تلقي نصوص سريرية. تعامل مع كل تصدير للملخص مثل مقتطف من السجل الطبي.

ما الفرق بين HIPAA وقوانين تسجيل الموافقة من الطرفين؟

تحكم قوانين الموافقة من الطرفين (الشائعة في العديد من الولايات الأمريكية) ما إذا كان يجب على جميع المشاركين الموافقة على تسجيلهم. يحكم قانون HIPAA كيفية التعامل مع معلومات الصحة المحمية بمجرد التسجيل. يجب عليك تلبية كليهما عندما تتضمن مكالمة سريرية معلومات مريض قابلة للتحديد ومشاركين في ولايات خاضعة للتنظيم.

كم من الوقت يجب أن نحتفظ بتسجيلات الاجتماعات المتعلقة بـ HIPAA؟

طابق سياسة الاحتفاظ بالسجلات الطبية الخاصة بك ما لم يوجه المستشار القانوني بخلاف ذلك. يحتفظ العديد من مقدمي الخدمة ببيانات الرعاية الصحية عن بُعد لمدة ست إلى سبع سنوات. يمكن لمراجعات الجودة الداخلية استخدام نوافذ أقصر إذا لم تكن التسجيلات جزءاً من السجل الصحي القانوني. اكتب القاعدة وقم بأتمتة الحذف.

الخلاصة

تسجيل الاجتماعات المتوافق مع HIPAA هو برنامج، وليس خانة اختيار في تطبيق واحد. نفذ اتفاقية BAA الخاصة بـ Google لـ Workspace، وتحكم في مكان وصول الملفات، وحدد الوصول، واضبط الاحتفاظ، وقم بفحص كل مسجل وأداة ذكاء اصطناعي تلمس معلومات الصحة المحمية، ودرب الأطباء على ما لا يمكن أن يظهر على الشاشة.

إذا تم القيام به بشكل جيد، فإن التسجيل يحسن استمرارية الرعاية، والإشراف، والتواصل الأسري دون إضافة مخاطر تدقيق يمكن تجنبها. وإذا تم القيام به بشكل عرضي، فإنه يصبح أسهل تسريب لمعلومات الصحة المحمية في حزمة أدواتك.

راجع حزمة أدواتك مقابل نظرة عامة على أمان Record Meeting، وشدد أذونات Google Drive هذا الأسبوع، وتعامل مع تسجيل الرعاية الصحية عن بُعد التالي كالسجل الطبي الذي يمثله.