حان الوقت لفحص الامتثال السنوي لقانون HIPAA!

نشرت: 2018-03-10

من المحتمل أن تكون HIPAA أكبر من المتدربين لديك (وربما حتى بعض موظفيك) ، لذلك بينما نولي اهتمامًا للوائح حماية البيانات الخاصة بنا بفضل اللائحة العامة لحماية البيانات (GDPR) ، دعونا نجعل معلومات سريعة عن الامتثال لقانون HIPAA.

إذن ، ما هو HIPAA؟

تم تأسيس HIPAA في عام 1996 ، وهي تدور حول المنظمات في الولايات المتحدة. إنه يرمز إلى قانون التأمين الصحي وقابلية النقل والمساءلة ، ويحدد القواعد التي تهدف إلى ضمان أن المنظمات التي لديها إمكانية الوصول إلى المعلومات الصحية للعملاء تحمي تلك المعلومات شديدة السرية بشكل مناسب.

ما الذي يجعل قانون HIPAA مختلفًا عن سياسات تنظيم البيانات الأخرى؟

PHI وليس معلومات PII

إذا كنت مثلنا ، فلديك اللائحة العامة لحماية البيانات (GDPR) في الدماغ لأشهر الآن (وإذا لم يكن لديك إجمالي الناتج المحلي في الدماغ ، فربما تحقق من 17 معلومة يجب معرفتها حول اللائحة عاجلاً وليس آجلاً). GDPR هو كل شيء عن معلومات التعريف الشخصية ، أو معلومات التعريف الشخصية. ومع ذلك ، تركز HIPAA على المعلومات الصحية المحمية (PHI). في حين أن هناك الكثير من التداخل بين الاثنين ، تشير المعلومات الصحية المحمية على وجه التحديد إلى أي معلومات تم إنشاؤها أو تلقيها من قبل مقدم الرعاية الصحية والتي تتعلق بحالات الصحة البدنية أو العقلية لأي فرد في الماضي أو الحاضر أو ​​المحتملة في المستقبل.

دعنا نكسر ذلك أكثر قليلاً. تشمل PHI بعض العناصر الأكثر وضوحًا مثل السجلات الطبية ، ونتائج الاختبارات ، وتواريخ الدخول والخروج - حقًا أي شيء تتخيله يبحث عنه طبيب تليفزيوني في تلك اللوحات الموجودة على سفح سرير المستشفى. ولكنه يشير أيضًا إلى نقاط بيانات فردية فريدة ، مثل اسم المريض وعنوان البريد الإلكتروني ورقم الضمان الاجتماعي وعنوان IP ورقم الحساب والصور والمعلومات الديموغرافية والمزيد.

باختصار ، أي معلومات يمكن أن تشير أو تشير إلى ظروف صحية مرتبطة بفرد ما يجب اعتبارها معلومات صحية محمية.

ينطبق على "الكيانات المشمولة"

على عكس اللائحة العامة لحماية البيانات (GDPR) التي يُقال إنها تؤثر على 80٪ من العلامات التجارية العالمية ، فإن قانون HIPAA مُلزم فقط "للكيانات المشمولة". يشير هذا المصطلح إلى:

  • شركات التأمين الصحي (صناديق المرضى ، خطط الشركة الصحية ، ميديكير ، ميديكيد)
  • مقدمو الرعاية الصحية (أطباء ، عيادات ، متخصصون ، صيدليات)
  • شركات البيانات الصحية
  • الشركات والأفراد الذين يقدمون خدمات لأي مما سبق ، مثل شركات الفوترة والمحامين والمحاسبين وفرق تكنولوجيا المعلومات

العقوبات

مثل العديد من اللوائح ، هناك غرامات مرتبطة بعدم الامتثال لقانون HIPAA. إن الغرامات المالية التي تفرضها HIPAA ليست كبيرة مثل تلك التي تراها مع بعض اللوائح الأخرى ، مع ذلك ، مع حدود سنوية تبلغ حوالي 1.5 مليون دولار في معظم الحالات (قارن ذلك بـ 20 مليون يورو في إجمالي الناتج المحلي أو 4٪ من الإيرادات السنوية!).

ومع ذلك ، في أشد حالات عدم الامتثال (تلك الحالات التي تفشل فيها المنظمات في تصحيح المشكلات ، ويكون هناك نية خادعة واضحة) ، يمكن أن يواجه الأفراد المتواطئون في الشركات غير الممتثلة تهماً جنائية تصل إلى السجن لمدة 5 سنوات. نعم ، هذا ليس شيئًا يمكن العبث به.

انتظر ، إذن هل Braze HIPAA متوافق؟

نعم نحن! في حين أن Braze ليست كيانًا مغطى ، فإن أمن موظفينا وعملائنا وعملائهم له أهمية قصوى بالنسبة لنا. تختلف HIPAA قليلاً عن اللوائح الأخرى لأنها لا تتطلب أن تكون جميع المعالجات الفرعية لديك متوافقة من أجل الحفاظ على مكانتك - عليك فقط استخدام الحلول البديلة عندما يتعلق الأمر بالبيانات (سنصل إلى ذلك في وقت لاحق).

ومع ذلك ، فإن منصة Braze مبنية على مفهوم "الأمان حسب التصميم". نحن نؤمن بالثقة والشفافية ، ونريد لعملائنا المتأثرين بقانون HIPAA أن يكون لديهم خيار استخدام تقنيتنا بأفضل الطرق وأكثرها أمانًا للوصول إلى أهداف أعمالهم.

HIPAA من الناحية العملية: إذن ماذا يمكنني أن أقول لعملائي؟

إليك قاعدة ممتعة لفهم أنواع الرسائل التي يجب تجنبها بموجب HIPAA: افترض أن عميلك في اجتماع مع رئيسه ، أو الأفضل من ذلك ، تقديم عرض تقديمي على شاشة مشتركة. إذا كانت رسالتك ستجعلهم يتذمرون أمام زملائهم في العمل (أو ، ببساطة ، سيعطون زملائهم معلومات شخصية لم يرغبوا في مشاركتها) ... ربما لا يجب أن ترسلها.

لا تخف ، يمكن للكيانات المُغطاة استخدام التخصيص الأساسي ، طالما أنها لا تسحب المعلومات المحمية (PHI). بالإضافة إلى أنه لا تزال هناك بعض الأدوات الرائعة التي يمكنك الاستفادة منها للرسائل الفعالة ، مع الحفاظ على التوافق مع HIPAA.

نصائح لتسويق هادف ومتوافق

للتذكير ، لا يمكننا تقديم أي مشورة قانونية لك بخصوص الامتثال. ولكن فيما يلي بعض النصائح والحيل التي رأيناها يستخدمها بعض عملائنا لتقديم تجارب أكثر جاذبية لعملائهم دون تمرير المعلومات الصحية المحمية عبر نظامنا:

تجزئة:

تختار بعض العلامات التجارية استخدام التجزئة المشفرة أو استخدام ملف CSV حتى يتمكنوا من إرسال رسائل ذات صلة بعملاء معينين ، دون إخبار تقنيتهم ​​بأنهم يرسلون رسالة إلى أشخاص لديهم ميول معينة. ما عليك سوى تقسيم العملاء في نظامك الداخلي ، ووضع علامة عليهم A / B / C أو 1/2/3 أو Penguin / Giraffe / Unicorn (تُعرف هذه المعلومات باسم مستعار) ، ثم تحميل هذا الملف إلى منصة المشاركة الخاصة بك. وبهذه الطريقة ، لا يزال بإمكانك إرسال الرسائل ذات الصلة إلى الأشخاص الذين ، على سبيل المثال ، لديهم موعد محجوز ، أو من المقرر أن يخضعوا لامتحانهم السنوي ، دون خرق HIPAA.

الرسائل عبر القنوات:

لا يزال بإمكانك استخدام الرسائل عبر القنوات ، ويمكنك حتى إنشاء حملات متطورة ومنسقة حول نشاط المستخدمين. ما إذا كان شخص ما قد تعامل مع إشعار الدفع أم لا لا يعد PHI ، بعد كل شيء.

لكن دعنا نعود إلى اختبار القاعدة العامة. هل ترغب في ظهور إشعار دفع أثناء اجتماعك بمعلومات حول نتائج الاختبار ، أو إشعار دفع على الويب يقول "تم اختياره من أجلك فقط: بحث جديد عن أنماط تغيير لون الخلد عند البالغين"؟ على الأرجح لا. يمكن أن يكون البريد الإلكتروني قناة ضعيفة بشكل خاص أيضًا. فكر في الأمر - هل ما زلت تملك بريدك الإلكتروني في الجامعة؟ أم أنه تم تمريره إلى [email protected] التالي؟ التفكير في القنوات التي تستخدمها لتوصيل الرسائل هو جزء أساسي من ضمان أن ينظر إلى التواصل مع العملاء على أنه ذو قيمة ومناسب من قبل الأشخاص الذين تحاول الوصول إليهم.

افكار اخيرة؟

ضع في اعتبارك القنوات التي تختارها ، مع وضع اختبار الاجتماع دائمًا في مقدمة اهتماماتك. أما بالنسبة إلى رسائلك ، فربما تلتزم بمعلومات أكثر عمومية مثل ، "مرحبًا! هناك رسالة جديدة لك. سجل الدخول إلى بوابة المريض لترى ". بهذه الطريقة ، حتى إذا وقعت الأجهزة في الأيدي الخطأ ، يظل المستخدمون لديك متحكمين في تحديد من يرى الرسالة