Zeit für Ihren jährlichen HIPAA-Compliance-Check!

HIPAA ist wahrscheinlich älter als Ihre Praktikanten (und vielleicht sogar einige Ihrer Mitarbeiter). Während wir also alle dank der DSGVO auf unsere Datenschutzbestimmungen achten, lassen Sie uns die HIPAA-Compliance kurz auffrischen.

Also, was ist HIPAA?

Bei HIPAA, gegründet 1996, dreht sich alles um Organisationen in den Vereinigten Staaten. Es steht für Health Insurance Portability and Accountability Act und legt Regeln fest, die sicherstellen sollen, dass Organisationen mit Zugang zu Gesundheitsinformationen von Kunden diese streng vertraulichen Informationen angemessen schützen.

Was unterscheidet HIPAA von anderen Datenschutzrichtlinien?

PHI, nicht PII

Wenn Sie wie wir sind, haben Sie die DSGVO seit Monaten im Kopf (und wenn Sie die DSGVO noch nicht im Kopf hatten, lesen Sie vielleicht lieber früher als später unsere 17 wichtigsten Informationen zur Verordnung). Bei der DSGVO dreht sich alles um PII oder persönlich identifizierbare Informationen. HIPAA konzentriert sich jedoch auf geschützte Gesundheitsinformationen (PHI). Obwohl es viele Überschneidungen zwischen den beiden gibt, bezieht sich PHI speziell auf alle Informationen, die von einem Gesundheitsdienstleister erstellt oder erhalten werden und sich auf vergangene, gegenwärtige oder potenzielle zukünftige körperliche oder geistige Gesundheitszustände einer Person beziehen.

Lassen Sie uns das ein wenig mehr aufschlüsseln. PHI umfasst einige der offensichtlicheren Elemente wie Krankenakten, Testergebnisse, Aufnahme- und Entlassungsdaten – wirklich alles, was Sie sich vorstellen können, wonach ein Fernseharzt in diesen Klemmbrettern am Fußende eines Krankenhausbettes sucht. Aber es bezieht sich auch auf einzigartige, individuelle Datenpunkte, wie den Namen eines Patienten, E-Mail-Adresse, Sozialversicherungsnummer, IP-Adresse, Kontonummer, Bilder, demografische Informationen und mehr.

Kurz gesagt, alle Informationen, die auf Gesundheitszustände im Zusammenhang mit einer Person hinweisen oder anspielen könnten, sollten als geschützte Gesundheitsinformationen betrachtet werden.

Es gilt für „Covered Entities“

Im Gegensatz zur DSGVO, von der gesagt wird, dass sie 80 % der globalen Marken betrifft, ist HIPAA nur für „Covered Entities“ vorgeschrieben. Dieser Begriff bezieht sich auf:

• Krankenkassen (HMOs, Betriebskrankenkassen, Medicare, Medicaid)
• Gesundheitsdienstleister (Ärzte, Kliniken, Fachärzte, Apotheken)
• Unternehmen für Gesundheitsdaten
• Unternehmen und Einzelpersonen, die Dienstleistungen für eines der oben genannten Unternehmen erbringen, z. B. Abrechnungsunternehmen, Rechtsanwälte, Buchhalter, IT-Teams

Die Strafen

Wie bei vielen Vorschriften gibt es Bußgelder im Zusammenhang mit der Nichteinhaltung von HIPAA. Die finanziellen Strafen von HIPAA sind jedoch nicht so hoch wie die, die Sie bei einigen anderen Vorschriften sehen, mit jährlichen Obergrenzen von etwa 1,5 Millionen US-Dollar in den meisten Fällen (vergleichen Sie das mit den 20 Millionen Euro der DSGVO oder 4 % des Jahresumsatzes!).

Allerdings können in den schwersten Fällen von Verstößen (denen Fällen, in denen Organisationen Probleme nicht beheben und eine eindeutige betrügerische Absicht vorliegt) mitschuldige Personen in nicht konformen Unternehmen mit einer Strafanzeige von bis zu 5 Jahren Gefängnis rechnen. Ja, damit ist nicht zu spaßen.

Warten Sie, also ist Braze HIPAA-konform?

Ja wir sind! Auch wenn Braze kein Covered Entity ist, ist die Sicherheit für unsere Mitarbeiter, unsere Kunden und deren Kunden für uns von größter Bedeutung. HIPAA unterscheidet sich ein wenig von anderen Vorschriften, da nicht alle Ihre Unterauftragsverarbeiter konform sein müssen, um Ihr eigenes Ansehen aufrechtzuerhalten – Sie müssen nur Workarounds verwenden, wenn es um Daten geht (darauf kommen wir noch). später).

Allerdings basiert die Braze-Plattform auf dem Konzept „Security by Design“. Wir glauben an Vertrauen und Transparenz und möchten, dass unsere von HIPAA betroffenen Kunden die Möglichkeit haben, unsere Technologie auf die bestmögliche und sicherste Weise zu nutzen, um ihre Geschäftsziele zu erreichen.

HIPAA in der Praxis: Was kann ich also meinen Kunden sagen?

Hier ist eine lustige Faustregel, um zu verstehen, welche Arten von Nachrichten Sie unter HIPAA vermeiden sollten: Nehmen Sie an, Ihr Kunde befindet sich in einem Meeting mit seinem Chef oder noch besser, er hält eine Präsentation auf einem gemeinsam genutzten Bildschirm. Wenn Ihre Nachricht dazu führen würde, dass sie vor ihren Kollegen zusammenzucken (oder einfach ihren Kollegen persönliche Informationen geben würden, die sie nicht teilen wollten) … sollten Sie sie wahrscheinlich nicht senden.

Keine Angst, abgedeckte Einheiten können grundlegende Personalisierungen verwenden, solange sie keine geschützten Gesundheitsdaten einbeziehen. Außerdem gibt es immer noch einige großartige Tools, die Sie für effektives Messaging nutzen können, während Sie HIPAA-konform bleiben.

Tipps für sinnvolles, regelkonformes Marketing

Zur Erinnerung: Wir können Ihnen keine Rechtsberatung zur Einhaltung von Vorschriften geben. Aber hier sind ein paar Tipps und Tricks, die wir bei einigen unserer Kunden gesehen haben, um ihren Kunden ansprechendere Erfahrungen zu bieten, ohne PHI durch unser System zu leiten:

Segmentierung:

Einige Marken entscheiden sich für die codierte Segmentierung oder die Verwendung einer CSV-Datei, damit sie Nachrichten senden können, die für bestimmte Kunden relevant sind, ohne ihrem Techniker mitzuteilen, dass sie eine Nachricht an Personen mit einer bestimmten Veranlagung senden. Segmentieren Sie einfach Kunden in Ihrem internen System, kennzeichnen Sie sie mit A/B/C oder 1/2/3 oder Pinguin/Giraffe/Einhorn (dies wird als pseudonyme Information bezeichnet) und laden Sie diese Datei dann in Ihre Interaktionsplattform hoch. Auf diese Weise können Sie immer noch relevante Nachrichten an Personen senden, die beispielsweise einen Termin gebucht haben oder für die ihre jährliche Prüfung fällig ist, ohne gegen HIPAA zu verstoßen.

Cross-Channel-Messaging:

Sie können weiterhin kanalübergreifendes Messaging verwenden und sogar ausgeklügelte, koordinierte Kampagnen rund um die Aktivitäten Ihrer Benutzer erstellen. Ob sich jemand mit einer Push-Benachrichtigung beschäftigt hat oder nicht, ist schließlich keine PHI.

Aber zurück zum Faustregeltest. Möchten Sie während Ihres Meetings eine Push-Benachrichtigung mit Informationen zu Testergebnissen erhalten oder eine Web-Push-Benachrichtigung mit der Aufschrift „Nur für Sie ausgewählt: Neue Forschung zu Farbänderungsmustern von Maulwürfen bei Erwachsenen“? Wahrscheinlich nicht. Auch E-Mail kann ein besonders anfälliger Kanal sein. Denken Sie darüber nach – besitzen Sie noch Ihre Universitäts-E-Mail? Oder wurde es an die nächste [email protected] weitergegeben? Überlegen Sie sich genau, welche Kanäle Sie verwenden, um welche Botschaften zu kommunizieren, um sicherzustellen, dass Ihre Kundenansprache von den Personen, die Sie erreichen möchten, als wertvoll und angemessen angesehen wird.

Abschließende Gedanken?

Achten Sie darauf, welche Kanäle Sie wählen, und behalten Sie immer den Meeting-Test im Auge. Halten Sie sich bei Ihren Nachrichten vielleicht an allgemeinere Informationen wie „Hallo! Es gibt eine neue Nachricht für Sie. Melden Sie sich beim Patientenportal an, um dies anzuzeigen.“ Auf diese Weise behalten Ihre Benutzer die Kontrolle darüber, wer welche Nachricht sieht, selbst wenn Geräte in die falschen Hände geraten