¡Es hora de su revisión anual de cumplimiento de HIPAA!

Publicado: 2018-03-10

HIPAA es probablemente más antiguo que sus pasantes (y tal vez incluso algunos de sus empleados), así que mientras todos prestamos atención a nuestras regulaciones de protección de datos gracias a GDPR, hagamos un repaso rápido sobre el cumplimiento de HIPAA.

Entonces, ¿Qué es HIPAA?

HIPAA, establecida en 1996, tiene que ver con las organizaciones en los Estados Unidos. Representa la Ley de Portabilidad y Responsabilidad de los Seguros Médicos y establece reglas destinadas a garantizar que las organizaciones con acceso a la información médica de los clientes protejan adecuadamente esa información altamente confidencial.

¿Qué diferencia a HIPAA de otras políticas de regulación de datos?

PHI, no PII

Si es como nosotros, ha tenido GDPR en mente durante meses (y si no ha tenido GDPR en mente, tal vez consulte nuestros 17 conocimientos básicos sobre la regulación más temprano que tarde). GDPR tiene que ver con PII, o información de identificación personal. HIPAA, sin embargo, se enfoca en la información de salud protegida (PHI). Si bien hay mucha superposición entre los dos, la PHI se refiere específicamente a cualquier información creada o recibida por un proveedor de atención médica que se relacione con las condiciones de salud física o mental pasadas, presentes o futuras potenciales de cualquier individuo.

Analicemos eso un poco más. La PHI abarca algunos de los elementos más obvios, como registros médicos, resultados de pruebas, fechas de admisión y alta, en realidad cualquier cosa que imagine que un médico de TV está buscando en esos portapapeles al pie de una cama de hospital. Pero también se refiere a puntos de datos únicos e individuales, como el nombre del paciente, la dirección de correo electrónico, el número de Seguro Social, la dirección IP, el número de cuenta, las imágenes, la información demográfica y más.

En resumen, cualquier información que pueda implicar o aludir a condiciones de salud relacionadas con un individuo debe ser considerada Información de Salud Protegida.

Se aplica a las "entidades cubiertas"

A diferencia de GDPR, que se dice que afecta al 80% de las marcas globales, HIPAA es obligatoria solo para "Entidades cubiertas". Este término se refiere a:

  • Compañías de seguros de salud (HMO, planes de salud de la compañía, Medicare, Medicaid)
  • Proveedores de atención médica (médicos, clínicas, especialistas, farmacias)
  • empresas de datos de salud
  • Empresas e individuos que brindan servicios a cualquiera de los anteriores, como empresas de facturación, abogados, contadores, equipos de TI

las sanciones

Como muchas regulaciones, existen multas asociadas con el incumplimiento de HIPAA. Sin embargo, las sanciones financieras de HIPAA no son tan fuertes como las que se ven con otras regulaciones, con límites anuales de alrededor de $ 1.5 millones en la mayoría de los casos (¡compárelo con los € 20 millones de GDPR o el 4% de los ingresos anuales!).

Dicho esto, en los casos más graves de incumplimiento (aquellos casos en los que las organizaciones no corrigen los problemas y existe una clara intención engañosa), las personas cómplices de las empresas que no cumplen pueden enfrentar cargos penales de hasta 5 años de prisión. Sí, eso no es algo con lo que meterse.

Espera, entonces, ¿Braze cumple con HIPAA?

¡Sí somos! Si bien Braze no es una Entidad cubierta, la seguridad de nuestros empleados, nuestros clientes y sus clientes es de suma importancia para nosotros. HIPAA es un poco diferente de otras regulaciones porque no requiere que todos sus subprocesadores cumplan para mantener su propia posición; solo tiene que usar soluciones alternativas cuando se trata de datos (ya llegaremos a eso). luego).

Dicho esto, la plataforma Braze se basa en el concepto de "Seguridad por diseño". Creemos en la confianza y la transparencia, y queremos que nuestros clientes afectados por HIPAA tengan la opción de utilizar nuestra tecnología de la mejor y más segura manera posible para alcanzar sus objetivos comerciales.

HIPAA en la práctica: Entonces, ¿qué PUEDO decirles a mis clientes?

Aquí hay una regla general divertida para comprender qué tipo de mensajes evitar bajo HIPAA: suponga que su cliente está en una reunión con su jefe, o mejor aún, dando una presentación en una pantalla compartida. Si su mensaje los haría avergonzarse frente a sus compañeros de trabajo (o, simplemente, les daría a sus colegas información personal que no hubieran querido compartir)... probablemente no debería enviarlo.

No tema, las Entidades cubiertas pueden usar la personalización básica, siempre que no obtenga PHI. Además, todavía hay algunas herramientas excelentes que puede aprovechar para enviar mensajes efectivos, sin dejar de cumplir con HIPAA.

Consejos para un marketing significativo y compatible

Como recordatorio, no podemos brindarle ningún consejo legal para el cumplimiento. Pero aquí hay algunos consejos y trucos que hemos visto que usan algunos de nuestros clientes para brindar experiencias más atractivas a sus clientes sin pasar la PHI a través de nuestro sistema:

Segmentación:

Algunas marcas optan por utilizar la segmentación codificada o utilizar un CSV para poder enviar mensajes que sean relevantes para clientes particulares, sin decirle a su tecnología que están enviando un mensaje a personas con cierta predisposición. Simplemente segmente a los clientes en su sistema interno, etiquételos A/B/C o 1/2/3 o Pingüino/Jirafa/Unicornio (esto se conoce como información seudónima), luego cargue ese archivo en su plataforma de participación. De esa manera, aún puede enviar mensajes pertinentes a las personas que, por ejemplo, tienen una cita reservada o que deben realizarse su examen anual, sin infringir la HIPAA.

Mensajería multicanal:

Todavía puede usar mensajes entre canales e incluso puede hacer campañas sofisticadas y coordinadas en torno a la actividad de sus usuarios. Ya sea que alguien haya interactuado o no con una notificación automática, no es PHI, después de todo.

Pero volvamos a la prueba de la regla empírica. ¿Desea que aparezca una notificación automática durante su reunión con información sobre los resultados de las pruebas, o una notificación automática web que diga "Elegido solo para usted: nueva investigación sobre los patrones de cambio de color de los lunares en adultos"? Probablemente no. El correo electrónico también puede ser un canal particularmente vulnerable. Piénsalo: ¿sigues siendo dueño del correo electrónico de tu universidad? ¿O se ha pasado al siguiente [email protected]? Ser cuidadoso con los canales que usa para comunicar qué mensajes es una parte clave para garantizar que las personas a las que intenta llegar consideren valioso y apropiado el contacto con sus clientes.

¿Pensamientos finales?

Tenga en cuenta los canales que elija, teniendo siempre en mente la prueba de la reunión. En cuanto a sus mensajes, tal vez apéguese a información más genérica como “¡Hola! Hay un nuevo mensaje para ti. Inicie sesión en el portal del paciente para ver”. De esa manera, incluso si los dispositivos caen en las manos equivocadas, sus usuarios mantienen el control de quién ve qué mensaje.