C'est l'heure de votre vérification annuelle de conformité HIPAA !

Publié: 2018-03-10

HIPAA est probablement plus âgé que vos stagiaires (et peut-être même certains de vos employés), donc pendant que nous prêtons tous attention à nos réglementations sur la protection des données grâce au RGPD, faisons un bref rappel sur la conformité HIPAA.

Alors, qu'est-ce que HIPAA?

HIPAA, créé en 1996, concerne les organisations aux États-Unis. Il représente la loi sur la portabilité et la responsabilité de l'assurance maladie et établit des règles visant à garantir que les organisations ayant accès aux informations de santé des clients protègent ces informations hautement confidentielles de manière appropriée.

Qu'est-ce qui différencie HIPAA des autres politiques de réglementation des données ?

PHI, pas PII

Si vous êtes comme nous, vous avez le RGPD dans le cerveau depuis des mois maintenant (et si vous n'avez pas le RGPD dans le cerveau, consultez peut-être nos 17 choses à savoir sur la réglementation le plus tôt possible). GDPR est tout au sujet des PII, ou des informations personnellement identifiables. HIPAA, cependant, se concentre sur les informations de santé protégées (PHI). Bien qu'il y ait beaucoup de chevauchement entre les deux, PHI se réfère spécifiquement à toute information créée ou reçue par un fournisseur de soins de santé qui se rapporte aux conditions de santé physique ou mentale passées, présentes ou futures potentielles d'un individu.

Décomposons cela un peu plus. Les PHI englobent certains des éléments les plus évidents tels que les dossiers médicaux, les résultats des tests, les dates d'admission et de sortie - vraiment tout ce que vous imaginez qu'un médecin de la télévision recherche dans ces presse-papiers au pied d'un lit d'hôpital. Mais il fait également référence à des points de données uniques et individuels, comme le nom d'un patient, son adresse e-mail, son numéro de sécurité sociale, son adresse IP, son numéro de compte, ses images, ses informations démographiques, etc.

En bref, toute information pouvant impliquer ou faire allusion à des problèmes de santé liés à un individu doit être considérée comme une information de santé protégée.

Cela s'applique aux "entités couvertes"

Contrairement au GDPR, qui affecterait 80 % des marques mondiales, HIPAA n'est obligatoire que pour les "entités couvertes". Ce terme désigne :

  • Compagnies d'assurance maladie (HMO, plans de santé d'entreprise, Medicare, Medicaid)
  • Prestataires de soins (médecins, cliniques, spécialistes, pharmacies)
  • Entreprises de données de santé
  • Les entreprises et les particuliers qui fournissent des services à l'un des éléments ci-dessus, tels que les sociétés de facturation, les avocats, les comptables, les équipes informatiques

Les pénalités

Comme de nombreuses réglementations, des amendes sont associées au non-respect de la loi HIPAA. Les sanctions financières de l'HIPAA ne sont cependant pas aussi lourdes que celles que vous voyez avec d'autres réglementations, avec des plafonds annuels d'environ 1,5 million de dollars dans la plupart des cas (comparez cela aux 20 millions d'euros ou 4 % des revenus annuels du RGPD !).

Cela dit, dans les cas les plus graves de non-conformité (lorsque les organisations ne corrigent pas les problèmes et qu'il existe une intention trompeuse manifeste), les personnes complices des entreprises non conformes peuvent faire face à des accusations criminelles pouvant aller jusqu'à 5 ans de prison. Ouais, ce n'est pas quelque chose à gâcher.

Attendez, alors Braze est-il conforme à la loi HIPAA ?

Oui nous sommes! Bien que Braze ne soit pas une entité couverte, la sécurité de nos employés, de nos clients et de leurs clients est de la plus haute importance pour nous. HIPAA est un peu différent des autres réglementations, car il n'exige pas que tous vos sous-traitants soient conformes afin de maintenir votre propre réputation. Il vous suffit d'utiliser des solutions de contournement en ce qui concerne les données (nous y reviendrons plus tard).

Cela dit, la plate-forme Braze est construite sur le concept de "Security by Design". Nous croyons en la confiance et la transparence, et nous souhaitons que nos clients concernés par la loi HIPAA aient la possibilité d'utiliser notre technologie de la manière la meilleure et la plus sûre possible pour atteindre leurs objectifs commerciaux.

HIPAA en pratique : que puis-je dire à mes clients ?

Voici une règle empirique amusante pour comprendre les types de messages à éviter en vertu de la loi HIPAA : supposez que votre client est en réunion avec son patron ou, mieux encore, qu'il fait une présentation sur un écran partagé. Si votre message les faisait grincer des dents devant leurs collègues (ou, tout simplement, donnerait à leurs collègues des informations personnelles qu'ils n'auraient pas voulu partager)… vous ne devriez probablement pas l'envoyer.

N'ayez crainte, les entités couvertes peuvent utiliser la personnalisation de base, tant qu'elle n'inclut pas les PHI. De plus, il existe encore d'excellents outils que vous pouvez utiliser pour une messagerie efficace, tout en restant conforme à la loi HIPAA.

Conseils pour un marketing significatif et conforme

Pour rappel, nous ne pouvons vous donner aucun conseil juridique pour la conformité. Mais voici quelques trucs et astuces que certains de nos clients utilisent pour offrir des expériences plus attrayantes à leurs clients sans passer par notre système :

Segmentation:

Certaines marques choisissent d'utiliser une segmentation codée ou d'utiliser un CSV afin de pouvoir envoyer des messages pertinents à des clients particuliers, sans dire à leur technologie qu'elles envoient un message à des personnes ayant une certaine prédisposition. Segmentez simplement les clients dans votre système interne, étiquetez-les A/B/C ou 1/2/3 ou Pingouin/Girafe/Licorne (c'est ce qu'on appelle des informations pseudonymes), puis téléchargez ce fichier sur votre plateforme d'engagement. De cette façon, vous pouvez toujours envoyer des messages pertinents aux personnes qui, par exemple, ont un rendez-vous ou qui doivent passer leur examen annuel, sans enfreindre la loi HIPAA.

Messagerie cross-canal :

Vous pouvez toujours utiliser la messagerie cross-canal et même créer des campagnes sophistiquées et coordonnées autour de l'activité de vos utilisateurs. Que quelqu'un se soit engagé ou non avec une notification push n'est pas PHI, après tout.

Mais revenons au test de la règle empirique. Souhaitez-vous qu'une notification push apparaisse lors de votre réunion avec des informations sur les résultats des tests, ou une notification push Web disant "Choisi juste pour vous : Nouvelle recherche sur les modèles de changement de couleur des grains de beauté chez les adultes" ? Probablement pas. Le courrier électronique peut également être un canal particulièrement vulnérable. Pensez-y : êtes-vous toujours propriétaire de votre adresse e-mail universitaire ? Ou a-t-il été transmis au prochain [email protected] ? Réfléchir aux canaux que vous utilisez pour communiquer quels messages est un élément clé pour vous assurer que votre approche client est considérée comme utile et appropriée par les personnes que vous essayez d'atteindre.

Dernières pensées?

Faites attention aux canaux que vous choisissez, en gardant toujours à l'esprit le test de réunion. En ce qui concerne vos messages, peut-être s'en tenir à des informations plus génériques comme « Salut ! Il y a un nouveau message pour vous. Connectez-vous au portail patient pour voir. De cette façon, même si les appareils tombent entre de mauvaises mains, vos utilisateurs gardent le contrôle de qui voit quel message