Saatnya Pemeriksaan Kepatuhan HIPAA Tahunan Anda!

HIPAA mungkin lebih tua dari pekerja magang Anda (dan mungkin bahkan beberapa karyawan Anda), jadi sementara kita semua memperhatikan peraturan perlindungan data berkat GDPR, mari kita perbarui cepat tentang kepatuhan HIPAA.

Jadi, Apa itu HIPAA?

HIPAA, didirikan pada tahun 1996, adalah semua tentang organisasi di Amerika Serikat. Ini adalah singkatan dari Health Insurance Portability and Accountability Act, dan menetapkan aturan yang dimaksudkan untuk memastikan bahwa organisasi yang memiliki akses ke informasi kesehatan pelanggan melindungi informasi yang sangat rahasia itu dengan tepat.

Apa yang Membuat HIPAA Berbeda dari Kebijakan Regulasi Data Lainnya?

PHI, Bukan PII

Jika Anda seperti kami, Anda sudah memikirkan GDPR selama berbulan-bulan sekarang (dan jika Anda belum memiliki GDPR di otak, mungkin lihat 17 peraturan yang harus diketahui lebih awal daripada nanti). GDPR adalah semua tentang PII, atau informasi pengenal pribadi. HIPAA, bagaimanapun, berfokus pada Protected Health Information (PHI). Meskipun ada banyak tumpang tindih di antara keduanya, PHI merujuk secara khusus pada informasi apa pun yang dibuat atau diterima oleh penyedia layanan kesehatan yang berkaitan dengan kondisi kesehatan fisik atau mental individu di masa lalu, sekarang, atau potensial di masa depan.

Mari kita uraikan sedikit lagi. PHI mencakup beberapa elemen yang lebih jelas seperti catatan medis, hasil tes, tanggal masuk dan keluar—benar-benar apa pun yang Anda bayangkan yang dicari oleh Dokter TV di papan klip di kaki ranjang rumah sakit. Tetapi juga mengacu pada poin data individu yang unik, seperti nama pasien, alamat email, nomor Jaminan Sosial, alamat IP, nomor akun, gambar, informasi demografis, dan banyak lagi.

Singkatnya, informasi apa pun yang dapat menyiratkan atau menyinggung kondisi kesehatan yang berhubungan dengan seseorang harus dianggap sebagai Informasi Kesehatan yang Dilindungi.

Ini Berlaku Untuk “Entitas Tercakup”

Tidak seperti GDPR yang dikatakan mempengaruhi 80% merek global, HIPAA diamanatkan hanya untuk “Entitas Tercakup.” Istilah ini mengacu pada:

• Perusahaan asuransi kesehatan (HMO, rencana kesehatan perusahaan, Medicare, Medicaid)
• Penyedia layanan kesehatan (dokter, klinik, spesialis, apotek)
• Perusahaan data kesehatan
• Perusahaan dan individu yang menyediakan layanan untuk salah satu di atas, seperti perusahaan penagihan, pengacara, akuntan, tim TI

Hukuman

Seperti banyak peraturan, ada denda yang terkait dengan kegagalan mematuhi HIPAA. Namun, penalti finansial HIPAA tidak sebesar yang Anda lihat dengan beberapa peraturan lain, dengan batas tahunan sekitar $1,5 juta dalam banyak kasus (bandingkan dengan GDPR €20 Juta atau 4% dari pendapatan tahunan!).

Yang mengatakan, dalam kasus ketidakpatuhan yang paling parah (contoh ketika organisasi gagal untuk memperbaiki masalah, dan ada niat menipu yang jelas), individu yang terlibat di perusahaan yang tidak patuh dapat menghadapi tuntutan pidana hingga 5 tahun penjara. Ya, itu bukan sesuatu untuk dipusingkan.

Tunggu, Jadi Apakah Braze Sesuai dengan HIPAA?

Ya, kami! Meskipun Braze bukan Entitas Tercakup, keamanan bagi karyawan kami, klien kami, dan pelanggan mereka adalah yang paling penting bagi kami. HIPAA sedikit berbeda dari peraturan lain karena tidak mengharuskan semua sub-prosesor Anda mematuhinya untuk mempertahankan posisi Anda sendiri—Anda hanya perlu menggunakan solusi terkait data (kita akan membahasnya nanti).

Konon, platform Braze dibangun di atas konsep "Keamanan berdasarkan Desain." Kami percaya pada kepercayaan dan transparansi, dan kami ingin pelanggan kami yang terpengaruh oleh HIPAA memiliki opsi untuk menggunakan teknologi kami dengan cara terbaik dan teraman untuk mencapai tujuan bisnis mereka.

Praktek HIPAA: Jadi Apa yang BISA Saya Katakan Kepada Pelanggan Saya?

Berikut adalah aturan praktis yang menyenangkan untuk memahami jenis pesan apa yang harus dihindari di bawah HIPAA: anggap pelanggan Anda sedang rapat dengan bos mereka, atau lebih baik lagi, memberikan presentasi di layar bersama. Jika pesan Anda akan membuat mereka merasa ngeri di depan rekan kerja mereka (atau, sederhananya, akan memberikan informasi pribadi rekan mereka yang tidak ingin mereka bagikan)… Anda mungkin tidak boleh mengirimkannya.

Jangan takut, Entitas Tercakup dapat menggunakan personalisasi dasar, selama tidak menarik PHI. Plus masih ada beberapa alat hebat yang dapat Anda manfaatkan untuk pengiriman pesan yang efektif, sambil tetap mematuhi HIPAA.

Kiat Untuk Pemasaran yang Bermakna dan Sesuai

Sebagai pengingat, kami tidak dapat memberi Anda nasihat hukum apa pun untuk kepatuhan. Namun berikut adalah beberapa tip dan trik yang kami lihat digunakan beberapa klien kami untuk memberikan pengalaman yang lebih menarik kepada pelanggan mereka tanpa melewati PHI melalui sistem kami:

Segmentasi:

Beberapa merek memilih untuk menggunakan segmentasi berkode atau menggunakan CSV sehingga mereka dapat mengirim pesan yang relevan dengan pelanggan tertentu, tanpa memberi tahu teknologi mereka bahwa mereka mengirim pesan kepada orang-orang dengan kecenderungan tertentu. Cukup segmentasikan pelanggan di sistem internal Anda, beri label A/B/C atau 1/2/3 atau Penguin/Giraffe/Unicorn (ini dikenal sebagai informasi pseudonim), lalu unggah file itu ke platform keterlibatan Anda. Dengan begitu, Anda masih dapat mengirim pesan terkait kepada orang-orang yang, misalnya, memiliki janji temu, atau yang akan mengikuti ujian tahunan, tanpa melanggar HIPAA.

Pesan Lintas Saluran:

Anda masih dapat menggunakan perpesanan lintas saluran, dan bahkan dapat membuat kampanye yang canggih dan terkoordinasi seputar aktivitas pengguna Anda. Apakah seseorang telah terlibat dengan pemberitahuan push atau tidak, itu bukan PHI.

Tapi mari kita kembali ke tes rule-of-thumb. Apakah Anda ingin pemberitahuan push muncul selama pertemuan Anda dengan informasi tentang hasil tes, atau pemberitahuan push web yang mengatakan "Dipilih hanya untuk Anda: Penelitian baru tentang pola perubahan warna tahi lalat pada orang dewasa"? Mungkin tidak. Email juga bisa menjadi saluran yang rentan. Pikirkanlah—apakah Anda masih memiliki email universitas Anda? Atau sudah diteruskan ke [email protected] berikutnya? Menjadi bijaksana tentang saluran apa yang Anda gunakan untuk mengomunikasikan pesan mana yang merupakan bagian penting untuk memastikan bahwa penjangkauan pelanggan Anda dipandang berharga dan sesuai oleh orang-orang yang Anda coba jangkau.

Pikiran terakhir?

Perhatikan saluran yang Anda pilih, selalu ingat tes rapat. Untuk pesan Anda, mungkin gunakan informasi yang lebih umum seperti, “Hai! Ada pesan baru untukmu. Masuk ke portal pasien untuk melihat.” Dengan begitu, meskipun perangkat jatuh ke tangan yang salah, pengguna Anda tetap dapat mengontrol siapa yang melihat pesan apa