Tempo per il tuo controllo annuale di conformità HIPAA!

Pubblicato: 2018-03-10

L'HIPAA è probabilmente più vecchio dei tuoi stagisti (e forse anche di alcuni dei tuoi dipendenti), quindi mentre stiamo tutti prestando attenzione alle nostre normative sulla protezione dei dati grazie al GDPR, facciamo un rapido aggiornamento sulla conformità all'HIPAA.

Allora, cos'è l'HIPAA?

HIPAA, fondata nel 1996, riguarda le organizzazioni negli Stati Uniti. È l'acronimo di Health Insurance Portability and Accountability Act e stabilisce regole volte a garantire che le organizzazioni con accesso alle informazioni sanitarie dei clienti proteggano tali informazioni altamente riservate in modo appropriato.

Cosa rende l'HIPAA diverso dalle altre politiche di regolamentazione dei dati?

PHI, non PII

Se sei come noi, hai il GDPR nel cervello ormai da mesi (e se non hai il GDPR nel cervello, forse dai un'occhiata alle nostre 17 cose da sapere sul regolamento prima piuttosto che dopo). Il GDPR riguarda esclusivamente le PII o le informazioni di identificazione personale. HIPAA, tuttavia, si concentra sulle informazioni sanitarie protette (PHI). Sebbene ci siano molte sovrapposizioni tra i due, PHI si riferisce specificamente a qualsiasi informazione creata o ricevuta da un operatore sanitario che si riferisce alle condizioni di salute fisica o mentale passate, presenti o potenziali future di qualsiasi individuo.

Analizziamolo un po' di più. PHI comprende alcuni degli elementi più ovvi come cartelle cliniche, risultati dei test, date di ammissione e dimissione, davvero tutto ciò che immagini che un medico televisivo stia cercando in quegli appunti ai piedi di un letto d'ospedale. Ma si riferisce anche a punti dati univoci e individuali, come il nome di un paziente, l'indirizzo e-mail, il numero di previdenza sociale, l'indirizzo IP, il numero di conto, le immagini, le informazioni demografiche e altro ancora.

In breve, qualsiasi informazione che possa implicare o alludere a condizioni di salute legate a un individuo dovrebbe essere considerata Informazione Sanitaria Protetta.

Si applica alle "entità coperte"

A differenza del GDPR, che si dice influisca sull'80% dei marchi globali, l'HIPAA è obbligatorio solo per le "entità coperte". Questo termine si riferisce a:

  • Compagnie di assicurazione sanitaria (HMO, piani sanitari aziendali, Medicare, Medicaid)
  • Operatori sanitari (medici, cliniche, specialisti, farmacie)
  • Società di dati sanitari
  • Società e individui che forniscono servizi a uno dei suddetti, come società di fatturazione, avvocati, contabili, team IT

Le sanzioni

Come molti regolamenti, ci sono multe associate al mancato rispetto dell'HIPAA. Le sanzioni pecuniarie dell'HIPAA non sono così pesanti come quelle che vedi con alcune altre normative, tuttavia, con un tetto annuale di circa $ 1,5 milioni nella maggior parte dei casi (confrontalo con i 20 milioni di euro del GDPR o il 4% delle entrate annuali!).

Detto questo, nei casi più gravi di non conformità (quei casi in cui le organizzazioni non riescono a correggere i problemi e c'è un chiaro intento ingannevole), le persone complici di aziende non conformi possono essere incriminate fino a 5 anni di carcere. Sì, non è qualcosa con cui scherzare.

Aspetta, quindi Braze è conforme a HIPAA?

Sì! Sebbene Braze non sia un'entità coperta, la sicurezza per i nostri dipendenti, i nostri clienti e i loro clienti è della massima importanza per noi. L'HIPAA è leggermente diverso dalle altre normative perché non richiede che tutti i tuoi sub-incaricati del trattamento siano conformi per mantenere la tua posizione: devi solo usare soluzioni alternative quando si tratta di dati (ci arriveremo dopo).

Detto questo, la piattaforma Braze si basa sul concetto di "Security by Design". Crediamo nella fiducia e nella trasparenza e vogliamo che i nostri clienti interessati dall'HIPAA abbiano la possibilità di utilizzare la nostra tecnologia nel modo migliore e più sicuro possibile per raggiungere i loro obiettivi aziendali.

HIPAA in pratica: quindi cosa posso dire ai miei clienti?

Ecco una divertente regola pratica per capire quali tipi di messaggi evitare in base all'HIPAA: supponi che il tuo cliente sia in riunione con il suo capo o, meglio ancora, stia facendo una presentazione su uno schermo condiviso. Se il tuo messaggio li fa rabbrividire davanti ai loro colleghi (o, semplicemente, fornisce ai loro colleghi informazioni personali che non avrebbero voluto condividere)... probabilmente non dovresti inviarlo.

Non temere, le entità coperte possono utilizzare la personalizzazione di base, purché non richieda PHI. Inoltre, ci sono ancora alcuni ottimi strumenti che puoi sfruttare per una messaggistica efficace, pur rimanendo conforme a HIPAA.

Suggerimenti per un marketing significativo e conforme

Ricordiamo che non possiamo darti alcuna consulenza legale per la conformità. Ma ecco alcuni suggerimenti e trucchi che abbiamo visto utilizzare da alcuni dei nostri clienti per fornire esperienze più coinvolgenti ai loro clienti senza passare PHI attraverso il nostro sistema:

Segmentazione:

Alcuni marchi scelgono di utilizzare la segmentazione codificata o di utilizzare un CSV in modo da poter inviare messaggi rilevanti per determinati clienti, senza dire al proprio tecnico che stanno inviando un messaggio a persone con una certa predisposizione. Segmenta semplicemente i clienti nel tuo sistema interno, etichettali come A/B/C o 1/2/3 o Penguin/Giraffe/Unicorn (questo è noto come informazioni pseudonime), quindi carica quel file nella tua piattaforma di coinvolgimento. In questo modo, puoi comunque inviare messaggi pertinenti a persone che, ad esempio, hanno un appuntamento prenotato o che devono sostenere l'esame annuale, senza violare l'HIPAA.

Messaggistica multicanale:

Puoi comunque utilizzare la messaggistica multicanale e persino realizzare campagne sofisticate e coordinate attorno all'attività dei tuoi utenti. Dopotutto, se qualcuno ha interagito con una notifica push non è PHI.

Ma torniamo al test della regola pratica. Vuoi ricevere una notifica push durante la tua riunione con informazioni sui risultati dei test o una notifica push web che dice "Scelto solo per te: nuova ricerca sui modelli di cambiamento del colore dei nei negli adulti"? Probabilmente no. Anche la posta elettronica può essere un canale particolarmente vulnerabile. Pensaci: possiedi ancora la tua email universitaria? O è stato passato al prossimo [email protected]? Essere premurosi su quali canali utilizzi per comunicare quali messaggi è una parte fondamentale per garantire che la portata dei tuoi clienti sia considerata preziosa e appropriata dalle persone che stai cercando di raggiungere.

Pensieri finali?

Fai attenzione ai canali che scegli, tenendo sempre in primo piano il test della riunione. Per quanto riguarda i tuoi messaggi, magari attieniti a informazioni più generiche come "Ciao! C'è un nuovo messaggio per te. Accedi al portale del paziente per vedere. In questo modo, anche se i dispositivi cadono nelle mani sbagliate, i tuoi utenti mantengono il controllo su chi vede quale messaggio