연례 HIPAA 규정 준수 점검 시간입니다!

HIPAA는 인턴(및 일부 직원)보다 나이가 많을 수 있으므로 GDPR 덕분에 데이터 보호 규정에 주의를 기울이고 있지만 HIPAA 규정 준수에 대해 간단히 살펴보겠습니다.

그렇다면 HIPAA는 무엇입니까?

1996년에 설립된 HIPAA는 미국의 조직에 관한 것입니다. 이는 건강 보험 이동성 및 책임법(Health Insurance Portability and Accountability Act)을 나타내며 고객의 건강 정보에 액세스할 수 있는 조직이 기밀 정보를 적절하게 보호하도록 하기 위한 규칙을 설정합니다.

HIPAA가 다른 데이터 규제 정책과 다른 점은 무엇입니까?

PII가 아닌 PHI

당신이 우리와 같다면 GDPR을 몇 달 동안 알고 있을 것입니다(그리고 GDPR이 두뇌에 있지 않다면 조만간 규정에 대한 17가지 필수 알아야 할 사항을 확인하십시오). GDPR은 PII 또는 개인 식별 정보에 관한 것입니다. 그러나 HIPAA는 PHI(보호 건강 정보)에 중점을 둡니다. 둘 사이에는 중복되는 부분이 많지만 PHI는 특히 개인의 과거, 현재 또는 잠재적인 미래의 신체적 또는 정신적 건강 상태와 관련하여 의료 제공자가 생성하거나 수신한 모든 정보를 나타냅니다.

조금 더 분해해 보겠습니다. PHI에는 의료 기록, 검사 결과, 입원 및 퇴원 날짜와 같은 보다 분명한 요소가 포함됩니다. 그러나 환자의 이름, 이메일 주소, 사회 보장 번호, IP 주소, 계정 번호, 이미지, 인구 통계 정보 등과 같은 고유한 개별 데이터 요소도 참조합니다.

요컨대, 개인과 관련된 건강 상태를 암시하거나 암시할 수 있는 모든 정보는 보호 대상 건강 정보로 간주되어야 합니다.

"해당 기관"에 적용됩니다.

글로벌 브랜드의 80%에 영향을 미친다고 하는 GDPR과 달리 HIPAA는 "해당 기관"에만 적용됩니다. 이 용어는 다음을 나타냅니다.

• 건강 보험 회사(HMO, 회사 건강 보험, Medicare, Medicaid)
• 의료 제공자(의사, 진료소, 전문의, 약국)
• 건강 데이터 회사
• 청구 회사, 변호사, 회계사, IT 팀 등 위에 서비스를 제공하는 회사 및 개인

페널티

많은 규정과 마찬가지로 HIPAA를 준수하지 않을 경우 벌금이 부과됩니다. HIPAA의 재정적 처벌은 다른 규정에서 볼 수 있는 것만큼 크지 않지만 대부분의 경우 연간 한도가 약 150만 달러입니다(GDPR의 2천만 유로 또는 연간 수익의 4%와 비교하십시오!).

그러나 규정을 준수하지 않는 가장 심각한 경우(조직이 문제를 시정하지 않고 명백한 기만 의도가 있는 경우), 규정을 준수하지 않는 회사의 공범자는 최대 5년의 징역형에 처할 수 있습니다. 예, 그것은 엉망이 될 일이 아닙니다.

Braze는 HIPAA를 준수합니까?

네, 우리는! Braze는 적용 대상이 아니지만 직원, 고객 및 그들의 고객을 위한 보안은 우리에게 가장 중요합니다. HIPAA는 자신의 지위를 유지하기 위해 모든 하위 프로세서가 규정을 준수할 것을 요구하지 않기 때문에 다른 규정과 약간 다릅니다. 나중에).

즉, Braze 플랫폼은 "Security by Design"이라는 개념을 기반으로 구축되었습니다. 우리는 신뢰와 투명성을 믿으며 HIPAA의 영향을 받는 고객이 비즈니스 목표를 달성하기 위해 가능한 최선의 안전한 방법으로 우리 기술을 사용할 수 있는 옵션을 갖기를 바랍니다.

실제로 HIPAA: 고객에게 무엇을 말할 수 있습니까?

다음은 HIPAA에서 어떤 종류의 메시지를 피해야 하는지 이해하기 위한 재미있는 경험 법칙입니다. 고객이 상사와 회의 중이거나 공유 화면에서 프레젠테이션을 하고 있다고 가정합니다. 당신의 메시지가 동료들 앞에서 움츠러들게 만든다면(또는 단순히 동료들에게 공유하고 싶지 않은 개인 정보를 제공할 것이라면)… 당신은 아마 그것을 보내서는 안 됩니다.

두려워하지 마십시오. 해당 법인은 PHI를 가져오지 않는 한 기본 개인화를 사용할 수 있습니다. 또한 HIPAA를 준수하면서 효과적인 메시징을 위해 활용할 수 있는 몇 가지 훌륭한 도구가 있습니다.

의미 있고 규정을 준수하는 마케팅을 위한 팁

참고로 당사는 규정 준수에 대한 법적 조언을 제공할 수 없습니다. 그러나 다음은 일부 고객이 당사 시스템을 통해 PHI를 전달하지 않고 고객에게 보다 매력적인 경험을 제공하기 위해 사용하는 몇 가지 팁과 트릭입니다.

분할:

일부 브랜드는 코딩된 세분화를 사용하거나 CSV를 사용하여 특정 성향을 가진 사람들에게 메시지를 보낸다는 것을 기술 담당자에게 알리지 않고 특정 고객과 관련된 메시지를 보낼 수 있도록 선택합니다. 내부 시스템에서 고객을 분류하고 A/B/C 또는 1/2/3 또는 펭귄/기린/유니콘(이것을 가명 정보라고 함) 레이블을 지정한 다음 해당 파일을 참여 플랫폼에 업로드하기만 하면 됩니다. 그렇게 하면 HIPAA를 위반하지 않고 약속을 예약했거나 연례 시험을 치러야 하는 사람들에게 여전히 관련 메시지를 보낼 수 있습니다.

교차 채널 메시징:

여전히 교차 채널 메시징을 사용할 수 있으며 사용자 활동을 중심으로 정교하고 조정된 캠페인을 만들 수도 있습니다. 누군가가 푸시 알림에 참여했는지 여부는 결국 PHI가 아닙니다.

그러나 경험 법칙 테스트로 돌아가 보겠습니다. 회의 중에 테스트 결과에 대한 정보가 포함된 푸시 알림이 표시되기를 원하십니까? 아니면 "당신만을 위한 선택: 성인의 두더지 색 변화 패턴에 대한 새로운 연구"라는 웹 푸시 알림을 원하십니까? 그렇지 않을 가능성이 있습니다. 이메일도 특히 취약한 채널이 될 수 있습니다. 생각해 보세요. 여전히 대학 이메일을 소유하고 있습니까? 아니면 다음 [email protected]로 전달되었습니까? 어떤 메시지를 전달하기 위해 어떤 채널을 사용하는지 신중하게 생각하는 것은 고객 지원이 도달하려는 사람들에게 가치 있고 적절한 것으로 보이도록 하는 핵심 부분입니다.

마지막 생각들?

선택한 채널에 대해 항상 염두에 두고 회의 테스트를 항상 염두에 두십시오. 메시지의 경우 "안녕하세요! 새로운 메시지가 있습니다. 보려면 환자 포털에 로그인하십시오.” 그렇게 하면 기기가 엉뚱한 사람의 손에 넘어가더라도 사용자가 누가 어떤 메시지를 볼지 제어할 수 있습니다.