Czas na coroczny przegląd zgodności z przepisami HIPAA!

HIPAA jest prawdopodobnie starsza niż twoi stażyści (a może nawet niektórzy z twoich pracowników), więc chociaż wszyscy zwracamy uwagę na nasze przepisy dotyczące ochrony danych dzięki RODO, przypomnijmy sobie szybko zgodność z HIPAA.

Więc co to jest HIPAA?

HIPAA, założona w 1996 roku, skupia się na organizacjach w Stanach Zjednoczonych. Oznacza ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych i określa zasady mające na celu zapewnienie, że organizacje mające dostęp do informacji zdrowotnych klientów odpowiednio chronią te wysoce poufne informacje.

Co odróżnia HIPAA od innych zasad regulacji danych?

PHI, nie PII

Jeśli jesteś podobny do nas, od miesięcy masz na głowie RODO (a jeśli nie miałeś w głowie RODO, może prędzej niż później zapoznaj się z naszymi 17 niezbędnymi informacjami na temat rozporządzenia). RODO dotyczy wyłącznie informacji umożliwiających identyfikację osób, czyli informacji umożliwiających identyfikację osób. HIPAA skupia się jednak na chronionych informacjach zdrowotnych (PHI). Chociaż istnieje wiele podobieństw między tymi dwoma, PHI odnosi się konkretnie do wszelkich informacji utworzonych lub otrzymanych przez świadczeniodawcę, które odnoszą się do przeszłych, obecnych lub potencjalnych przyszłych schorzeń fizycznych lub psychicznych danej osoby.

Rozłóżmy to trochę bardziej. PHI obejmuje niektóre z bardziej oczywistych elementów, takich jak dokumentacja medyczna, wyniki badań, daty przyjęcia i wypisu – tak naprawdę wszystko, czego szuka lekarz telewizyjny w tych schowkach na nogach szpitalnego łóżka. Ale odnosi się również do unikalnych, indywidualnych punktów danych, takich jak imię i nazwisko pacjenta, adres e-mail, numer ubezpieczenia społecznego, adres IP, numer konta, obrazy, informacje demograficzne i inne.

Krótko mówiąc, wszelkie informacje, które mogą sugerować lub nawiązywać do schorzeń związanych z daną osobą, powinny być traktowane jako Chronione Informacje Zdrowotne.

Dotyczy „podmiotów objętych ubezpieczeniem”

W przeciwieństwie do RODO, o którym mówi się, że ma wpływ na 80% światowych marek, HIPAA obowiązuje tylko dla „podmiotów objętych ochroną”. Termin ten odnosi się do:

• Firmy ubezpieczeniowe (HMO, zakładowe plany zdrowotne, Medicare, Medicaid)
• Świadczeniodawcy (lekarze, przychodnie, specjaliści, apteki)
• Firmy zajmujące się danymi zdrowotnymi
• Firmy i osoby, które świadczą usługi na rzecz któregokolwiek z powyższych, takie jak firmy rozliczeniowe, prawnicy, księgowi, zespoły IT

Kary

Podobnie jak w przypadku wielu przepisów, za nieprzestrzeganie HIPAA wiążą się grzywny. Kary finansowe HIPAA nie są jednak tak wysokie, jak te, które widzisz w niektórych innych przepisach, z rocznymi limitami wynoszącymi w większości przypadków około 1,5 miliona dolarów (porównaj to z 20 milionami euro lub 4% rocznych przychodów RODO!).

To powiedziawszy, w najpoważniejszych przypadkach niezgodności (w przypadkach, gdy organizacje nie naprawiają problemów i istnieje wyraźny oszukańczy zamiar), osoby współwinne w firmach nieprzestrzegających przepisów mogą zostać postawione zarzuty karne do 5 lat więzienia. Tak, nie ma z czym zadzierać.

Czekaj, więc czy Braze jest zgodny z HIPAA?

Tak, jesteśmy! Chociaż Braze nie jest podmiotem objętym ubezpieczeniem, bezpieczeństwo naszych pracowników, naszych klientów i ich klientów ma dla nas ogromne znaczenie. HIPAA różni się nieco od innych przepisów, ponieważ nie wymaga, aby wszyscy podwykonawcy przetwarzania danych przestrzegali przepisów w celu utrzymania własnej pozycji — wystarczy zastosować obejście, jeśli chodzi o dane (dojdziemy do tego później).

To powiedziawszy, platforma Braze opiera się na koncepcji „Security by Design”. Wierzymy w zaufanie i przejrzystość i chcemy, aby nasi klienci, których dotyczy HIPAA, mieli możliwość korzystania z naszej technologii w najlepszy i najbezpieczniejszy możliwy sposób, aby osiągnąć swoje cele biznesowe.

HIPAA w praktyce: co więc mogę powiedzieć moim klientom?

Oto praktyczna zasada, która pomoże Ci zrozumieć, jakiego rodzaju wiadomości należy unikać w ramach HIPAA: załóżmy, że klient jest na spotkaniu ze swoim szefem lub jeszcze lepiej przedstawia prezentację na wspólnym ekranie. Jeśli Twoja wiadomość sprawiłaby, że wzdrygnęliby się przed współpracownikami (lub po prostu podała swoim współpracownikom dane osobowe, których nie chcieliby udostępniać)… prawdopodobnie nie powinieneś jej wysyłać.

Nie obawiaj się, Podmioty objęte usługą mogą korzystać z podstawowej personalizacji, o ile nie wciąga ona PHI. Ponadto nadal istnieje kilka świetnych narzędzi, które można wykorzystać do skutecznego przesyłania wiadomości, zachowując jednocześnie zgodność z HIPAA.

Wskazówki dotyczące sensownego, zgodnego marketingu

Przypominamy, że nie możemy udzielać porad prawnych dotyczących zgodności. Ale oto kilka wskazówek i sztuczek, których używali niektórzy nasi klienci, aby zapewnić swoim klientom bardziej angażujące wrażenia bez przekazywania PHI przez nasz system:

Segmentacja:

Niektóre marki decydują się na stosowanie segmentacji kodowanej lub CSV, aby móc wysyłać wiadomości, które są istotne dla konkretnych klientów, bez informowania swoich techników, że wysyłają wiadomość do osób o określonych predyspozycjach. Po prostu podziel klientów na segmenty w swoim wewnętrznym systemie, oznacz ich jako A/B/C lub 1/2/3 lub Pingwin/Żyrafa/Jednorożec (jest to znane jako informacja pseudonimowa), a następnie prześlij ten plik na swoją platformę angażującą. W ten sposób nadal możesz wysyłać stosowne wiadomości do osób, które, powiedzmy, mają zarezerwowane spotkanie lub mają się odbyć coroczny egzamin, bez naruszania HIPAA.

Przesyłanie wiadomości między kanałami:

Nadal możesz korzystać z wiadomości w wielu kanałach, a nawet tworzyć złożone, skoordynowane kampanie dotyczące aktywności użytkowników. W końcu to, czy ktoś zaangażował się w powiadomienie push, nie jest PHI.

Wróćmy jednak do testu zasady kciuka. Czy chcesz, aby podczas spotkania pojawiło się powiadomienie push z informacją o wynikach badań, czy powiadomienie web push o treści „Wybrane specjalnie dla Ciebie: Nowe badania nad wzorcami zmiany koloru pieprzyków u dorosłych”? Prawdopodobnie nie. E-mail może być również szczególnie wrażliwym kanałem. Pomyśl o tym — czy nadal jesteś właścicielem swojego uniwersyteckiego adresu e-mail? A może został przekazany do następnego [email protected]? Zastanowienie się nad tym, jakich kanałów używasz do komunikowania się, które wiadomości jest kluczowym elementem zapewnienia, że ​​docieranie do klientów jest postrzegane jako wartościowe i odpowiednie przez osoby, do których próbujesz dotrzeć.

Końcowe przemyślenia?

Uważaj na wybrane kanały, zawsze mając na uwadze test spotkania. Jeśli chodzi o Twoje wiadomości, możesz trzymać się bardziej ogólnych informacji, takich jak „Cześć! Jest dla ciebie nowa wiadomość. Zaloguj się do portalu pacjenta, aby zobaczyć.” W ten sposób, nawet jeśli urządzenia wpadną w niepowołane ręce, użytkownicy będą mieć kontrolę nad tym, kto widzi jaką wiadomość