Hora do seu check-up anual de conformidade com a HIPAA!

A HIPAA provavelmente é mais antiga que seus estagiários (e talvez até alguns de seus funcionários), então, enquanto todos estamos atentos aos nossos regulamentos de proteção de dados graças ao GDPR, vamos relembrar rapidamente a conformidade com a HIPAA.

Então, o que é HIPAA?

A HIPAA, criada em 1996, tem tudo a ver com organizações nos Estados Unidos. Significa a Lei de Portabilidade e Responsabilidade do Seguro de Saúde e estabelece regras destinadas a garantir que as organizações com acesso às informações de saúde dos clientes estejam protegendo adequadamente essas informações altamente confidenciais.

O que diferencia a HIPAA de outras políticas de regulamentação de dados?

PHI, não PII

Se você é como nós, você tem o GDPR no cérebro há meses (e se você não teve o GDPR no cérebro, talvez confira nossos 17 conhecimentos obrigatórios sobre o regulamento mais cedo ou mais tarde). O GDPR tem tudo a ver com PII, ou informações de identificação pessoal. HIPAA, no entanto, concentra-se em Informações de Saúde Protegidas (PHI). Embora haja muita sobreposição entre os dois, PHI refere-se especificamente a qualquer informação criada ou recebida por um profissional de saúde relacionada às condições de saúde física ou mental passadas, presentes ou potenciais futuras de qualquer indivíduo.

Vamos quebrar isso um pouco mais. A PHI engloba alguns dos elementos mais óbvios, como registros médicos, resultados de exames, datas de admissão e alta – realmente qualquer coisa que você imagine que um médico de TV esteja procurando naquelas pranchetas ao pé de uma cama de hospital. Mas também se refere a pontos de dados únicos e individuais, como o nome de um paciente, endereço de e-mail, número do Seguro Social, endereço IP, número da conta, imagens, informações demográficas e muito mais.

Em suma, qualquer informação que possa implicar ou aludir a condições de saúde relacionadas a um indivíduo deve ser considerada Informação de Saúde Protegida.

Aplica-se a “Entidades Cobertas”

Ao contrário do GDPR, que diz afetar 80% das marcas globais, o HIPAA é obrigatório apenas para “Entidades Cobertas”. Este termo refere-se a:

• Empresas de seguros de saúde (HMOs, planos de saúde da empresa, Medicare, Medicaid)
• Prestadores de cuidados de saúde (médicos, clínicas, especialistas, farmácias)
• Empresas de dados de saúde
• Empresas e indivíduos que prestam serviços a qualquer um dos itens acima, como empresas de cobrança, advogados, contadores, equipes de TI

As penalidades

Como muitos regulamentos, existem multas associadas ao não cumprimento da HIPAA. As penalidades financeiras da HIPAA não são tão pesadas quanto as que você vê em alguns outros regulamentos, no entanto, com limites anuais em torno de US $ 1,5 milhão na maioria dos casos (compare isso com os € 20 milhões do GDPR ou 4% da receita anual!).

Dito isso, nos casos mais graves de descumprimento (aqueles casos em que as organizações não conseguem corrigir os problemas e há uma clara intenção enganosa), indivíduos cúmplices em empresas que não cumprem podem enfrentar acusações criminais de até 5 anos de prisão. Sim, isso não é algo para mexer.

Espere, então o Braze é compatível com HIPAA?

Sim, nós somos! Embora a Braze não seja uma Entidade Coberta, a segurança para nossos funcionários, nossos clientes e seus clientes é de extrema importância para nós. HIPAA é um pouco diferente de outros regulamentos porque não exige que todos os seus subprocessadores estejam em conformidade para manter sua própria posição - você só precisa usar soluções alternativas quando se trata de dados (chegaremos a isso mais tarde).

Dito isso, a plataforma Braze é construída sobre o conceito de “Segurança por Design”. Acreditamos na confiança e na transparência e queremos que nossos clientes afetados pela HIPAA tenham a opção de usar nossa tecnologia da melhor e mais segura maneira possível para atingir seus objetivos de negócios.

HIPAA na prática: então, o que posso dizer aos meus clientes?

Aqui está uma regra prática divertida para entender que tipos de mensagens devem ser evitadas sob a HIPAA: suponha que seu cliente esteja em uma reunião com o chefe, ou melhor ainda, fazendo uma apresentação em uma tela compartilhada. Se sua mensagem os faria se encolher na frente de seus colegas de trabalho (ou, simplesmente, forneceria a seus colegas informações pessoais que eles não gostariam de compartilhar)... você provavelmente não deveria enviá-la.

Não tenha medo, as Entidades Cobertas podem usar personalização básica, desde que não atraia PHI. Além disso, ainda existem algumas ótimas ferramentas que você pode aproveitar para mensagens eficazes, mantendo-se em conformidade com a HIPAA.

Dicas para um marketing significativo e compatível

Como lembrete, não podemos fornecer aconselhamento jurídico para conformidade. Mas aqui estão algumas dicas e truques que vimos alguns de nossos clientes usarem para fornecer experiências mais envolventes para seus clientes sem passar PHI pelo nosso sistema:

Segmentação:

Algumas marcas optam por usar segmentação codificada ou usar um CSV para que possam enviar mensagens relevantes para clientes específicos, sem informar à tecnologia que estão enviando uma mensagem para pessoas com certa predisposição. Simplesmente segmente os clientes em seu sistema interno, rotule-os como A/B/C ou 1/2/3 ou Pinguim/Girafa/Unicórnio (isso é conhecido como informações pseudônimas) e, em seguida, carregue esse arquivo em sua plataforma de engajamento. Dessa forma, você ainda pode enviar mensagens pertinentes a pessoas que, digamos, têm uma consulta marcada ou que devem fazer o exame anual, sem violar a HIPAA.

Mensagens entre canais:

Você ainda pode usar mensagens em vários canais e pode até fazer campanhas sofisticadas e coordenadas em torno da atividade de seus usuários. Se alguém se engajou ou não com uma notificação push não é PHI, afinal.

Mas voltemos ao teste da regra prática. Você deseja que uma notificação por push seja exibida durante sua reunião com informações sobre os resultados dos testes ou uma notificação por push da Web dizendo “Escolhido apenas para você: Nova pesquisa sobre padrões de mudança de cor de toupeira em adultos”? Provavelmente não. O e-mail também pode ser um canal particularmente vulnerável. Pense nisso - você ainda possui seu e-mail universitário? Ou foi passado para o próximo [email protected]? Ser cuidadoso sobre quais canais você usa para comunicar quais mensagens é uma parte fundamental para garantir que o alcance do seu cliente seja visto como valioso e apropriado pelas pessoas que você está tentando alcançar.

Pensamentos finais?

Esteja atento aos canais que você escolhe, sempre mantendo o teste da reunião em mente. Quanto às suas mensagens, talvez fique com informações mais genéricas, como “Oi! Há uma nova mensagem para você. Faça login no portal do paciente para ver.” Dessa forma, mesmo que os dispositivos caiam em mãos erradas, seus usuários mantêm o controle de quem vê qual mensagem