Este timpul pentru verificarea anuală a conformității HIPAA!
Publicat: 2018-03-10HIPAA este probabil mai în vârstă decât stagiarii dvs. (și poate chiar unii dintre angajații dvs.), așa că, în timp ce suntem cu toții atenți la reglementările noastre de protecție a datelor datorită GDPR, haideți să facem o reîmprospătare rapidă cu privire la conformitatea HIPAA.
Deci, ce este HIPAA?
HIPAA, înființată în 1996, se referă la organizații din Statele Unite. Acesta reprezintă Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate și stabilește reguli menite să se asigure că organizațiile cu acces la informațiile de sănătate ale clienților protejează în mod corespunzător informațiile extrem de confidențiale.
Ce face HIPAA diferit de alte politici de reglementare a datelor?
PHI, nu PII
Dacă sunteți ca noi, aveți GDPR pe creier de luni de zile (și dacă nu ați avut GDPR pe creier, poate consultați cele 17 informații obligatorii despre regulament mai devreme decât mai târziu). GDPR se referă la PII sau informații de identificare personală. HIPAA, cu toate acestea, se concentrează pe informațiile de sănătate protejate (PHI). Deși există o mulțime de suprapuneri între cele două, PHI se referă în mod specific la orice informație creată sau primită de un furnizor de sănătate care se referă la condițiile de sănătate fizică sau mintală trecute, prezente sau potențiale viitoare ale oricărei persoane.
Haideți să dezvăluim asta puțin mai mult. PHI cuprinde unele dintre elementele mai evidente, cum ar fi dosarele medicale, rezultatele testelor, datele de admitere și de externare - cu adevărat orice vă imaginați că un medic TV caută în clipboard-urile de la picioarele unui pat de spital. Dar se referă și la puncte de date unice, individuale, cum ar fi numele pacientului, adresa de e-mail, numărul de securitate socială, adresa IP, numărul de cont, imaginile, informațiile demografice și multe altele.
Pe scurt, orice informație care ar putea implica sau face aluzie la condiții de sănătate legate de o persoană ar trebui să fie considerată Informație de sănătate protejată.
Se aplică „entitatilor acoperite”
Spre deosebire de GDPR, despre care se spune că afectează 80% dintre mărcile globale, HIPAA este obligatorie doar pentru „Entitățile acoperite”. Acest termen se referă la:
- Companiile de asigurări de sănătate (HMO, planuri de sănătate ale companiei, Medicare, Medicaid)
- Furnizorii de servicii medicale (medici, clinici, specialisti, farmacii)
- Companii de date de sănătate
- Companii și persoane fizice care furnizează servicii oricăreia dintre cele de mai sus, cum ar fi companii de facturare, avocați, contabili, echipe IT
Pedepsele
La fel ca multe reglementări, există amenzi asociate cu nerespectarea HIPAA. Totuși, sancțiunile financiare ale HIPAA nu sunt la fel de mari ca cele pe care le vedeți cu alte reglementări, cu plafoane anuale de aproximativ 1,5 milioane USD în majoritatea cazurilor (comparați cu cele 20 milioane EUR sau 4% din veniturile anuale ale GDPR!).
Acestea fiind spuse, în cele mai grave cazuri de neconformitate (acele cazuri în care organizațiile nu reușesc să corecteze problemele și există o intenție clară înșelătoare), persoanele complice la firmele care nu respectă conformitatea se pot confrunta cu acuzații penale de până la 5 ani de închisoare. Da, nu e ceva cu care să te încurci.
Stai, deci Braze este compatibil cu HIPAA?
Da suntem! Deși Braze nu este o entitate acoperită, securitatea pentru angajații noștri, clienții noștri și clienții lor este de cea mai mare importanță pentru noi. HIPAA este puțin diferită de alte reglementări, deoarece nu necesită ca toți subprocesorii dvs. să fie conformi pentru a vă menține propria poziție - trebuie doar să utilizați soluții de soluționare când vine vorba de date (vom ajunge la asta mai tarziu).
Acestea fiind spuse, platforma Braze este construită pe conceptul de „Securitate prin proiectare”. Credem în încredere și transparență și dorim ca clienții noștri afectați de HIPAA să aibă opțiunea de a folosi tehnologia noastră în cele mai bune și mai sigure moduri posibile pentru a-și atinge obiectivele de afaceri.
HIPAA în practică: deci ce pot să le spun clienților mei?
Iată o regulă de bază distractivă pentru a înțelege ce tipuri de mesaje trebuie evitate conform HIPAA: presupuneți că clientul dvs. este într-o întâlnire cu șeful său sau, mai bine, face o prezentare pe un ecran partajat. Dacă mesajul dvs. i-ar face să se încremenească în fața colegilor lor (sau, pur și simplu, le-ar oferi colegilor informații personale pe care nu ar fi vrut să le împărtășească)... probabil că nu ar trebui să le trimiteți.
Nu vă temeți, entitățile acoperite pot folosi personalizarea de bază, atâta timp cât aceasta nu atrage PHI. În plus, există încă câteva instrumente grozave pe care le puteți folosi pentru o mesagerie eficientă, rămânând în același timp conform HIPAA.
Sfaturi pentru un marketing semnificativ și conform
Pentru a vă reaminti, nu vă putem oferi sfaturi juridice pentru conformare. Dar iată câteva sfaturi și trucuri pe care le-am văzut pe unii dintre clienții noștri le-au folosit pentru a oferi experiențe mai captivante clienților lor fără a trece PHI prin sistemul nostru:
Segmentare:
Unele mărci optează să utilizeze segmentarea codificată sau să folosească un CSV, astfel încât să poată trimite mesaje care sunt relevante pentru anumiți clienți, fără să spună tehnologiei lor că trimit un mesaj unor persoane cu o anumită predispoziție. Pur și simplu segmentați clienții în sistemul dvs. intern, etichetați-i A/B/C sau 1/2/3 sau Penguin/Girafe/Unicorn (aceasta este cunoscută ca informații pseudonim), apoi încărcați acel fișier în platforma dvs. de implicare. În acest fel, puteți trimite în continuare mesaje pertinente persoanelor care, de exemplu, au o programare programată sau care urmează să participe la examenul anual, fără a încălca HIPAA.
Mesaje pe mai multe canale:
Puteți folosi în continuare mesajele pe mai multe canale și puteți chiar să realizați campanii sofisticate și coordonate în jurul activității utilizatorilor dvs. Dacă cineva s-a implicat sau nu cu o notificare push nu este PHI, până la urmă.
Dar să revenim la testul regulii de bază. Doriți să apară o notificare push în timpul întâlnirii dvs. cu informații despre rezultatele testelor sau o notificare push pe web care să spună „Aleasă doar pentru tine: noi cercetări privind modelele de schimbare a culorii alunițelor la adulți”? Probabil că nu. E-mailul poate fi, de asemenea, un canal deosebit de vulnerabil. Gândiți-vă la asta: mai aveți e-mailul universitar? Sau a fost transmis următorului [email protected]? A fi atent la canalele pe care le folosiți pentru a comunica ce mesaje este o parte esențială pentru a vă asigura că atingerea clienților dvs. este văzută ca valoroasă și adecvată de către oamenii cărora încercați să ajungeți.
Gânduri finale?
Fiți atenți la canalele pe care le alegeți, ținând mereu cont de testul întâlnirii. În ceea ce privește mesajele dvs., poate rămâneți la informații mai generice precum „Bună! Există un mesaj nou pentru tine. Conectați-vă la portalul pacientului pentru a vedea.” În acest fel, chiar dacă dispozitivele cad în mâini greșite, utilizatorii dvs. rămân în control asupra cine vede ce mesaj