Время для ежегодной проверки соответствия HIPAA!

HIPAA, вероятно, старше ваших стажеров (и, возможно, даже некоторых ваших сотрудников), поэтому, пока мы все обращаем внимание на наши правила защиты данных благодаря GDPR, давайте быстро освежим в памяти соответствие HIPAA.

Итак, что такое HIPAA?

HIPAA, основанный в 1996 году, предназначен для организаций в Соединенных Штатах. Он представляет собой Закон о переносимости и подотчетности медицинского страхования и устанавливает правила, призванные гарантировать, что организации, имеющие доступ к информации о здоровье клиентов, должным образом защищают эту крайне конфиденциальную информацию.

Что отличает HIPAA от других политик регулирования данных?

PHI, а не PII

Если вы похожи на нас, у вас в голове уже несколько месяцев GDPR (и если у вас еще не было GDPR в голове, возможно, как можно раньше ознакомьтесь с нашими 17 обязательными сведениями о регламенте). GDPR касается PII или личной информации. HIPAA, однако, фокусируется на защищенной медицинской информации (PHI). Несмотря на то, что между ними много общего, PHI относится конкретно к любой информации, созданной или полученной поставщиком медицинских услуг, которая касается прошлого, настоящего или потенциального будущего физического или психического здоровья любого человека.

Давайте разберем это еще немного. PHI включает в себя некоторые из наиболее очевидных элементов, таких как медицинские записи, результаты анализов, даты поступления и выписки — на самом деле все, что, как вы себе представляете, теледоктор ищет в этих блокнотах у изножья больничной койки. Но это также относится к уникальным, индивидуальным точкам данных, таким как имя пациента, адрес электронной почты, номер социального страхования, IP-адрес, номер учетной записи, изображения, демографическая информация и многое другое.

Короче говоря, любая информация, которая может подразумевать или намекать на состояние здоровья человека, должна считаться защищенной медицинской информацией.

Применяется к «Застрахованным организациям»

В отличие от GDPR, который, как утверждается, затрагивает 80% мировых брендов, HIPAA распространяется только на «подпадающие под действие организации». Этот термин относится к:

• Медицинские страховые компании (HMOs, корпоративные планы медицинского страхования, Medicare, Medicaid)
• Поставщики медицинских услуг (врачи, клиники, специалисты, аптеки)
• Компании данных о здоровье
• Компании и частные лица, которые предоставляют услуги любому из вышеперечисленных, например, биллинговые компании, юристы, бухгалтеры, ИТ-команды

Штрафы

Как и многие правила, существуют штрафы, связанные с несоблюдением HIPAA. Финансовые штрафы HIPAA не такие большие, как те, которые вы видите в некоторых других правилах, однако в большинстве случаев годовой лимит составляет около 1,5 миллиона долларов (сравните это с 20 миллионами евро GDPR или 4% годового дохода!).

Тем не менее, в самых серьезных случаях несоблюдения (в тех случаях, когда организации не могут исправить проблемы и существует явное намерение ввести в заблуждение) причастные лица в несоответствующих фирмах могут быть привлечены к уголовной ответственности до 5 лет лишения свободы. Да, это не то, с чем можно возиться.

Подождите, так соответствует ли Braze HIPAA?

Да, мы! Хотя Braze не является Застрахованной организацией, безопасность наших сотрудников, наших клиентов и их клиентов имеет для нас первостепенное значение. HIPAA немного отличается от других нормативных актов, потому что не требует, чтобы все ваши подпроцессоры соответствовали требованиям для поддержания вашего собственного положения — вам просто нужно использовать обходные пути, когда дело доходит до данных (мы доберемся до этого). потом).

Тем не менее, платформа Braze построена на концепции «Безопасность по дизайну». Мы верим в доверие и прозрачность и хотим, чтобы наши клиенты, затронутые HIPAA, имели возможность использовать нашу технологию наилучшим и безопасным способом для достижения своих бизнес-целей.

HIPAA на практике: что я могу сказать своим клиентам?

Вот забавное практическое правило для понимания того, каких сообщений следует избегать в соответствии с HIPAA: предположим, что ваш клиент находится на встрече со своим начальником или, что еще лучше, проводит презентацию на общем экране. Если ваше сообщение заставит их съежиться перед своими коллегами (или просто даст их коллегам личную информацию, которой они не хотели бы делиться)… вам, вероятно, не следует его отправлять.

Не бойтесь, субъекты, на которые распространяется действие страховки, могут использовать базовую персонализацию, если она не использует закрытую медицинскую информацию. Кроме того, есть еще несколько отличных инструментов, которые вы можете использовать для эффективного обмена сообщениями, оставаясь при этом совместимыми с HIPAA.

Советы по осмысленному маркетингу, соответствующему требованиям

Напоминаем, что мы не можем дать вам какие-либо юридические рекомендации по соблюдению требований. Но вот несколько советов и приемов, которые, по нашим наблюдениям, некоторые из наших клиентов используют для предоставления более привлекательных услуг своим клиентам без передачи PHI через нашу систему:

Сегментация:

Некоторые бренды предпочитают использовать закодированную сегментацию или использовать CSV, чтобы они могли отправлять сообщения, которые имеют отношение к конкретным клиентам, не сообщая своим техническим специалистам, что они отправляют сообщение людям с определенной предрасположенностью. Просто сегментируйте клиентов в своей внутренней системе, пометьте их A/B/C, или 1/2/3, или пингвин/жираф/единорог (это называется псевдонимной информацией), а затем загрузите этот файл на свою платформу взаимодействия. Таким образом, вы по-прежнему можете отправлять соответствующие сообщения людям, которые, скажем, записались на прием или должны сдать ежегодный экзамен, не нарушая HIPAA.

Межканальный обмен сообщениями:

Вы по-прежнему можете использовать межканальный обмен сообщениями и даже проводить сложные, скоординированные кампании, связанные с действиями ваших пользователей. В конце концов, независимо от того, воспользовался ли кто-то push-уведомлением, это не PHI.

Но вернемся к эмпирическому тесту. Вы хотите, чтобы во время вашей встречи появлялось push-уведомление с информацией о результатах анализов или веб-push-уведомление с надписью «Выбрано специально для вас: новое исследование закономерностей изменения цвета родинок у взрослых»? Скорее всего нет. Электронная почта также может быть особенно уязвимым каналом. Подумайте об этом — у вас все еще есть университетская электронная почта? Или он был передан следующему [email protected]? Продумывание того, какие каналы вы используете для передачи каких сообщений, является ключевой частью обеспечения того, чтобы ваш охват клиентов считался ценным и подходящим для людей, которых вы пытаетесь охватить.

Последние мысли?

Будьте внимательны к каналам, которые вы выбираете, всегда держите в голове тест встречи. Что касается ваших сообщений, возможно, придерживайтесь более общей информации, например: «Привет! Для вас новое сообщение. Войдите на портал пациентов, чтобы увидеть». Таким образом, даже если устройства попадут не в те руки, ваши пользователи сохранят контроль над тем, кто какое сообщение увидит.