ถึงเวลาตรวจสอบการปฏิบัติตามข้อกำหนด HIPAA ประจำปีของคุณแล้ว!

HIPAA อาจแก่กว่าผู้ฝึกงานของคุณ (และอาจเป็นพนักงานบางคนของคุณด้วยซ้ำ) ดังนั้นในขณะที่เราทุกคนให้ความสนใจกับกฎระเบียบการปกป้องข้อมูลของเราด้วย GDPR เรามาทบทวนการปฏิบัติตาม HIPAA กันอย่างรวดเร็ว

ดังนั้น HIPAA คืออะไร?

HIPAA ซึ่งก่อตั้งขึ้นในปี 2539 เป็นข้อมูลเกี่ยวกับองค์กรต่างๆ ในสหรัฐอเมริกา ย่อมาจาก Health Insurance Portability and Accountability Act และกำหนดกฎเกณฑ์เพื่อให้แน่ใจว่าองค์กรที่เข้าถึงข้อมูลด้านสุขภาพของลูกค้าได้ปกป้องข้อมูลที่เป็นความลับสูงนั้นอย่างเหมาะสม

อะไรทำให้ HIPAA แตกต่างจากนโยบายการควบคุมข้อมูลอื่น ๆ

พี ไม่ใช่ PII

หากคุณเป็นเหมือนเรา คุณมี GDPR อยู่ในสมองมาหลายเดือนแล้ว (และหากคุณไม่มี GDPR อยู่ในสมอง ลองตรวจสอบ 17 ข้อต้องรู้เกี่ยวกับกฎระเบียบของเราได้เร็วกว่าในภายหลัง) GDPR เป็นข้อมูลเกี่ยวกับ PII หรือข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ อย่างไรก็ตาม HIPAA มุ่งเน้นไปที่ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ในขณะที่ทั้งสองมีความทับซ้อนกันอยู่มาก PHI หมายถึงข้อมูลใด ๆ ที่สร้างหรือได้รับโดยผู้ให้บริการด้านสุขภาพที่เกี่ยวข้องกับสภาพร่างกายหรือจิตใจในอดีต ปัจจุบัน หรืออนาคตที่อาจเกิดขึ้นในอนาคต

มาทำลายมันอีกสักหน่อย PHI ครอบคลุมองค์ประกอบที่ชัดเจนกว่าบางอย่าง เช่น เวชระเบียน ผลการทดสอบ วันที่เข้ารับการรักษา และวันที่ออกจากโรงพยาบาล ซึ่งเป็นอะไรก็ตามที่คุณจินตนาการว่าแพทย์ทีวีกำลังมองหาในคลิปบอร์ดที่อยู่ตรงปลายเตียงในโรงพยาบาล แต่ยังหมายถึงจุดข้อมูลที่ไม่ซ้ำกัน เช่น ชื่อของผู้ป่วย ที่อยู่อีเมล หมายเลขประกันสังคม ที่อยู่ IP หมายเลขบัญชี รูปภาพ ข้อมูลประชากร และอื่นๆ

กล่าวโดยย่อ ข้อมูลใด ๆ ที่อาจกล่าวเป็นนัยหรือพาดพิงถึงสภาวะสุขภาพที่เกี่ยวข้องกับบุคคลควรได้รับการพิจารณาว่าเป็นข้อมูลสุขภาพที่ได้รับการคุ้มครอง

ใช้กับ “หน่วยงานที่ครอบคลุม”

ไม่เหมือนกับ GDPR ที่กล่าวกันว่ามีผลกระทบต่อแบรนด์ระดับโลกถึง 80% HIPAA ได้รับคำสั่งสำหรับ "หน่วยงานที่ได้รับความคุ้มครอง" เท่านั้น คำนี้หมายถึง:

• บริษัทประกันสุขภาพ (HMOs, แผนสุขภาพของบริษัท, Medicare, Medicaid)
• ผู้ให้บริการด้านสุขภาพ (แพทย์ คลินิก ผู้เชี่ยวชาญ ร้านขายยา)
• บริษัทข้อมูลด้านสุขภาพ
• บริษัทและบุคคลที่ให้บริการกับสิ่งที่กล่าวมาข้างต้น เช่น บริษัทเรียกเก็บเงิน ทนายความ นักบัญชี ทีมงานไอที

บทลงโทษ

เช่นเดียวกับกฎข้อบังคับอื่นๆ ค่าปรับที่เกี่ยวข้องกับการไม่ปฏิบัติตาม HIPAA บทลงโทษทางการเงินของ HIPAA นั้นไม่ได้หนักหนาสาหัสเท่าที่คุณเห็นในข้อบังคับอื่นๆ แม้ว่าจะมีขีดจำกัดรายปีอยู่ที่ 1.5 ล้านดอลลาร์โดยส่วนใหญ่ (เทียบกับ GDPR ที่ 20 ล้านยูโรหรือ 4% ของรายรับต่อปี!)

ที่กล่าวว่า ในกรณีที่ร้ายแรงที่สุดของการไม่ปฏิบัติตาม (กรณีที่องค์กรล้มเหลวในการแก้ไขปัญหาและมีเจตนาหลอกลวงที่ชัดเจน) บุคคลที่สมรู้ร่วมคิดในบริษัทที่ไม่ปฏิบัติตามข้อกำหนดอาจถูกตั้งข้อหาทางอาญาถึง 5 ปีในคุก ใช่ นั่นไม่ใช่สิ่งที่ต้องยุ่งด้วย

เดี๋ยวก่อน Braze เป็นไปตาม HIPAA หรือไม่

ใช่! แม้ว่า Braze จะไม่ใช่องค์กรที่ได้รับความคุ้มครอง แต่การรักษาความปลอดภัยสำหรับพนักงาน ลูกค้าของเรา และลูกค้าของพวกเขานั้นมีความสำคัญสูงสุดสำหรับเรา HIPAA นั้นแตกต่างจากข้อบังคับอื่นๆ เล็กน้อย เนื่องจากไม่ได้กำหนดให้ผู้ประมวลผลย่อยทั้งหมดของคุณต้องปฏิบัติตามเพื่อรักษาสถานะของคุณเอง คุณเพียงแค่ต้องใช้วิธีแก้ไขปัญหาชั่วคราวเมื่อพูดถึงข้อมูล (เราจะมาพูดถึงเรื่องนั้นกัน) ภายหลัง).

ที่กล่าวว่าแพลตฟอร์ม Braze สร้างขึ้นจากแนวคิด "ความปลอดภัยโดยการออกแบบ" เราเชื่อมั่นในความไว้วางใจและความโปร่งใส และเราต้องการให้ลูกค้าของเราที่ได้รับผลกระทบจาก HIPAA มีทางเลือกในการใช้เทคโนโลยีของเราในวิธีที่ดีที่สุดและปลอดภัยที่สุดเท่าที่จะเป็นไปได้เพื่อบรรลุเป้าหมายทางธุรกิจของพวกเขา

ในทางปฏิบัติ HIPAA: ฉันจะพูดอะไรกับลูกค้าของฉันได้บ้าง

หลักการง่ายๆ ในการทำความเข้าใจว่าควรหลีกเลี่ยงข้อความประเภทใดบ้างภายใต้ HIPAA: สมมติว่าลูกค้าของคุณกำลังประชุมกับเจ้านายของตน หรือดีกว่านั้นคือกำลังนำเสนองานบนหน้าจอที่ใช้ร่วมกัน หากข้อความของคุณทำให้พวกเขาประจบประแจงต่อหน้าเพื่อนร่วมงาน (หรือเพียงแค่ให้ข้อมูลส่วนบุคคลกับเพื่อนร่วมงานที่พวกเขาไม่ต้องการแบ่งปัน)... คุณอาจไม่ควรส่ง

ไม่ต้องกลัว หน่วยงานที่ได้รับความคุ้มครองสามารถใช้การปรับเปลี่ยนในแบบของคุณขั้นพื้นฐานได้ ตราบใดที่ไม่ดึง PHI เข้ามา นอกจากนี้ยังมีเครื่องมือที่ยอดเยี่ยมที่คุณสามารถใช้เพื่อการรับส่งข้อความที่มีประสิทธิภาพ ในขณะที่ยังคงปฏิบัติตาม HIPAA

เคล็ดลับสำหรับการตลาดที่มีความหมายและเป็นไปตามข้อกำหนด

โปรดทราบว่าเราไม่สามารถให้คำแนะนำทางกฎหมายเกี่ยวกับการปฏิบัติตามข้อกำหนดได้ แต่นี่คือเคล็ดลับและกลเม็ดบางส่วนที่เราได้เห็นจากลูกค้าบางส่วนของเราใช้เพื่อมอบประสบการณ์ที่น่าดึงดูดยิ่งขึ้นให้กับลูกค้าโดยไม่ส่ง PHI ผ่านระบบของเรา:

การแบ่งส่วน:

บางแบรนด์เลือกใช้การแบ่งกลุ่มโค้ดหรือใช้ CSV เพื่อให้พวกเขาสามารถส่งข้อความที่เกี่ยวข้องกับลูกค้าเฉพาะรายโดยไม่ต้องบอกเทคโนโลยีว่ากำลังส่งข้อความถึงผู้ที่มีใจโอนเอียง เพียงแบ่งกลุ่มลูกค้าในระบบภายในของคุณ ติดป้ายกำกับว่า A/B/C หรือ 1/2/3 หรือ Penguin/Giraffe/Unicorn (ซึ่งเรียกว่าข้อมูลนามแฝง) จากนั้นอัปโหลดไฟล์นั้นไปยังแพลตฟอร์มการมีส่วนร่วมของคุณ ด้วยวิธีนี้ คุณยังคงสามารถส่งข้อความที่เกี่ยวข้องถึงผู้ที่พูดว่า มีการนัดหมาย หรือผู้ที่ถึงกำหนดสอบประจำปี โดยไม่ละเมิด HIPAA

การส่งข้อความข้ามช่อง:

คุณยังสามารถใช้การส่งข้อความข้ามแชแนลได้ และยังสามารถสร้างแคมเปญที่มีการประสานงานที่ซับซ้อนเกี่ยวกับกิจกรรมของผู้ใช้ของคุณ ไม่ว่าใครก็ตามที่มีส่วนร่วมกับการแจ้งเตือนแบบพุชไม่ใช่ PHI หลังจากทั้งหมด

แต่ให้กลับไปที่การทดสอบกฎของนิ้วหัวแม่มือ คุณต้องการให้มีข้อความ Push ปรากฏขึ้นระหว่างการประชุมพร้อมข้อมูลเกี่ยวกับผลการทดสอบหรือข้อความ Push บนเว็บที่ระบุว่า "เลือกมาเพื่อคุณ: งานวิจัยใหม่เกี่ยวกับรูปแบบการเปลี่ยนสีของตุ่นในผู้ใหญ่" หรือไม่ ไม่น่าจะใช่ อีเมลอาจเป็นช่องทางที่เปราะบางเป็นพิเศษเช่นกัน ลองคิดดู คุณยังคงเป็นเจ้าของอีเมลมหาวิทยาลัยของคุณหรือไม่ หรือถูกส่งผ่านไปยัง [email protected] ต่อไปแล้ว? การไตร่ตรองถึงช่องทางที่คุณใช้ในการสื่อสารว่าข้อความใดเป็นส่วนสำคัญในการทำให้มั่นใจว่าการเข้าถึงลูกค้าของคุณมีค่าและเหมาะสมโดยผู้ที่คุณกำลังพยายามเข้าถึง

ความคิดสุดท้าย?

คำนึงถึงช่องทางที่คุณเลือก โดยคำนึงถึงการทดสอบการประชุมอยู่เสมอ สำหรับข้อความของคุณ อาจใช้ข้อมูลทั่วไปเช่น “สวัสดี! มีข้อความใหม่สำหรับคุณ เข้าสู่ระบบพอร์ทัลผู้ป่วยเพื่อดู” ด้วยวิธีนี้ แม้ว่าอุปกรณ์จะตกไปอยู่ในมือของผู้ไม่ประสงค์ดี ผู้ใช้ของคุณจะสามารถควบคุมได้ว่าใครจะเห็นข้อความใด