Yıllık HIPAA Uygunluk Kontrolünüzün Zamanı!
Yayınlanan: 2018-03-10HIPAA muhtemelen stajyerlerinizden (ve hatta belki de bazı çalışanlarınızdan) daha yaşlıdır, bu nedenle GDPR sayesinde hepimiz veri koruma düzenlemelerimize dikkat ederken, HIPAA uyumluluğu hakkında hızlı bir bilgi tazeleyelim.
Peki, HIPAA Nedir?
1996 yılında kurulan HIPAA, tamamen Amerika Birleşik Devletleri'ndeki kuruluşlarla ilgilidir. Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'nı temsil eder ve müşterilerin sağlık bilgilerine erişimi olan kuruluşların bu çok gizli bilgileri uygun şekilde korumasını sağlamaya yönelik kuralları belirler.
HIPAA'yı Diğer Veri Düzenleme Politikalarından Farklı Kılan Nedir?
PHI, PII değil
Bizim gibiyseniz, beyninizde aylardır GDPR var demektir (ve eğer beyninizde GDPR yoksa, belki daha geç değil de, yönetmelikle ilgili bilinmesi gereken 17 maddeye göz atabilirsiniz). GDPR, tamamen PII veya kişisel olarak tanımlanabilir bilgilerle ilgilidir. Ancak HIPAA, Korunan Sağlık Bilgilerine (PHI) odaklanır. İkisi arasında çok fazla örtüşme olsa da, PHI özellikle herhangi bir bireyin geçmiş, şimdiki veya potansiyel gelecekteki fiziksel veya zihinsel sağlık koşullarıyla ilgili olarak bir sağlık kuruluşu tarafından oluşturulan veya alınan herhangi bir bilgiyi ifade eder.
Bunu biraz daha parçalayalım. PHI, tıbbi kayıtlar, test sonuçları, kabul ve taburcu tarihleri gibi daha belirgin unsurların bazılarını kapsar - gerçekten bir TV Doktorunun hastane yatağının ayakucundaki o panolarda aradığını hayal ettiğiniz her şey. Ancak aynı zamanda hastanın adı, e-posta adresi, Sosyal Güvenlik numarası, IP adresi, hesap numarası, resimler, demografik bilgiler ve daha fazlası gibi benzersiz, bireysel veri noktalarına da atıfta bulunur.
Kısacası, bir bireyle bağlantılı sağlık koşullarını ima edebilecek veya ima edebilecek herhangi bir bilgi, Korunan Sağlık Bilgileri olarak kabul edilmelidir.
“Kapsanan Tüzel Kişiler” İçin Geçerlidir
Küresel markaların %80'ini etkilediği söylenen GDPR'nin aksine, HIPAA yalnızca "Kapsanan Varlıklar" için zorunludur. Bu terim şu anlama gelir:
- Sağlık sigortası şirketleri (HMO'lar, şirket sağlık planları, Medicare, Medicaid)
- Sağlık hizmeti sunucuları (doktorlar, klinikler, uzmanlar, eczaneler)
- Sağlık veri şirketleri
- Fatura şirketleri, avukatlar, muhasebeciler, BT ekipleri gibi yukarıdakilerden herhangi birine hizmet sağlayan şirketler ve bireyler
cezalar
Birçok düzenleme gibi, HIPAA'ya uymamanın da cezaları vardır. HIPAA'nın mali cezaları, diğer bazı düzenlemelerde gördüğünüz kadar ağır değil, ancak çoğu durumda yıllık üst sınır yaklaşık 1,5 milyon dolar (bunu GDPR'nin 20 Milyon Euro'su veya yıllık gelirin %4'ü ile karşılaştırın!).
Bununla birlikte, en ciddi uyumsuzluk vakalarında (kuruluşların sorunları çözemediği ve açık bir yanıltıcı niyetin olduğu durumlar), uyumsuz firmalardaki suç ortakları 5 yıla kadar hapis cezasına çarptırılabilir. Evet, bu dalga geçilecek bir şey değil.
Bekle, Braze HIPAA Uyumlu mu?
Evet öyleyiz! Braze Sigortalı Bir Kuruluş olmasa da çalışanlarımız, müşterilerimiz ve onların müşterilerinin güvenliği bizim için son derece önemlidir. HIPAA, diğer düzenlemelerden biraz farklıdır, çünkü kendi durumunuzu korumak için tüm alt işlemcilerinizin uyumlu olmasını gerektirmez; yalnızca konu veriler olduğunda geçici çözümler kullanmanız gerekir (bunu alacağız). sonra).
Bununla birlikte, Braze platformu "Tasarım Yoluyla Güvenlik" konsepti üzerine inşa edilmiştir. Güvene ve şeffaflığa inanıyoruz ve HIPAA'dan etkilenen müşterilerimizin iş hedeflerine ulaşmak için teknolojimizi mümkün olan en iyi ve en güvenli şekilde kullanma seçeneğine sahip olmalarını istiyoruz.
HIPAA Uygulamada: Peki Müşterilerime Ne Söyleyebilirim?
HIPAA kapsamında ne tür mesajlardan kaçınmanız gerektiğini anlamak için işte size eğlenceli bir temel kural: Müşterinizin patronuyla bir toplantıda olduğunu veya daha iyisi, paylaşılan bir ekranda sunum yaptığını varsayın. Mesajınız onları iş arkadaşlarının önünde sindirecekse (veya basitçe iş arkadaşlarına paylaşmak istemeyecekleri kişisel bilgileri verecekse)… muhtemelen onu göndermemeliydiniz.
Korkmayın, Kapsam Dahilindeki Tüzel Kişiler, PHI'yı çekmediği sürece temel kişiselleştirmeyi kullanabilir. Ayrıca, HIPAA uyumlu kalırken etkili mesajlaşma için yararlanabileceğiniz bazı harika araçlar da var.
Anlamlı, Uyumlu Pazarlama İçin İpuçları
Hatırlatma olarak, uyumluluk için size herhangi bir yasal tavsiye veremiyoruz. Ancak, bazı müşterilerimizin PHI'yi sistemimizden geçirmeden müşterilerine daha ilgi çekici deneyimler sağlamak için kullandıklarını gördüğümüz birkaç ipucu ve püf noktası:
Segmentasyon:
Bazı markalar, teknolojilerine belirli bir yatkınlığı olan kişilere mesaj gönderdiklerini söylemeden belirli müşterilerle alakalı mesajlar gönderebilmek için kodlanmış segmentasyon kullanmayı veya bir CSV kullanmayı tercih eder. Basitçe dahili sisteminizdeki müşterileri segmentlere ayırın, onları A/B/C veya 1/2/3 veya Penguen/Zürafa/Unicorn olarak etiketleyin (buna takma adlı bilgi denir), ardından bu dosyayı etkileşim platformunuza yükleyin. Bu şekilde, örneğin randevusu olan veya yıllık sınavlarına girecek olan kişilere HIPAA'yı ihlal etmeden ilgili mesajlar gönderebilirsiniz.
Kanallar Arası Mesajlaşma:
Yine de kanallar arası mesajlaşmayı kullanabilir ve hatta kullanıcılarınızın etkinliği etrafında karmaşık, koordineli kampanyalar oluşturabilirsiniz. Sonuçta birisinin bir push bildirimi ile meşgul olup olmadığı PHI değildir.
Ancak, temel kural testine geri dönelim. Toplantınız sırasında test sonuçları hakkında bilgi içeren bir anında iletme bildirimi mi yoksa “Sizin için seçildi: Yetişkinlerde ben rengi değişim kalıpları üzerine yeni araştırma” diyen bir web push bildirimi mi istiyorsunuz? Muhtemelen hayır. E-posta da özellikle savunmasız bir kanal olabilir. Bir düşünün; üniversite e-postanız hâlâ sizde mi? Yoksa bir sonraki [email protected]'ya mı geçti? Hangi mesajları iletmek için hangi kanalları kullandığınız konusunda dikkatli olmak, müşteri erişiminizin ulaşmaya çalıştığınız kişiler tarafından değerli ve uygun görülmesini sağlamanın önemli bir parçasıdır.
Son düşünceler?
Seçtiğiniz kanallara dikkat edin, toplantı testini daima aklınızda bulundurun. Mesajlarınıza gelince, "Merhaba! Size yeni bir mesaj var. Görmek için hasta portalına giriş yapın.” Bu şekilde, cihazlar yanlış ellere geçse bile, kullanıcılarınız kimin hangi mesajı gördüğünü kontrol edebilir.