是时候进行年度 HIPAA 合规性检查了!

已发表: 2018-03-10

HIPAA 可能比您的实习生(甚至可能是您的一些员工)年长,因此,由于 GDPR,我们都在关注我们的数据保护法规,让我们快速回顾一下 HIPAA 合规性。

那么,什么是 HIPAA?

HIPAA 成立于 1996 年,主要针对美国的组织。 它代表《健康保险流通与责任法案》,它制定了旨在确保有权访问客户健康信息的组织适当地保护高度机密信息的规则。

HIPAA 与其他数据监管政策有何不同?

PHI,不是 PII

如果您像我们一样,您已经在大脑中使用了 GDPR 数月了(如果您还没有在大脑中使用 GDPR,也许早点而不是晚点查看我们的 17 条必须知道的法规)。 GDPR 完全与 PII 或个人身份信息有关。 然而,HIPAA 侧重于受保护的健康信息 (PHI)。 虽然两者之间有很多重叠,但 PHI 专门指由健康提供者创建或接收的与任何个人过去、现在或潜在的未来身体或心理健康状况相关的任何信息。

让我们再分解一下。 PHI 包含一些更明显的元素,例如医疗记录、测试结果、入院和出院日期——实际上是您想象的电视医生在医院病床脚下的剪贴板中寻找的任何内容。 但它也指独特的个人数据点,如患者姓名、电子邮件地址、社会安全号码、IP 地址、帐号、图像、人口统计信息等。

简而言之,任何可能暗示或暗示与个人有关的健康状况的信息都应被视为受保护的健康信息。

它适用于“涵盖实体”

与据称影响 80% 全球品牌的 GDPR 不同,HIPAA 仅适用于“涵盖实体”。 该术语是指:

  • 健康保险公司(HMO、公司健康计划、医疗保险、医疗补助)
  • 医疗保健提供者(医生、诊所、专家、药房)
  • 健康数据公司
  • 为上述任何一项提供服务的公司和个人,例如计费公司、律师、会计师、IT 团队

处罚

像许多法规一样,不遵守 HIPAA 会被罚款。 不过,HIPAA 的经济处罚并不像您在其他一些法规中看到的那么重,在大多数情况下,年度上限约为 150 万美元(与 GDPR 的 2000 万欧元或年收入的 4% 相比!)。

也就是说,在最严重的不合规情况下(组织未能纠正问题并且存在明显欺骗意图的情况),不合规公司的同谋个人可能面临最高 5 年监禁的刑事指控。 是的,这不是什么好惹的。

等等,Braze HIPAA 是否符合要求?

是的,我们是的! 虽然 Braze 不是涵盖实体,但我们的员工、客户及其客户的安全对我们来说至关重要。 HIPAA 与其他法规略有不同,因为它不要求您的所有子处理者都必须遵守以保持您自己的地位——您只需要在数据方面使用变通办法(我们会解决这个问题)之后)。

也就是说,Braze 平台建立在“设计安全”的概念之上。 我们相信信任和透明度,我们希望受 HIPAA 影响的客户能够选择以最佳和最安全的方式使用我们的技术来实现他们的业务目标。

实践中的 HIPAA:那么我可以对我的客户说些什么呢?

这是一个有趣的经验法则,用于了解在 HIPAA 下应避免哪些类型的消息:假设您的客户正在与他们的老板开会,或者更好的是,在共享屏幕上进行演示。 如果你的信息会让他们在同事面前畏缩(或者,简单地说,会给他们的同事提供他们不想分享的个人信息)......你可能不应该发送它。

不要害怕,涵盖实体可以使用基本的个性化,只要它不引入 PHI。 此外,您还可以利用一些很棒的工具来进行有效的消息传递,同时保持 HIPAA 合规性。

有意义、合规的营销技巧

提醒一下,我们无法为您提供任何合规方面的法律建议。 但这里有一些提示和技巧,我们已经看到我们的一些客户在不通过我们的系统传递 PHI 的情况下为他们的客户提供更具吸引力的体验:

分割:

一些品牌选择使用编码分段或使用 CSV,以便他们可以发送与特定客户相关的消息,而无需告诉他们的技术他们正在向具有某种倾向的人发送消息。 只需在您的内部系统中细分客户,将他们标记为 A/B/C 或 1/2/3 或企鹅/长颈鹿/独角兽(这称为假名信息),然后将该文件上传到您的参与平台。 这样,您仍然可以向已预约或即将参加年度考试的人发送相关消息,而不会违反 HIPAA。

跨渠道消息传递:

您仍然可以使用跨渠道消息传递,甚至可以围绕用户的活动进行复杂、协调的活动。 毕竟,是否有人参与了推送通知并不是 PHI。

但让我们回到经验法则测试。 您希望在会议期间收到有关测试结果信息的推送通知,还是希望在网络推送通知中显示“专为您挑选:成人痣颜色变化模式的新研究”? 可能不会。 电子邮件也可能是一个特别脆弱的渠道。 想一想——你还拥有你的大学电子邮件吗? 还是已经传到下一个 [email protected]? 仔细考虑您使用哪些渠道来传达哪些消息是确保您的客户外展被您试图联系的人视为有价值和适当的关键部分。

最后的想法?

请注意您选择的渠道,始终将会议测试放在首位。 至于您的消息,可能会坚持更通用的信息,例如“嗨! 有一条新消息要告诉你。 登录患者门户查看。” 这样,即使设备落入坏人之手,您的用户仍然可以控制谁可以看到什么消息