是時候進行年度 HIPAA 合規性檢查了!

已發表: 2018-03-10

HIPAA 可能比您的實習生(甚至可能是您的一些員工)年長,因此,由於 GDPR,我們都在關注我們的數據保護法規,讓我們快速回顧一下 HIPAA 合規性。

那麼,什麼是 HIPAA?

HIPAA 成立於 1996 年,主要針對美國的組織。 它代表《健康保險流通與責任法案》,它制定了旨在確保有權訪問客戶健康信息的組織適當地保護高度機密信息的規則。

HIPAA 與其他數據監管政策有何不同?

PHI,不是 PII

如果您像我們一樣,您已經在大腦中使用了 GDPR 數月了(如果您還沒有在大腦中使用 GDPR,也許早點而不是晚點查看我們的 17 條必須知道的法規)。 GDPR 完全與 PII 或個人身份信息有關。 然而,HIPAA 側重於受保護的健康信息 (PHI)。 雖然兩者之間有很多重疊,但 PHI 專門指由健康提供者創建或接收的與任何個人過去、現在或潛在的未來身體或心理健康狀況相關的任何信息。

讓我們再分解一下。 PHI 包含一些更明顯的元素,例如醫療記錄、測試結果、入院和出院日期——實際上是您想像的電視醫生在醫院病床腳下的剪貼板中尋找的任何內容。 但它也指獨特的個人數據點,如患者姓名、電子郵件地址、社會安全號碼、IP 地址、帳號、圖像、人口統計信息等。

簡而言之,任何可能暗示或暗示與個人有關的健康狀況的信息都應被視為受保護的健康信息。

它適用於“涵蓋實體”

與據稱影響 80% 全球品牌的 GDPR 不同,HIPAA 僅適用於“涵蓋實體”。 該術語是指:

  • 健康保險公司(HMO、公司健康計劃、醫療保險、醫療補助)
  • 醫療保健提供者(醫生、診所、專家、藥房)
  • 健康數據公司
  • 為上述任何一項提供服務的公司和個人,例如計費公司、律師、會計師、IT 團隊

處罰

像許多法規一樣,不遵守 HIPAA 會被罰款。 不過,HIPAA 的經濟處罰並不像您在其他一些法規中看到的那麼重,在大多數情況下,年度上限約為 150 萬美元(與 GDPR 的 2000 萬歐元或年收入的 4% 相比!)。

也就是說,在最嚴重的不合規情況下(組織未能糾正問題並且存在明顯欺騙意圖的情況),不合規公司的同謀個人可能面臨最高 5 年監禁的刑事指控。 是的,這不是什麼好惹的。

等等,Braze HIPAA 是否符合要求?

是的,我們是的! 雖然 Braze 不是涵蓋實體,但我們的員工、客戶及其客戶的安全對我們來說至關重要。 HIPAA 與其他法規略有不同,因為它不要求您的所有子處理者都必須遵守以保持您自己的地位——您只需要在數據方面使用變通辦法(我們會解決這個問題)之後)。

也就是說,Braze 平台建立在“設計安全”的概念之上。 我們相信信任和透明度,我們希望受 HIPAA 影響的客戶能夠選擇以最佳和最安全的方式使用我們的技術來實現他們的業務目標。

實踐中的 HIPAA:那麼我可以對我的客戶說些什麼呢?

這是一個有趣的經驗法則,用於了解在 HIPAA 下應避免哪些類型的消息:假設您的客戶正在與他們的老闆開會,或者更好的是,在共享屏幕上進行演示。 如果你的信息會讓他們在同事面前畏縮(或者,簡單地說,會給他們的同事提供他們不想分享的個人信息)......你可能不應該發送它。

不要害怕,涵蓋實體可以使用基本的個性化,只要它不引入 PHI。 此外,您還可以利用一些很棒的工具來進行有效的消息傳遞,同時保持 HIPAA 合規性。

有意義、合規的營銷技巧

提醒一下,我們無法為您提供任何合規方面的法律建議。 但這裡有一些提示和技巧,我們已經看到我們的一些客戶在不通過我們的系統傳遞 PHI 的情況下為他們的客戶提供更具吸引力的體驗:

分割:

一些品牌選擇使用編碼分段或使用 CSV,以便他們可以發送與特定客戶相關的消息,而無需告訴他們的技術他們正在向具有某種傾向的人發送消息。 只需在您的內部系統中細分客戶,將他們標記為 A/B/C 或 1/2/3 或企鵝/長頸鹿/獨角獸(這稱為假名信息),然後將該文件上傳到您的參與平台。 這樣,您仍然可以向已預約或即將參加年度考試的人發送相關消息,而不會違反 HIPAA。

跨渠道消息傳遞:

您仍然可以使用跨渠道消息傳遞,甚至可以圍繞用戶的活動進行複雜、協調的活動。 畢竟,是否有人參與了推送通知並不是 PHI。

但讓我們回到經驗法則測試。 您希望在會議期間收到有關測試結果信息的推送通知,還是希望在網絡推送通知中顯示“專為您挑選:成人痣顏色變化模式的新研究”? 可能不會。 電子郵件也可能是一個特別脆弱的渠道。 想一想——你還擁有你的大學電子郵件嗎? 還是已經傳到下一個 [email protected]? 仔細考慮您使用哪些渠道來傳達哪些消息是確保您的客戶外展被您試圖聯繫的人視為有價值和適當的關鍵部分。

最後的想法?

請注意您選擇的渠道,始終將會議測試放在首位。 至於您的消息,可能會堅持更通用的信息,例如“嗨! 有一條新消息要告訴你。 登錄患者門戶查看。” 這樣,即使設備落入壞人之手,您的用戶仍然可以控制誰可以看到什麼消息