Siguiendo las nuevas directrices del HHS: Publicación de marketing sanitario Google Analytics

Publicado: 2023-10-26

El Departamento de Salud y Servicios Humanos (HHS) ha introducido cambios en la guía de HIPAA sobre seguimiento en línea, lo que ha provocado un cambio directo en la forma en que las marcas de atención médica y bienestar ejecutan campañas de marketing. Con Google Analytics ahora fuera de la mesa, la necesidad de recalibrar rápidamente la pila de marketing ha aumentado significativamente. En este entorno cambiante, Improvado ofrece una solución personalizada, garantizando que las marcas puedan seguir accediendo a información de marketing detallada sin comprometer las nuevas regulaciones.

¿Qué ha cambiado en la regulación HIPAA en 2022?

Una actualización reciente de la ley afectó el uso de tecnología de seguimiento como Google Analytics por parte de entidades reguladas por HIPAA, que incluyen médicos, psicólogos, clínicas, dentistas, quiroprácticos, hogares de ancianos, farmacias, compañías de seguros médicos y cualquier intermediario que se ocupe del procesamiento de la atención médica. datos. Muchas empresas de bienestar y profesionales alternativos también pueden incluirse en la categoría de proveedores de atención médica , en situaciones en las que los proveedores de bienestar operan junto con planes de salud grupales o si sus servicios incluyen el manejo de información de salud.

Según las nuevas regulaciones, las entidades reguladas no pueden utilizar tecnologías de seguimiento sin la autorización adecuada o de manera que conduzcan a divulgaciones no autorizadas de información de salud personal (PHI).

La definición del HHS de tecnología de seguimiento establece que:Una tecnología de seguimiento es un script o código en un sitio web o aplicación móvil que se utiliza para recopilar información sobre los usuarios mientras interactúan con el sitio web o la aplicación móvil.Después de que la información se recopila a través de tecnologías de seguimiento de sitios web o aplicaciones móviles, los propietarios del sitio web o la aplicación móvil, o terceros, la analizan para crear información sobre las actividades en línea de los usuarios.

Dado que la legislación habla únicamente sobre el manejo de PHI y ePHI, la actualización de HIPAA afecta varias páginas del sitio web de manera diferente:

  • Páginas web autenticadas por el usuario : en estas páginas, los usuarios inician sesión antes de poder acceder a la página web y las herramientas de seguimiento generalmente pueden ver información de salud personal como correo electrónico, dirección IP, fechas de citas o incluso diagnóstico. Es imprescindible garantizar que la PHI esté protegida de acuerdo con HIPAA.
  • Páginas web no autenticadas : estas páginas están abiertas a todos. Las herramientas de seguimiento aquí generalmente no ven la PHI, es por eso que el uso de dichas tecnologías de seguimiento no está regulado por la HIPAA. Sin embargo, si las tecnologías de seguimiento en páginas web no autenticadas tienen acceso a la PHI, el cumplimiento de la HIPAA es obligatorio.
  • Aplicaciones móviles : las aplicaciones de entidades bajo la regulación HIPAA que recopilan detalles del usuario, incluidos datos específicos del dispositivo, deben cumplir con las pautas de HIPAA en todo momento.

4 reglas esenciales para el uso de software de seguimiento que cumpla con HIPAA

Según las nuevas regulaciones, las entidades de HIPAA y los proveedores de tecnología de seguimiento deben actuar de acuerdo con las siguientes cuatro reglas para cumplir con la manipulación de la PHI.

Regla 1: comparta la información del paciente con proveedores de tecnología de seguimiento únicamente si la HIPAA lo permite.

Nota: El hecho de que su empresa informe a las personas en su política de privacidad, aviso o términos y condiciones sobre la presencia de tecnología de seguimiento no significa que usted pueda revelar su PHI a proveedores de seguimiento.

Para utilizar la tecnología de seguimiento en páginas o aplicaciones reguladas por HIPAA, se debe cumplir una de estas tres condiciones:

  1. Antes de compartir PHI con un proveedor de seguimiento, una empresa necesita el permiso claro del paciente. Simplemente pedir a los usuarios que acepten las cookies del sitio web no cuenta como un permiso adecuado.
  2. Compartir está permitido por una regla específica de HIPAA o un proveedor de seguimiento es un socio comercial de su empresa. Ver regla 2.
  3. Un proveedor de tecnología de seguimiento no puede simplemente eliminar la PHI de la información que recibe o anonimizar la PHI antes de guardarla, si el proveedor no es un socio comercial de su empresa o si está permitido por HIPAA.

En pocas palabras, cualquier acción con información de salud personal está permitida sólo si está permitida por HIPAA; si un proveedor es su socio comercial; o si un paciente le dio a su empresa un permiso claro para procesar sus datos.

Regla 2: Establezca un Acuerdo de Socio Comercial (BAA) con un proveedor de tecnología de seguimiento.

Si un proveedor de tecnología de seguimiento maneja información del paciente, necesita un Acuerdo de Socio Comercial (BAA) por escrito con él. Este acuerdo debe describir cómo el proveedor protegerá los datos y qué puede hacer con ellos.

Dos notas importantes:

  1. Una tecnología de seguimiento debe cumplir con la definición de socio comercial.
  2. Si una tecnología de seguimiento o una empresa no puede o no quiere firmar BAA, cualquier divulgación de PHI requiere la autorización de las personas.

La definición del HHS de socio comercial es la siguiente: Un socio comercial es una persona o entidad que realiza ciertas funciones o actividades que involucran el uso o divulgación de información de salud protegida en nombre de una entidad cubierta o que brinda servicios a ella.Un miembro de la fuerza laboral de la entidad cubierta no es un socio comercial.

Regla 3: Establecer procesos de análisis y gestión de riesgos que incluyan salvaguardas administrativas, físicas y técnicas.

Para garantizar que la PHI sea segura, tanto las entidades cubiertas por HIPAA como los proveedores de seguimiento deben adoptar medidas de seguridad sólidas:

  • Cifre la ePHI que se transmite al proveedor de tecnología de seguimiento.
  • Habilite y utilice la autenticación adecuada.
  • Establecer prácticas de gobierno de datos (control de acceso, registros de acceso, etc.).
  • Verifique y evalúe periódicamente los riesgos del uso de tecnologías de seguimiento.

Regla 4: Disponer de un sistema de notificación de infracciones.

Si se comparte información no autorizada de pacientes debido a tecnologías de seguimiento, debe notificar a los pacientes afectados y a las autoridades pertinentes.

¿Por qué Google Analytics ya no cumple con HIPAA?

Incluso antes de los cambios en la regulación de 2022, Google Analytics no era una herramienta lista para usar que cumplía con HIPAA. Fueron necesarios muchos ajustes y eliminación de la información de identificación personal de los datos ingresados ​​por el usuario para cumplir con las normas.

A partir de 2022, Google declaró abiertamente que Google Analytics no cumple con los nuevos requisitos de HIPAA y aconseja a las empresas sujetas a HIPAA que utilicen Google Analytics estrictamente en páginas que no están cubiertas por HIPAA. Google no ofrece acuerdos de socios comerciales en relación con su servicio, lo que va en contra de uno de los estándares básicos de seguridad de datos establecidos por el HHS.

Solución: Análisis de marketing seguro según HIPAA con Improvado

Las normas sobre la recopilación y gestión de datos de pacientes son cada vez más estrictas, pero no impiden que los datos sean analizados.

Improvado presenta su suite de análisis de marketing compatible con HIPAA, que incluye gestión de datos en proceso, gasto en marketing y análisis de ROI.

La solución Improvado proporciona a los profesionales del marketing sanitario respuestas a preguntas como:

  • ¿Qué canal produce los mejores resultados?
  • ¿Qué campañas o canales de marketing generan más consultas y citas de pacientes?
  • ¿Qué puntos de contacto de marketing contribuyen a la adquisición, el compromiso y la retención de pacientes?
  • ¿Qué resuena mejor con la audiencia: los materiales educativos del blog, los recordatorios de citas o los controles de bienestar?

Los análisis de marketing de Improvado para la atención médica y el bienestar se basan en Mixpanel, una solución de seguimiento compatible con HIPAA que llena completamente el vacío que ha causado la desaparición de Google Analytics. La solución rastrea cómo los usuarios interactúan con sus sitios web y aplicaciones móviles. Improvado conecta estos datos con información de otras fuentes, ya sea un sistema CRM, una red social o una plataforma de marketing por correo electrónico, para mapear todo el recorrido del cliente, atribuir con precisión las conversiones y ver el impacto de cada punto de contacto en el crecimiento de los ingresos. Los especialistas en marketing pueden ajustar el nivel de granularidad y examinar el rendimiento en todos los canales o geografías, analizar estrategias de oferta y el retorno de la inversión en varios canales, todo en un solo panel.

Para potenciar el autoanálisis y abordar consultas de marketing ad hoc, Improvado presenta el Asistente de IA. Este copiloto de análisis de marketing permite a los especialistas en marketing de atención médica descubrir información sobre el rendimiento sin la necesidad de analistas de datos. Al hacer preguntas a AI Assistant en un lenguaje sencillo, los especialistas en marketing pueden profundizar en el análisis multicanal, supervisar el ritmo del presupuesto y navegar mejor por sus datos.

En última instancia, al aprovechar Improvado, su equipo de marketing tendrá una solución compatible con HIPAA para realizar un seguimiento de las citas que provienen de anuncios en redes sociales, marketing por correo electrónico o campañas de búsqueda paga, lanzar campañas de remarketing que cumplan con las regulaciones de privacidad de HIPAA y mejorar continuamente su desempeño de marketing.

¿Cómo maneja Improvado el cumplimiento de HIPAA?

Improvado es una solución compatible con HIPAA que tiene un sólido marco de seguridad de datos, que incluye

  • El cifrado sólido , tanto durante la transferencia de datos como en reposo, garantiza que incluso si los datos son interceptados o accedidos sin autorización, serán ilegibles y, por lo tanto, inútiles para el intruso.
  • Disposición para firmar un Acuerdo de Socio Comercial (BAA) que describirá los procedimientos y responsabilidades con respecto a la protección de la PHI. El esquema del acuerdo generalmente proviene de un cliente, pero en caso de que necesite ayuda, el equipo de privacidad y seguridad de la información de Improvado puede proporcionarle una plantilla.
  • Auditorías periódicas y evaluaciones de riesgos .
  • Procedimientos de notificación de infracciones para notificar de inmediato a los clientes sobre cualquier caso y mitigar cualquier daño potencial, en caso de que se produzca una infracción.
  • Protocolo seguro de eliminación de datos para manejar los datos una vez que ya no sean necesarios.

Mixpanel, respectivamente, sigue todas las reglas descritas anteriormente para cumplir con HIPAA según las regulaciones revisadas:

  • Mixpanel ofrece un Acuerdo de Socio Comercial (BAA).
  • Tiene derechos de gestión de datos integrados, lo que significa que los administradores de cuentas tienen control para limitar el acceso y la divulgación de datos.
  • La plataforma admite el enmascaramiento de datos, lo que significa que puede enmascarar información de identificación personal o datos de información de atención médica personal reemplazándolos con un identificador genérico.
  • Los datos en tránsito se cifran y se aplican reglas de cifrado estrictas cuando los datos están en reposo.
  • La PII o PHI se pueden excluir del envío a Mixpanel en primer lugar. La plataforma admite el control de exportación de datos a nivel de usuario, lo que significa que los analistas de marketing pueden definir qué datos se envían a Mixpanel usuario por usuario.
  • Mixpanel cuenta con un sistema de notificación de infracciones que notifica a los clientes dentro de las 72 horas posteriores a una sospecha de infracción por correo electrónico.

Improvado ayuda a las marcas de atención médica y bienestar a pasar de los análisis basados ​​en datos de Google Analytics y continuar aprovechando el poder de los análisis de datos seguros, reveladores y eficientes para impulsar estrategias exitosas de marketing de atención médica. Programe una llamada para analizar cómo Improvado puede brindarle una solución eficiente y compatible con sus necesidades.

¿Busca una solución de análisis de marketing que cumpla con HIPAA? Equilibra el conocimiento de los datos sanitarios y la atención regulatoria con Improvado.

¡Gracias! ¡Su propuesta ha sido recibida!
¡Ups! Algo salió mal al enviar el formulario.