Suivre les nouvelles directives du HHS : marketing des soins de santé après Google Analytics

Publié: 2023-10-26

Le ministère de la Santé et des Services sociaux (HHS) a introduit des modifications aux directives HIPAA sur le suivi en ligne, entraînant un changement direct dans la manière dont les marques de soins de santé et de bien-être mènent leurs campagnes marketing. Avec Google Analytics désormais hors de propos, la nécessité de recalibrer rapidement la pile marketing s’est considérablement accrue. Dans cet environnement en évolution, Improvado propose une solution sur mesure, garantissant que les marques peuvent continuer à accéder à des informations marketing détaillées sans compromettre les nouvelles réglementations.

Qu'est-ce qui a changé dans la réglementation HIPAA en 2022 ?

Une récente mise à jour de la loi a affecté l'utilisation de technologies de suivi telles que Google Analytics par des entités réglementées par la HIPAA, notamment des médecins, des psychologues, des cliniques, des dentistes, des chiropracteurs, des maisons de retraite, des pharmacies, des compagnies d'assurance maladie et tout intermédiaire s'occupant du traitement des soins de santé. données. De nombreuses entreprises de bien-être et praticiens alternatifs peuvent également relever de la catégorie des prestataires de soins de santé , dans les situations où les vendeurs de bien-être opèrent en collaboration avec des plans de santé collectifs ou si leurs services incluent le traitement d'informations sur la santé.

En vertu de la nouvelle réglementation, les entités réglementées ne sont pas autorisées à utiliser des technologies de suivi sans autorisation appropriée ou d'une manière qui pourrait conduire à des divulgations non autorisées de renseignements personnels sur la santé (PHI).

La définition du HHS d'une technologie de suivi stipule que : Une technologie de suivi est un script ou un code sur un site Web ou une application mobile utilisé pour recueillir des informations sur les utilisateurs lorsqu'ils interagissent avec le site Web ou l'application mobile.Une fois les informations collectées via des technologies de suivi à partir de sites Web ou d'applications mobiles, elles sont ensuite analysées par les propriétaires du site Web ou de l'application mobile, ou par des tiers, pour créer des informations sur les activités en ligne des utilisateurs.

Étant donné que la législation parle uniquement de la gestion des PHI et des ePHI, la mise à jour HIPAA affecte différemment les différentes pages du site Web :

  • Pages Web authentifiées par l'utilisateur : sur ces pages, les utilisateurs se connectent avant de pouvoir accéder à la page Web, et les outils de suivi peuvent généralement afficher des informations personnelles sur la santé telles que l'e-mail, l'adresse IP, les dates de rendez-vous ou même le diagnostic. Il est indispensable de garantir que les PHI sont sécurisés conformément à la HIPAA.
  • Pages Web non authentifiées : Ces pages sont ouvertes à tous. Les outils de suivi ici ne voient généralement pas les PHI, c'est pourquoi l'utilisation de telles technologies de suivi n'est pas réglementée par la HIPAA. Cependant, si les technologies de suivi sur des pages Web non authentifiées ont accès aux PHI, l'adhésion à la HIPAA est obligatoire.
  • Applications mobiles : les applications d'entités soumises à la réglementation HIPAA qui collectent des informations sur les utilisateurs, y compris des données spécifiques à l'appareil, doivent à tout moment respecter les directives HIPAA.

4 règles essentielles pour une utilisation conforme à la loi HIPAA du logiciel de suivi

Sur la base des nouvelles réglementations, les entités HIPAA et les fournisseurs de technologies de suivi doivent agir conformément aux quatre règles suivantes pour rester conformes lors du traitement des PHI.

Règle 1 : ne partagez les informations des patients avec les fournisseurs de technologies de suivi que si cela est autorisé par la HIPAA.

Remarque : Le fait que votre entreprise informe les individus dans sa politique de confidentialité, son avis ou ses conditions générales de la présence d'une technologie de suivi ne signifie pas que vous êtes autorisé à divulguer les PHI aux fournisseurs de suivi.

Pour utiliser la technologie de suivi sur des pages ou des applications réglementées par la HIPAA, l'une de ces trois conditions doit être remplie :

  1. Avant de partager des PHI avec un fournisseur de suivi, une entreprise a besoin de l'autorisation claire du patient. Le simple fait de demander aux utilisateurs d'accepter les cookies du site Web ne constitue pas une autorisation appropriée.
  2. Le partage est autorisé par une règle HIPAA spécifique ou un fournisseur de suivi est un associé commercial de votre entreprise. Voir règle 2.
  3. Un fournisseur de technologie de suivi n'est pas autorisé à simplement supprimer les PHI des informations qu'il reçoit ou à anonymiser les PHI avant de les enregistrer, si le fournisseur n'est pas un associé commercial de votre entreprise ou s'il est autorisé par la HIPAA.

En termes simples, toute action concernant des informations personnelles sur la santé n'est autorisée que si elle est autorisée par la HIPAA ; si un fournisseur est votre associé ; ou si un patient a donné à votre entreprise la permission claire de traiter ses données.

Règle 2 : Établissez un accord de partenariat commercial (BAA) avec un fournisseur de technologie de suivi.

Si un fournisseur de technologie de suivi gère les informations des patients, vous avez besoin d'un accord de partenariat commercial (BAA) écrit avec lui. Cet accord doit décrire comment le fournisseur protégera les données et ce qu'il est autorisé à en faire.

Deux remarques importantes :

  1. Une technologie de suivi doit répondre à la définition d’associé commercial.
  2. Si une technologie de suivi ou une entreprise ne peut/ne veut pas signer le BAA, toute divulgation de PHI nécessite l'autorisation des individus.

La définition HHS d'un associé est la suivante : Un associé est une personne ou une entité qui exerce certaines fonctions ou activités qui impliquent l'utilisation ou la divulgation d'informations de santé protégées au nom d'une entité couverte ou qui fournit des services à celle-ci.Un membre du personnel de l'entité couverte n'est pas un associé commercial.

Règle 3 : Établir des processus d'analyse et de gestion des risques qui incluent des protections administratives, physiques et techniques.

Pour garantir la sécurité des PHI, les entités couvertes par la HIPAA et les fournisseurs de suivi doivent adopter des mesures de sécurité robustes :

  • Chiffrez les ePHI transmises au fournisseur de technologie de suivi.
  • Activez et utilisez l’authentification appropriée.
  • Établir des pratiques de gouvernance des données (contrôle d’accès, journaux d’accès, etc.).
  • Vérifiez et évaluez régulièrement les risques liés à l’utilisation des technologies de suivi.

Règle 4 : avoir un système de notification des violations en place.

En cas de partage non autorisé d'informations sur les patients en raison des technologies de suivi, vous devez en informer les patients concernés et les autorités compétentes.

Pourquoi Google Analytics n'est plus conforme à la loi HIPAA ?

Même avant les changements de réglementation de 2022, Google Analytics n'était pas un outil conforme à la HIPAA dès le départ. Il a fallu beaucoup d’ajustements et de suppression des informations personnelles identifiables des données saisies par l’utilisateur pour rester conforme.

À partir de 2022, Google a ouvertement déclaré que Google Analytics ne satisfaisait pas aux nouvelles exigences HIPAA et conseille aux entreprises soumises à la HIPAA d'utiliser Google Analytics uniquement sur les pages qui ne sont pas couvertes par la HIPAA. Google ne propose pas d'accords de partenariat commercial dans le cadre de son service, ce qui va à l'encontre de l'une des principales normes de sécurité des données énoncées par le HHS.

Solution : Analyse marketing conforme à la loi HIPAA avec Improvado

Les réglementations en matière de collecte et de gestion des données des patients sont de plus en plus strictes, mais elles n'empêchent pas leur analyse.

Improvado présente sa suite d'analyse marketing conforme à la HIPAA, comprenant un pipeline de gestion des données, des dépenses marketing et une analyse du retour sur investissement.

La solution Improvado fournit aux spécialistes du marketing de la santé des réponses à des questions telles que :

  • Quel canal donne les meilleurs résultats ?
  • Quels campagnes ou canaux marketing génèrent le plus de demandes de renseignements et de rendez-vous de patients ?
  • Quels points de contact marketing contribuent à l’acquisition, à l’engagement et à la rétention des patients ?
  • Qu'est-ce qui résonne le mieux auprès du public, les supports pédagogiques sur le blog, les rappels de rendez-vous ou les enregistrements de bien-être ?

Les analyses marketing d'Improvado pour les soins de santé et le bien-être sont basées sur Mixpanel, une solution de suivi conforme à la loi HIPAA qui comble pleinement le vide causé par la disparition de Google Analytics. La solution suit la manière dont les utilisateurs interagissent avec vos sites Web et vos applications mobiles. Improvado connecte ces données avec des informations provenant d'autres sources, qu'il s'agisse d'un système CRM, d'un réseau de médias sociaux ou d'une plateforme de marketing par e-mail, pour cartographier l'ensemble du parcours client, attribuer avec précision les conversions et voir l'impact de chaque point de contact sur la croissance des revenus. Les spécialistes du marketing peuvent ajuster le niveau de granularité et examiner les performances sur tous les canaux ou zones géographiques, analyser les stratégies d'enchères et le retour sur investissement multicanal, le tout dans un seul tableau de bord.

Pour renforcer l'auto-analyse et répondre aux demandes marketing ponctuelles, Improvado présente l'Assistant IA. Ce co-pilote d'analyse marketing permet aux spécialistes du marketing du secteur de la santé de découvrir des informations sur les performances sans avoir recours à des analystes de données. En posant des questions à AI Assistant dans un anglais simple, les spécialistes du marketing peuvent se plonger dans l'analyse multicanal, superviser le rythme budgétaire et mieux naviguer dans leurs données.

En fin de compte, en tirant parti d'Improvado, votre équipe marketing disposera d'une solution conforme à la HIPAA pour suivre les rendez-vous provenant de publicités sur les réseaux sociaux, de marketing par e-mail ou de campagnes de recherche payantes, lancer des campagnes de remarketing conformes aux réglementations de confidentialité HIPAA et améliorer continuellement vos performances marketing.

Comment Improvado gère-t-il la conformité HIPAA ?

Improvado est une solution conforme à la HIPAA qui dispose d'un cadre de sécurité des données robuste, notamment

  • Un cryptage solide , tant pendant le transfert de données qu'au repos, garantit que même si les données sont interceptées ou consultées sans autorisation, elles seront illisibles et donc inutiles pour l'intrus.
  • Être prêt à signer un accord de partenariat commercial (BAA) qui décrira les procédures et les responsabilités concernant la protection des PHI. Les grandes lignes de l'accord proviennent généralement d'un client, mais si vous avez besoin d'aide, l'équipe de sécurité et de confidentialité des informations d'Improvado peut vous fournir un modèle.
  • Audits réguliers et évaluations des risques .
  • Procédures de notification des violations pour informer rapidement les clients de tout cas et atténuer tout dommage potentiel, en cas de violation.
  • Protocole sécurisé d’élimination des données pour gérer les données une fois qu’elles ne sont plus nécessaires.

Mixpanel, respectivement, suit toutes les règles décrites précédemment pour rester conforme à la HIPAA en vertu de la réglementation révisée :

  • Mixpanel propose un accord de partenariat commercial (BAA).
  • Il dispose de droits de gouvernance des données intégrés, ce qui signifie que les administrateurs de compte ont le contrôle pour limiter l'accès et la divulgation des données.
  • La plate-forme prend en charge le masquage des données, ce qui signifie qu'elle peut masquer les informations personnelles identifiables ou les données personnelles sur les soins de santé en les remplaçant par un identifiant générique.
  • Les données en transit sont chiffrées et des règles de chiffrement strictes sont appliquées lorsque les données sont au repos.
  • Les PII ou PHI peuvent être exclus de l’envoi à Mixpanel en premier lieu. La plate-forme prend en charge le contrôle de l'exportation des données au niveau de l'utilisateur, ce qui signifie que les analystes marketing peuvent définir quelles données sont envoyées à Mixpanel, utilisateur par utilisateur.
  • Mixpanel dispose d'un système de notification de violation qui informe les clients par e-mail dans les 72 heures d'une violation présumée.

Improvado aide les marques de soins de santé et de bien-être à s'adapter aux analyses basées sur les données Google Analytics et à continuer d'exploiter la puissance d'analyses de données sécurisées, pertinentes et efficaces pour mener à bien des stratégies de marketing dans le domaine des soins de santé. Planifiez un appel pour discuter de la manière dont Improvado peut fournir une solution conforme et efficace à vos besoins.

Vous recherchez une solution d’analyse marketing conforme à la HIPAA ? Équilibrez les informations sur les données de santé et les soins réglementaires avec Improvado.

Merci! Votre demande a été reçue!
Oops! Une erreur s'est produite lors de l'envoi du formulaire.