Mengikuti Pedoman HHS Baru: Pemasaran Layanan Kesehatan Posting Google Analytics
Diterbitkan: 2023-10-26Layanan Kesehatan dan Kemanusiaan (HHS) telah memperkenalkan perubahan pada panduan HIPAA tentang pelacakan online, yang membawa perubahan langsung dalam cara merek layanan kesehatan dan kebugaran menjalankan kampanye pemasaran. Dengan tidak adanya Google Analytics, kebutuhan untuk mengkalibrasi ulang tumpukan pemasaran dengan cepat telah meningkat secara signifikan. Dalam lingkungan yang berubah ini, Improvado menawarkan solusi yang disesuaikan, memastikan merek dapat terus mengakses wawasan pemasaran terperinci tanpa mengorbankan peraturan baru.
Apa Saja Perubahan Peraturan HIPAA di Tahun 2022?
Pembaruan terbaru pada undang-undang tersebut memengaruhi penggunaan teknologi pelacakan seperti Google Analytics oleh entitas yang diatur oleh HIPAA yang mencakup dokter, psikolog, klinik, dokter gigi, ahli kiropraktik, panti jompo, apotek, perusahaan asuransi kesehatan, dan perantara yang menangani pemrosesan layanan kesehatan. data. Banyak bisnis kesehatan dan praktisi alternatif mungkin juga termasuk dalam kategori penyedia layanan kesehatan , dalam situasi di mana vendor kesehatan beroperasi bersamaan dengan rencana kesehatan kelompok atau jika layanan mereka mencakup penanganan informasi kesehatan.
Berdasarkan peraturan baru, entitas yang diatur tidak diperbolehkan menggunakan teknologi pelacakan tanpa izin yang sesuai atau dengan cara yang dapat menyebabkan pengungkapan informasi kesehatan pribadi (PHI) tanpa izin.
Karena undang-undang tersebut hanya berbicara tentang penanganan PHI dan ePHI, pembaruan HIPAA memengaruhi berbagai halaman di situs web secara berbeda:
- Halaman web yang diautentikasi pengguna : Di halaman ini, pengguna masuk sebelum mereka dapat mengakses halaman web, dan alat pelacak biasanya dapat melihat informasi kesehatan pribadi seperti email, alamat IP, tanggal janji temu, atau bahkan diagnosis. Merupakan suatu keharusan untuk memastikan PHI diamankan sesuai dengan HIPAA.
- Halaman web yang tidak diautentikasi : Halaman ini terbuka untuk semua orang. Alat pelacak di sini biasanya tidak melihat PHI, itulah mengapa penggunaan teknologi pelacakan tersebut tidak diatur oleh HIPAA. Namun, jika teknologi pelacakan pada halaman web yang tidak diautentikasi memiliki akses ke PHI, kepatuhan terhadap HIPAA adalah wajib.
- Aplikasi seluler : Aplikasi dari entitas berdasarkan peraturan HIPAA yang mengumpulkan detail pengguna, termasuk data khusus perangkat, harus selalu mematuhi pedoman HIPAA.
4 Aturan Penting untuk Penggunaan Perangkat Lunak Pelacakan yang Sesuai dengan HIPAA
Berdasarkan peraturan baru, entitas HIPAA dan vendor teknologi pelacakan harus bertindak sesuai dengan empat aturan berikut agar tetap patuh saat menangani PHI.
Aturan 1: Hanya bagikan informasi pasien dengan vendor teknologi pelacakan jika diizinkan oleh HIPAA.
Catatan: Fakta bahwa perusahaan Anda memberi tahu individu dalam kebijakan privasi, pemberitahuan, atau syarat dan ketentuannya tentang keberadaan teknologi pelacakan tidak berarti Anda diizinkan untuk mengungkapkan PHI kepada vendor pelacakan.
Untuk menggunakan teknologi pelacakan pada halaman atau aplikasi yang diatur HIPAA, salah satu dari tiga ketentuan berikut harus dipenuhi:
- Sebelum membagikan PHI dengan vendor pelacakan, perusahaan memerlukan izin yang jelas dari pasien. Sekadar meminta pengguna untuk menerima cookie situs web tidak dihitung sebagai izin yang sesuai.
- Berbagi diperbolehkan oleh aturan HIPAA tertentu atau vendor pelacakan adalah rekan bisnis perusahaan Anda. Lihat aturan 2.
- Vendor teknologi pelacakan tidak diperbolehkan menghapus PHI begitu saja dari informasi yang diterimanya atau melakukan de-identifikasi PHI sebelum menyimpannya, jika vendor tersebut bukan rekan bisnis perusahaan Anda atau diizinkan oleh HIPAA.
Aturan 2: Buat Perjanjian Rekan Bisnis (BAA) dengan vendor teknologi pelacakan.
Jika vendor teknologi pelacakan menangani informasi pasien, Anda memerlukan Perjanjian Rekan Bisnis (BAA) tertulis dengan mereka. Perjanjian ini harus menguraikan bagaimana vendor akan melindungi data dan apa yang boleh mereka lakukan terhadap data tersebut.
Dua catatan penting:
- Teknologi pelacakan harus memenuhi definisi rekan bisnis.
- Jika teknologi pelacakan atau perusahaan tidak mampu/tidak ingin menandatangani BAA, pengungkapan PHI memerlukan otorisasi individu.
Aturan 3: Menetapkan analisis risiko dan proses manajemen risiko yang mencakup pengamanan administratif, fisik, dan teknis.
Untuk memastikan bahwa PHI aman, baik entitas yang tercakup dalam HIPAA maupun vendor pelacakan harus menerapkan langkah-langkah keamanan yang kuat:
- Enkripsi ePHI yang dikirimkan ke vendor teknologi pelacakan.
- Aktifkan dan gunakan otentikasi yang sesuai.
- Tetapkan praktik tata kelola data (kontrol akses, log akses, dll.).
- Periksa dan nilai risiko penggunaan teknologi pelacakan secara berkala.
Aturan 4: Miliki sistem pemberitahuan pelanggaran.
Jika terjadi pembagian informasi pasien tanpa izin karena teknologi pelacakan, Anda harus memberi tahu pasien yang terkena dampak dan otoritas terkait.
Mengapa Google Analytics Tidak Lagi Sesuai HIPAA?
Bahkan sebelum perubahan peraturan pada tahun 2022, Google Analytics bukanlah alat yang sesuai dengan HIPAA. Dibutuhkan banyak penyesuaian dan penghapusan informasi identitas pribadi dari data yang dimasukkan pengguna agar tetap patuh.
Mulai tahun 2022, Google secara terbuka menyatakan bahwa Google Analytics tidak memenuhi persyaratan HIPAA baru dan menyarankan perusahaan yang tunduk pada HIPAA untuk menggunakan Google Analytics secara ketat pada halaman yang tidak tercakup dalam HIPAA. Google tidak menawarkan Perjanjian Rekan Bisnis sehubungan dengan layanannya, yang bertentangan dengan salah satu standar keamanan data inti yang dinyatakan oleh HHS.
Solusi: Analisis Pemasaran Aman HIPAA dengan Improvado
Peraturan mengenai pengumpulan dan pengelolaan data pasien semakin ketat, namun tidak menghalangi analisis data.
Improvado menghadirkan rangkaian analisis pemasaran yang sesuai dengan HIPAA, termasuk jalur manajemen data dan pengeluaran pemasaran serta analisis ROI.
Solusi improvado memberi pemasar layanan kesehatan jawaban atas pertanyaan seperti:
- Saluran apa yang memberikan hasil terbaik?
- Kampanye atau saluran pemasaran manakah yang paling banyak mendorong pertanyaan dan janji temu pasien?
- Titik kontak pemasaran manakah yang berkontribusi terhadap akuisisi, keterlibatan, dan retensi pasien?
- Apa yang lebih sesuai dengan materi pendidikan audiens di blog, pengingat janji temu, atau check-in kesehatan?
Analisis pemasaran Improvado untuk layanan kesehatan dan kebugaran didasarkan pada Mixpanel, solusi pelacakan yang sesuai dengan HIPAA yang sepenuhnya mengisi kekosongan yang disebabkan oleh matinya Google Analytics. Solusinya melacak bagaimana pengguna berinteraksi dengan situs web dan aplikasi seluler Anda. Improvado menghubungkan data ini dengan informasi dari sumber lain, baik itu sistem CRM, jaringan media sosial, atau platform pemasaran email, untuk memetakan keseluruhan perjalanan pelanggan, mengaitkan konversi dengan tepat, dan melihat dampak setiap titik kontak terhadap pertumbuhan pendapatan. Pemasar dapat menyesuaikan tingkat perincian, dan memeriksa kinerja di seluruh saluran atau wilayah, menganalisis strategi penawaran dan ROI lintas saluran, semuanya dalam satu dasbor.
Untuk memberdayakan analisis mandiri dan menangani pertanyaan pemasaran ad-hoc, Improvado memperkenalkan Asisten AI. Co-pilot analisis pemasaran ini memungkinkan pemasar layanan kesehatan mengungkap wawasan kinerja tanpa memerlukan analis data. Dengan mengajukan pertanyaan kepada Asisten AI dalam bahasa Inggris yang sederhana, pemasar dapat mempelajari analisis lintas saluran, mengawasi kecepatan anggaran, dan menavigasi data mereka dengan lebih baik.
Bagaimana Improvado Menangani Kepatuhan HIPAA?
Improvado adalah solusi yang sesuai dengan HIPAA yang memiliki kerangka keamanan data yang kuat, termasuk
- Enkripsi yang solid selama transfer data dan saat disimpan, memastikan bahwa meskipun data disadap atau diakses tanpa izin, data tersebut tidak akan dapat dibaca dan oleh karena itu tidak berguna bagi penyusup.
- Kesiapan untuk menandatangani Business Associate Agreement (BAA) yang akan menguraikan prosedur dan tanggung jawab terkait perlindungan PHI. Garis besar perjanjian biasanya berasal dari klien, namun jika Anda memerlukan bantuan, tim keamanan informasi dan privasi Improvado dapat menyediakan templatnya.
- Audit rutin dan penilaian risiko .
- Prosedur pemberitahuan pelanggaran untuk segera memberi tahu klien tentang kejadian apa pun dan memitigasi potensi kerusakan, jika pelanggaran terjadi.
- Protokol pembuangan data yang aman untuk menangani data setelah tidak diperlukan lagi.
Mixpanel, masing-masing, mengikuti semua aturan yang dijelaskan sebelumnya agar tetap mematuhi HIPAA berdasarkan peraturan yang direvisi:
- Mixpanel menawarkan Perjanjian Rekan Bisnis (BAA).
- Akun ini memiliki hak tata kelola data bawaan, yang berarti administrator akun memiliki kontrol untuk membatasi akses dan pengungkapan data.
- Platform ini mendukung penyembunyian data, yang berarti dapat menutupi informasi identitas pribadi atau data informasi kesehatan pribadi dengan menggantinya dengan pengenal umum.
- Data dalam transit dienkripsi, dan aturan enkripsi yang kuat diterapkan saat data tidak digunakan.
- PII atau PHI dapat dikecualikan dari pengiriman ke Mixpanel. Platform ini mendukung kontrol ekspor data tingkat pengguna, yang berarti analis pemasaran dapat menentukan data apa yang dikirim ke Mixpanel berdasarkan pengguna per pengguna.
- Mixpanel memiliki sistem pemberitahuan pelanggaran yang memberi tahu pelanggan dalam waktu 72 jam tentang dugaan pelanggaran melalui email.
Improvado membantu merek layanan kesehatan dan kebugaran beralih dari analisis yang dibuat berdasarkan data Google Analytics dan terus memanfaatkan kekuatan analisis data yang aman, berwawasan luas, dan efisien untuk mendorong strategi pemasaran layanan kesehatan yang sukses. Jadwalkan panggilan telepon untuk mendiskusikan bagaimana Improvado dapat memberikan solusi yang sesuai dan efisien untuk kebutuhan Anda.