Seguire le nuove linee guida HHS: marketing sanitario dopo Google Analytics

Pubblicato: 2023-10-26

L'Health and Human Services (HHS) ha introdotto modifiche alle linee guida HIPAA sul monitoraggio online, determinando un cambiamento diretto nel modo in cui i marchi di assistenza sanitaria e benessere gestiscono le campagne di marketing. Con Google Analytics ormai fuori discussione, la necessità di ricalibrare rapidamente lo stack di marketing è cresciuta in modo significativo. In questo ambiente in evoluzione, Improvado offre una soluzione su misura, garantendo che i marchi possano continuare ad accedere a informazioni di marketing dettagliate senza compromettere le nuove normative.

Cosa è cambiato nel regolamento HIPAA nel 2022?

Un recente aggiornamento della legge ha interessato l'uso della tecnologia di tracciamento come Google Analytics da parte di entità regolamentate dall'HIPAA che includono medici, psicologi, cliniche, dentisti, chiropratici, case di cura, farmacie, compagnie di assicurazione sanitaria e qualsiasi intermediario che si occupi del trattamento dei servizi sanitari dati. Molte aziende del benessere e professionisti alternativi potrebbero anche rientrare nella categoria dei fornitori di servizi sanitari , in situazioni in cui i fornitori di servizi di benessere operano insieme a piani sanitari di gruppo o se i loro servizi includono la gestione di informazioni sanitarie.

Secondo le nuove normative, agli enti regolamentati non è consentito utilizzare tecnologie di tracciamento senza la dovuta autorizzazione o in modi che porterebbero alla divulgazione non autorizzata di informazioni sanitarie personali (PHI).

La definizione HHS di tecnologia di tracciamento afferma che:Una tecnologia di tracciamento è uno script o codice su un sito Web o un'app mobile utilizzato per raccogliere informazioni sugli utenti mentre interagiscono con il sito Web o l'app mobile.Dopo che le informazioni sono state raccolte tramite tecnologie di tracciamento da siti Web o app mobili, vengono quindi analizzate dai proprietari del sito Web o dell'app mobile o da terze parti per creare approfondimenti sulle attività online degli utenti.

Poiché la legislazione riguarda esclusivamente la gestione di PHI ed ePHI, l'aggiornamento HIPAA influisce in modo diverso sulle varie pagine del sito Web:

  • Pagine Web autenticate dall'utente : su queste pagine, gli utenti accedono prima di poter accedere alla pagina Web e gli strumenti di monitoraggio in genere possono visualizzare informazioni sanitarie personali come e-mail, indirizzo IP, date di appuntamento o persino diagnosi. È fondamentale garantire che le PHI siano protette in conformità con HIPAA.
  • Pagine web non autenticate : queste pagine sono aperte a tutti. Gli strumenti di tracciamento qui di solito non vedono le PHI, ecco perché l'uso di tali tecnologie di tracciamento non è regolato dall'HIPAA. Tuttavia, se le tecnologie di tracciamento su pagine web non autenticate hanno accesso alle PHI, l'adesione all'HIPAA è obbligatoria.
  • Applicazioni mobili : le app di entità soggette alla normativa HIPAA che raccolgono dettagli dell'utente, inclusi dati specifici del dispositivo, devono rispettare sempre le linee guida HIPAA.

4 regole essenziali per l'utilizzo conforme all'HIPAA del software di monitoraggio

Sulla base delle nuove normative, le entità HIPAA e i fornitori di tecnologie di tracciamento devono agire in conformità con le seguenti quattro regole per rimanere conformi durante la gestione delle PHI.

Regola 1: condividere le informazioni sui pazienti con i fornitori di tecnologie di tracciamento solo se consentito dall'HIPAA.

Nota: il fatto che la tua azienda informi le persone nella sua politica sulla privacy, avviso o termini e condizioni sulla presenza della tecnologia di tracciamento non significa che sei autorizzato a divulgare PHI ai fornitori di tracciamento.

Per utilizzare la tecnologia di tracciamento su pagine o applicazioni regolamentate dall'HIPAA, è necessario soddisfare una di queste tre condizioni:

  1. Prima di condividere le PHI con un fornitore di servizi di monitoraggio, un'azienda ha bisogno del chiaro consenso del paziente. Chiedere semplicemente agli utenti di accettare i cookie del sito Web non conta come autorizzazione adeguata.
  2. La condivisione è consentita da una specifica regola HIPAA oppure un fornitore di monitoraggio è un socio in affari della tua azienda. Vedi regola 2.
  3. Un fornitore di tecnologia di tracciamento non è autorizzato a rimuovere semplicemente i PHI dalle informazioni che riceve o a rendere anonimi i PHI prima di salvarli, se il fornitore non è un socio in affari della tua azienda o se è consentito dall'HIPAA.

In parole povere, qualsiasi azione con informazioni sanitarie personali è consentita solo se consentita dall'HIPAA; se un venditore è un tuo socio in affari; o se un paziente ha dato alla tua azienda il chiaro consenso al trattamento dei propri dati.

Regola 2: stipulare un contratto di società in affari (BAA) con un fornitore di tecnologia di tracciamento.

Se un fornitore di tecnologia di tracciamento gestisce le informazioni sui pazienti, è necessario stipulare con lui un contratto di società in affari (BAA) scritto. Questo accordo dovrebbe delineare in che modo il fornitore proteggerà i dati e cosa gli è consentito fare.

Due note importanti:

  1. Una tecnologia di tracciamento deve soddisfare la definizione di socio in affari.
  2. Se una tecnologia di tracciamento o un'azienda non è in grado/non vuole firmare la BAA, qualsiasi divulgazione di PHI richiede l'autorizzazione dei singoli individui.

La definizione HHS di socio in affari è la seguente: Un socio in affari è una persona o entità che svolge determinate funzioni o attività che implicano l'uso o la divulgazione di informazioni sanitarie protette per conto di, o fornisce servizi a, un'entità coperta.Un membro della forza lavoro dell'entità coperta non è un socio in affari.

Regola 3: stabilire processi di analisi e gestione del rischio che includano garanzie amministrative, fisiche e tecniche.

Per garantire che le PHI siano sicure, sia gli enti coperti da HIPAA che i fornitori di servizi di monitoraggio dovrebbero adottare solide misure di sicurezza:

  • Crittografa l'ePHI trasmesso al fornitore della tecnologia di tracciamento.
  • Abilitare e utilizzare l'autenticazione appropriata.
  • Stabilire pratiche di governance dei dati (controllo degli accessi, registri di accesso, ecc.).
  • Controllare e valutare regolarmente i rischi derivanti dall'utilizzo delle tecnologie di tracciamento.

Regola 4: disporre di un sistema di notifica delle violazioni.

Se si verifica una condivisione non autorizzata delle informazioni sui pazienti a causa delle tecnologie di tracciamento, è necessario avvisare i pazienti interessati e le autorità competenti.

Perché Google Analytics non è più conforme all'HIPAA?

Anche prima delle modifiche al regolamento del 2022, Google Analytics non era uno strumento conforme all'HIPAA fin dall'inizio. Per rimanere conformi sono state necessarie numerose modifiche e rimozioni delle informazioni di identificazione personale dai dati immessi dagli utenti.

A partire dal 2022, Google ha dichiarato apertamente che Google Analytics non soddisfa i nuovi requisiti HIPAA e consiglia alle aziende soggette a HIPAA di utilizzare Google Analytics esclusivamente su pagine non coperte da HIPAA. Google non offre contratti di società in affari in relazione al suo servizio, il che va contro uno degli standard fondamentali di sicurezza dei dati stabiliti dall'HHS.

Soluzione: analisi di marketing sicure HIPAA con Improvado

Le norme sulla raccolta e la gestione dei dati dei pazienti stanno diventando sempre più severe, ma non impediscono l'analisi dei dati.

Improvado presenta la sua suite di analisi di marketing conforme a HIPAA, inclusa la pipeline di gestione dei dati, le spese di marketing e l'analisi del ROI.

La soluzione Improvado fornisce agli operatori del marketing sanitario risposte a domande come:

  • Quale canale produce i migliori risultati?
  • Quali campagne o canali di marketing stanno indirizzando la maggior parte delle richieste e degli appuntamenti dei pazienti?
  • Quali punti di contatto di marketing contribuiscono all’acquisizione, al coinvolgimento e alla fidelizzazione dei pazienti?
  • Cosa risuona meglio con il materiale didattico del pubblico sul blog, promemoria di appuntamenti o check-in sul benessere?

L'analisi di marketing di Improvado per l'assistenza sanitaria e il benessere si basa su Mixpanel, una soluzione di monitoraggio conforme a HIPAA che riempie completamente il vuoto causato dalla scomparsa di Google Analytics. La soluzione tiene traccia del modo in cui gli utenti interagiscono con i tuoi siti Web e le tue applicazioni mobili. Improvado collega questi dati con informazioni provenienti da altre fonti, che si tratti di un sistema CRM, di una rete di social media o di una piattaforma di email marketing, per mappare l'intero percorso del cliente, attribuire con precisione le conversioni e vedere l'impatto di ciascun punto di contatto sulla crescita dei ricavi. Gli esperti di marketing possono regolare il livello di granularità ed esaminare le prestazioni tra canali o aree geografiche, analizzare strategie di offerta e ROI multicanale, tutto in un'unica dashboard.

Per potenziare l'autoanalisi e affrontare richieste di marketing ad hoc, Improvado presenta l'Assistente AI. Questo copilota di analisi di marketing consente agli esperti di marketing del settore sanitario di scoprire informazioni dettagliate sulle prestazioni senza la necessità di analisti di dati. Ponendo domande all'Assistente AI in un inglese semplice, gli esperti di marketing possono approfondire l'analisi multicanale, supervisionare la pianificazione del budget e navigare meglio tra i dati.

In definitiva, sfruttando Improvado, il tuo team di marketing avrà una soluzione conforme HIPAA per tenere traccia degli appuntamenti che provengono da annunci sui social media, email marketing o campagne di ricerca a pagamento, lanciare campagne di remarketing che soddisfano le normative sulla privacy HIPAA e migliorare continuamente le prestazioni di marketing.

In che modo Improvado gestisce la conformità HIPAA?

Improvado è una soluzione conforme a HIPAA che dispone di un solido framework per la sicurezza dei dati, incluso

  • La crittografia solida sia durante il trasferimento dei dati che a riposo, garantisce che anche se i dati vengono intercettati o vi si accede senza autorizzazione, saranno illeggibili e quindi inutili per l'intruso.
  • Disponibilità a firmare un accordo di società in affari (BAA) che delineerà le procedure e le responsabilità relative alla protezione delle PHI. La bozza dell'accordo di solito proviene da un cliente, ma nel caso abbiate bisogno di assistenza, il team di sicurezza e privacy delle informazioni di Improvado può fornire un modello.
  • Audit regolari e valutazioni del rischio .
  • Procedure di notifica delle violazioni per informare tempestivamente i clienti di eventuali casi e mitigare eventuali danni potenziali, nel caso in cui si verificasse una violazione.
  • Protocollo di smaltimento sicuro dei dati per gestire i dati una volta che non sono più necessari.

Mixpanel, rispettivamente, segue tutte le regole descritte in precedenza per rimanere conforme all'HIPAA secondo le normative riviste:

  • Mixpanel offre un contratto di società in affari (BAA).
  • Dispone di diritti di governance dei dati integrati, il che significa che gli amministratori degli account hanno il controllo per limitare l'accesso e la divulgazione dei dati.
  • La piattaforma supporta il mascheramento dei dati, il che significa che può mascherare informazioni personali identificabili o dati sanitari personali sostituendoli con un identificatore generico.
  • I dati in transito sono crittografati e vengono applicate regole di crittografia avanzate quando i dati sono inattivi.
  • È possibile escludere innanzitutto PII o PHI dall'invio a Mixpanel. La piattaforma supporta il controllo dell'esportazione dei dati a livello di utente, il che significa che gli analisti di marketing possono definire quali dati vengono inviati a Mixpanel utente per utente.
  • Mixpanel dispone di un sistema di notifica delle violazioni che avvisa i clienti entro 72 ore di una sospetta violazione tramite e-mail.

Improvado aiuta i brand del settore sanitario e del benessere a orientarsi verso l'analisi basata sui dati di Google Analytics e a continuare a sfruttare la potenza dell'analisi dei dati sicura, approfondita ed efficiente per promuovere strategie di marketing sanitario di successo. Pianifica una chiamata per discutere di come Improvado può fornire una soluzione conforme ed efficiente per le tue esigenze.

Cerchi una soluzione di analisi di marketing conforme a HIPAA? Bilancia gli insight sui dati sanitari e l'assistenza normativa con Improvado.

Grazie! La tua richiesta è stata ricevuta!
Ops! Qualcosa è andato storto durante l'invio del modulo.