새로운 HHS 지침 준수: 의료 마케팅 게시물 Google Analytics
게시 됨: 2023-10-26보건복지부(HHS)는 온라인 추적에 대한 HIPAA 지침을 변경하여 의료 및 웰니스 브랜드가 마케팅 캠페인을 운영하는 방식에 직접적인 변화를 가져왔습니다. 이제 Google Analytics가 제외되면서 마케팅 스택을 신속하게 재조정해야 할 필요성이 크게 커졌습니다. 이러한 변화하는 환경에서 Improvado는 맞춤형 솔루션을 제공하여 브랜드가 새로운 규정을 타협하지 않고도 상세한 마케팅 통찰력에 계속 액세스할 수 있도록 보장합니다.
2022년 HIPAA 규정에 어떤 변화가 있었나요?
최근 법률 업데이트는 의사, 심리학자, 진료소, 치과 의사, 척추 지압사, 요양원, 약국, 건강 보험 회사 및 의료 처리를 다루는 중개인을 포함하여 HIPAA의 규제를 받는 기관의 Google Analytics와 같은 추적 기술 사용에 영향을 미쳤습니다. 데이터. 웰니스 공급업체가 단체 건강 보험과 연계하여 운영되거나 서비스에 건강 정보 처리가 포함되는 경우 많은 웰니스 사업체와 대체 의료인도 의료 서비스 제공자 범주에 속할 수 있습니다.
새로운 규정에 따라 규제 대상 기관은 적절한 승인 없이 또는 개인 건강 정보(PHI)의 무단 공개로 이어질 수 있는 방식으로 추적 기술을 사용할 수 없습니다.
법안에서는 PHI 및 ePHI 처리에 대해서만 설명하므로 HIPAA 업데이트는 웹사이트의 다양한 페이지에 다르게 영향을 미칩니다.
- 사용자 인증 웹 페이지 : 이 페이지에서 사용자는 웹 페이지에 액세스하기 전에 로그인하며, 추적 도구는 일반적으로 이메일, IP 주소, 약속 날짜 또는 진단과 같은 개인 건강 정보를 볼 수 있습니다. PHI가 HIPAA에 따라 보호되는지 확인하는 것이 필수입니다.
- 인증되지 않은 웹페이지 : 이 페이지는 모든 사람에게 공개됩니다. 여기의 추적 도구는 일반적으로 PHI를 확인하지 못하므로 이러한 추적 기술의 사용은 HIPAA에 의해 규제되지 않습니다. 그러나 인증되지 않은 웹페이지의 추적 기술이 PHI에 접근할 수 있는 경우 HIPAA 준수는 필수입니다.
- 모바일 애플리케이션 : 기기 관련 데이터를 포함하여 사용자 세부 정보를 수집하는 HIPAA 규정에 따라 엔터티의 앱은 항상 HIPAA 지침을 준수해야 합니다.
추적 소프트웨어의 HIPAA 준수 사용을 위한 4가지 필수 규칙
새로운 규정에 따라 HIPAA 기관과 추적 기술 공급업체는 PHI를 처리하는 동안 규정을 준수하기 위해 다음 네 가지 규칙에 따라 행동해야 합니다.
규칙 1: HIPAA에서 허용하는 경우에만 추적 기술 공급업체와 환자 정보를 공유하십시오.
참고: 귀하의 회사가 추적 기술의 존재에 대해 개인정보 보호정책, 공지 또는 이용 약관을 통해 개인에게 알린다고 해서 귀하가 추적 공급업체에 PHI를 공개할 수 있다는 의미는 아닙니다.
HIPAA 규제 페이지 또는 애플리케이션에서 추적 기술을 사용하려면 다음 세 가지 조건 중 하나를 충족해야 합니다.
- 회사는 추적 공급업체와 PHI를 공유하기 전에 환자의 명확한 허가가 필요합니다. 단순히 사용자에게 웹사이트 쿠키를 허용하도록 요청하는 것은 적절한 권한으로 간주되지 않습니다.
- 특정 HIPAA 규칙에 따라 공유가 허용되거나 추적 공급업체가 회사의 비즈니스 제휴업체인 경우. 규칙 2를 참조하세요.
- 추적 기술 공급업체가 회사의 협력업체가 아니거나 HIPAA에서 허용하는 경우, 추적 기술 공급업체는 수신한 정보에서 PHI를 단순히 제거하거나 PHI를 저장하기 전에 PHI의 신원을 제거할 수 없습니다.
규칙 2: 추적 기술 공급업체와 BAA(Business Associate Agreement)를 체결하십시오.
추적 기술 공급업체가 환자 정보를 처리하는 경우 해당 공급업체와 서면 사업 제휴 계약(BAA)이 필요합니다. 이 계약에는 공급업체가 데이터를 보호하는 방법과 데이터로 수행할 수 있는 작업이 간략하게 설명되어 있어야 합니다.
두 가지 중요한 사항:
- 추적 기술은 비즈니스 제휴 정의를 충족해야 합니다.
- 추적 기술이나 회사가 BAA에 서명할 수 없거나 서명을 원하지 않는 경우 PHI 공개에는 개인의 승인이 필요합니다.
규칙 3: 관리적, 물리적, 기술적 보호 조치를 포함하는 위험 분석 및 위험 관리 프로세스를 수립합니다.
PHI의 보안을 보장하려면 HIPAA 적용 대상 기관과 추적 공급업체 모두 강력한 보안 조치를 채택해야 합니다.
- 추적 기술 공급업체로 전송되는 ePHI를 암호화합니다.
- 적절한 인증을 활성화하고 사용합니다.
- 데이터 거버넌스 관행(액세스 제어, 액세스 로그 등)을 확립합니다.
- 추적 기술 사용에 따른 위험을 정기적으로 확인하고 평가합니다.
규칙 4: 위반 알림 시스템을 마련하세요.
추적 기술로 인해 환자 정보가 무단으로 공유되는 경우 영향을 받는 환자 및 관련 당국에 알려야 합니다.
Google Analytics가 더 이상 HIPAA를 준수하지 않는 이유는 무엇입니까?
2022년 규정 변경 이전에도 Google Analytics는 기본적으로 HIPAA를 준수하는 도구가 아니었습니다. 규정을 준수하려면 사용자가 입력한 데이터에서 개인 식별 정보를 많이 조정하고 제거해야 했습니다.
2022년부터 Google에서는 Google Analytics가 새로운 HIPAA 요구 사항을 충족하지 않는다는 점을 공개적으로 선언하고 HIPAA가 적용되는 회사에 HIPAA가 적용되지 않는 페이지에서 Google Analytics를 엄격하게 사용할 것을 권고합니다. Google은 서비스와 관련하여 HHS에서 명시한 핵심 데이터 보안 표준 중 하나에 위배되는 비즈니스 제휴 계약을 제공하지 않습니다.
솔루션: Improvado를 사용한 HIPAA 안전 마케팅 분석
환자 데이터 수집 및 관리에 대한 규정은 점점 엄격해지고 있지만 데이터 분석을 배제하지는 않습니다.
Improvado는 데이터 관리 파이프라인, 마케팅 지출 및 ROI 분석을 포함하여 HIPAA 준수 마케팅 분석 제품군을 선보입니다.
Improvado 솔루션은 의료 마케팅 담당자에게 다음과 같은 질문에 대한 답변을 제공합니다.
- 어떤 채널이 최고의 결과를 낳나요?
- 가장 많은 문의와 약속을 유도하는 마케팅 캠페인이나 채널은 무엇입니까?
- 환자 확보, 참여 및 유지에 기여하는 마케팅 터치포인트는 무엇입니까?
- 블로그, 약속 알림 또는 웰니스 체크인의 청중 교육 자료에 더 잘 공감하는 것은 무엇입니까?
의료 및 웰빙에 대한 Improvado의 마케팅 분석은 Google Analytics의 중단으로 인한 공백을 완전히 메우는 HIPAA 준수 추적 솔루션인 Mixpanel을 기반으로 합니다. 이 솔루션은 사용자가 웹사이트 및 모바일 애플리케이션과 상호 작용하는 방식을 추적합니다. Improvado는 이 데이터를 CRM 시스템, 소셜 미디어 네트워크, 이메일 마케팅 플랫폼 등 다른 소스의 정보와 연결하여 전체 고객 여정을 매핑하고, 전환을 정확하게 파악하고, 각 접점이 수익 성장에 미치는 영향을 확인합니다. 마케터는 하나의 대시보드에서 세분화 수준을 조정하고, 채널 또는 지역 전반의 성과를 검토하고, 입찰 전략 및 교차 채널 ROI를 분석할 수 있습니다.
자체 분석을 강화하고 임시 마케팅 문의를 처리하기 위해 Improvado는 AI Assistant를 도입합니다. 이 마케팅 분석 부조종사를 통해 의료 마케팅 담당자는 데이터 분석가 없이도 성과 통찰력을 얻을 수 있습니다. 마케팅 담당자는 AI 도우미에게 쉬운 영어로 질문함으로써 교차 채널 분석을 자세히 조사하고 예산 진행 상황을 감독하며 데이터를 더 잘 탐색할 수 있습니다.
Improvado는 HIPAA 규정 준수를 어떻게 처리합니까?
Improvado는 다음을 포함하는 강력한 데이터 보안 프레임워크를 갖춘 HIPAA 준수 솔루션입니다.
- 데이터 전송 중과 저장 중에 견고한 암호화를 통해 데이터가 승인 없이 가로채거나 액세스하더라도 읽을 수 없으므로 침입자가 쓸모가 없게 됩니다.
- PHI 보호에 관한 절차와 책임을 설명하는 사업 제휴 계약(BAA)에 서명할 준비가 되어 있습니다. 계약의 개요는 일반적으로 고객이 작성하지만 도움이 필요한 경우 Improvado 정보 보안 및 개인 정보 보호 팀이 템플릿을 제공할 수 있습니다.
- 정기 감사 및 위험 평가 .
- 위반이 발생할 경우 모든 사례를 고객에게 즉시 알리고 잠재적인 피해를 완화하기 위한 위반 알림 절차입니다 .
- 더 이상 필요하지 않은 데이터를 처리하는 안전한 데이터 처리 프로토콜입니다.
Mixpanel은 각각 개정된 규정에 따라 HIPAA 준수를 유지하기 위해 앞서 설명한 모든 규칙을 따릅니다.
- Mixpanel은 BAA(Business Associate Agreement)를 제공합니다.
- 데이터 거버넌스 권한이 내장되어 있습니다. 즉, 계정 관리자가 데이터 액세스 및 공개를 제한할 수 있는 제어권을 갖습니다.
- 플랫폼은 데이터 마스킹을 지원합니다. 즉, 개인 식별 정보나 개인 의료 정보 데이터를 일반 식별자로 대체하여 마스킹할 수 있습니다.
- 전송 중인 데이터는 암호화되며, 데이터가 저장되어 있을 때는 강력한 암호화 규칙이 적용됩니다.
- PII 또는 PHI는 우선 Mixpanel로의 전송에서 제외될 수 있습니다. 이 플랫폼은 사용자 수준 데이터 내보내기 제어를 지원합니다. 즉, 마케팅 분석가는 사용자별로 Mixpanel에 전송되는 데이터를 정의할 수 있습니다.
- Mixpanel에는 위반이 의심되는 경우 이메일을 통해 72시간 이내에 고객에게 알리는 위반 알림 시스템이 마련되어 있습니다.
Improvado는 의료 및 웰니스 브랜드가 Google Analytics 데이터를 기반으로 구축된 분석에서 전환하고 안전하고 통찰력 있고 효율적인 데이터 분석의 힘을 계속 활용하여 성공적인 의료 마케팅 전략을 추진하도록 돕습니다. Improvado가 귀하의 요구 사항에 맞는 규정을 준수하고 효율적인 솔루션을 제공할 수 있는 방법에 대해 논의하기 위한 통화 일정을 예약하세요.