Postępowanie zgodnie z nowymi wytycznymi HHS: Marketing w opiece zdrowotnej opublikowany w Google Analytics

Opublikowany: 2023-10-26

Organizacja Health and Human Services (HHS) wprowadziła zmiany w wytycznych HIPAA dotyczących śledzenia w Internecie, powodując bezpośrednią zmianę w sposobie prowadzenia kampanii marketingowych marek z branży opieki zdrowotnej i dobrego samopoczucia. Ponieważ Google Analytics nie jest już dostępny, potrzeba szybkiej ponownej kalibracji stosu marketingowego znacznie wzrosła. W tym zmieniającym się środowisku Improvado oferuje dostosowane do potrzeb rozwiązanie, zapewniające markom ciągły dostęp do szczegółowych informacji marketingowych bez uszczerbku dla nowych przepisów.

Co zmieniło się w rozporządzeniu HIPAA w 2022 roku?

Niedawna aktualizacja prawa wpłynęła na korzystanie z technologii śledzenia, takiej jak Google Analytics, przez podmioty regulowane przez ustawę HIPAA, do których zaliczają się lekarze, psycholodzy, kliniki, dentyści, kręgarze, domy opieki, apteki, towarzystwa ubezpieczeń zdrowotnych i wszelkich pośredników zajmujących się przetwarzaniem opieki zdrowotnej dane. Wiele firm zajmujących się wellness i praktyków alternatywnych może również należeć do kategorii dostawców usług opieki zdrowotnej , w sytuacjach, gdy dostawcy usług wellness działają w powiązaniu z grupowymi planami zdrowotnymi lub jeśli ich usługi obejmują przetwarzanie informacji zdrowotnych.

Zgodnie z nowymi przepisami podmiotom regulowanym nie wolno korzystać z technologii śledzenia bez odpowiedniego zezwolenia lub w sposób prowadzący do nieuprawnionego ujawnienia osobistych informacji zdrowotnych (PHI).

Definicja technologii śledzenia HHS stwierdza, że:Technologia śledzenia to skrypt lub kod na stronie internetowej lub w aplikacji mobilnej, używany do gromadzenia informacji o użytkownikach podczas interakcji z witryną lub aplikacją mobilną.Po zebraniu informacji za pomocą technologii śledzenia ze stron internetowych lub aplikacji mobilnych są one następnie analizowane przez właścicieli witryny lub aplikacji mobilnej lub strony trzecie w celu uzyskania wglądu w działania użytkowników online.

Ponieważ przepisy mówią wyłącznie o obsłudze PHI i ePHI, aktualizacja ustawy HIPAA wpływa w różny sposób na różne strony witryny:

  • Strony internetowe uwierzytelniane przez użytkownika : na tych stronach użytkownicy logują się, zanim będą mogli uzyskać dostęp do strony internetowej, a narzędzia śledzące zazwyczaj mogą przeglądać informacje o zdrowiu osobistym, takie jak adres e-mail, adres IP, daty spotkań, a nawet diagnozę. Należy koniecznie upewnić się, że PHI są zabezpieczone zgodnie z ustawą HIPAA.
  • Nieuwierzytelnione strony internetowe : te strony są otwarte dla wszystkich. Narzędzia do śledzenia zwykle nie widzą PHI, dlatego korzystanie z takich technologii śledzenia nie jest regulowane przez ustawę HIPAA. Jeśli jednak technologie śledzenia na nieuwierzytelnionych stronach internetowych mają dostęp do PHI, przestrzeganie ustawy HIPAA jest obowiązkowe.
  • Aplikacje mobilne : aplikacje podmiotów objętych przepisami ustawy HIPAA, które gromadzą dane użytkownika, w tym dane specyficzne dla urządzenia, muszą zawsze przestrzegać wytycznych ustawy HIPAA.

4 Podstawowe zasady korzystania z oprogramowania śledzącego zgodnego z ustawą HIPAA

W oparciu o nowe przepisy podmioty objęte ustawą HIPAA i dostawcy technologii śledzenia muszą postępować zgodnie z następującymi czterema zasadami, aby zachować zgodność podczas postępowania z PHI.

Zasada 1: Udostępniaj informacje o pacjencie dostawcom technologii śledzenia tylko wtedy, gdy zezwala na to ustawa HIPAA.

Uwaga: fakt, że Twoja firma informuje poszczególne osoby w swojej polityce prywatności, zawiadomieniu lub regulaminie o obecności technologii śledzenia, nie oznacza, że ​​możesz ujawniać PHI dostawcom usług śledzenia.

Aby móc korzystać z technologii śledzenia na stronach lub w aplikacjach podlegających regulacjom ustawy HIPAA, musi zostać spełniony jeden z trzech warunków:

  1. Przed udostępnieniem PHI dostawcy usług śledzenia firma potrzebuje wyraźnej zgody pacjenta. Samo proszenie użytkowników o akceptację plików cookie witryny nie liczy się jako prawidłowe pozwolenie.
  2. Udostępnianie jest dozwolone na mocy określonej zasady HIPAA lub dostawca usług śledzących jest partnerem biznesowym Twojej firmy. Zobacz zasadę 2.
  3. Dostawca technologii śledzenia nie może po prostu usuwać PHI z otrzymywanych informacji ani pozbawiać identyfikacji PHI przed ich zapisaniem, jeśli sprzedawca nie jest partnerem biznesowym Twojej firmy lub jest to dozwolone przez ustawę HIPAA.

Mówiąc najprościej, wszelkie działania związane z danymi osobowymi dotyczącymi zdrowia są dozwolone tylko wtedy, gdy zezwala na to ustawa HIPAA; jeśli sprzedawca jest Twoim partnerem biznesowym; lub jeśli pacjent udzielił Twojej firmie wyraźnej zgody na przetwarzanie jego danych.

Zasada 2: Zawrzyj umowę o współpracy biznesowej (BAA) z dostawcą technologii śledzenia.

Jeśli dostawca technologii śledzenia przetwarza dane pacjentów, musisz zawrzeć z nim pisemną umowę o współpracy biznesowej (BAA). Umowa ta powinna określać, w jaki sposób dostawca będzie chronić dane i co może z nimi zrobić.

Dwie ważne uwagi:

  1. Technologia śledzenia musi spełniać definicję partnera biznesowego.
  2. Jeśli technologia śledzenia lub firma nie może/nie chce podpisać umowy BAA, ujawnienie PHI wymaga zgody poszczególnych osób.

Definicja partnera biznesowego HHS jest następująca:Partner biznesowy to osoba lub podmiot wykonujący określone funkcje lub działania, które obejmują wykorzystanie lub ujawnienie chronionych informacji zdrowotnych w imieniu podmiotu objętego ubezpieczeniem lub świadczy na jego rzecz usługi.Członek personelu podmiotu objętego umową nie jest wspólnikiem biznesowym.

Zasada 3: Ustanów analizę ryzyka i procesy zarządzania ryzykiem, które obejmują zabezpieczenia administracyjne, fizyczne i techniczne.

Aby zapewnić bezpieczeństwo PHI, zarówno podmioty objęte ustawą HIPAA, jak i dostawcy usług śledzenia powinni zastosować solidne środki bezpieczeństwa:

  • Szyfruj ePHI przesyłane do dostawcy technologii śledzenia.
  • Włącz i używaj odpowiedniego uwierzytelniania.
  • Ustanów praktyki zarządzania danymi (kontrola dostępu, dzienniki dostępu itp.).
  • Regularnie sprawdzaj i oceniaj ryzyko związane ze stosowaniem technologii śledzących.

Zasada 4: Posiadaj system powiadamiania o naruszeniach.

W przypadku nieuprawnionego udostępnienia danych pacjenta ze względu na technologie śledzenia należy powiadomić dotkniętych pacjentów i odpowiednie władze.

Dlaczego Google Analytics nie jest już zgodny z ustawą HIPAA?

Jeszcze przed zmianami przepisów w 2022 r. Google Analytics od razu po wyjęciu z pudełka nie był narzędziem zgodnym z ustawą HIPAA. Zachowanie zgodności wymagało wielu poprawek i usunięcia danych osobowych z danych wprowadzonych przez użytkownika.

Począwszy od 2022 roku Google otwarcie oświadczył, że Google Analytics nie spełnia nowych wymagań ustawy HIPAA i zaleca firmom podlegającym tej ustawie, aby korzystały z Google Analytics wyłącznie na stronach, które nie są objęte ustawą HIPAA. Google nie oferuje umów o partnerstwie biznesowym w związku ze swoimi usługami, co jest sprzeczne z jednym z podstawowych standardów bezpieczeństwa danych określonych przez HHS.

Rozwiązanie: Analityka marketingowa zgodna z HIPAA z Improvado

Przepisy dotyczące gromadzenia i zarządzania danymi pacjentów są coraz bardziej rygorystyczne, ale nie wykluczają analizy danych.

Improvado przedstawia swój pakiet analityki marketingowej zgodny z HIPAA, obejmujący zarządzanie potokiem danych oraz wydatki marketingowe i analizę ROI.

Rozwiązanie Improvado zapewnia marketerom opieki zdrowotnej odpowiedzi na pytania takie jak:

  • Jaki kanał daje najlepsze rezultaty?
  • Które kampanie lub kanały marketingowe generują najwięcej zapytań i wizyt pacjentów?
  • Które marketingowe punkty styku przyczyniają się do pozyskiwania, zaangażowania i utrzymania pacjentów?
  • Co lepiej przemawia do odbiorców dzięki materiałom edukacyjnym na blogu, przypomnieniom o spotkaniach czy wizytom lekarskim?

Analityka marketingowa Improvado dotycząca opieki zdrowotnej i dobrego samopoczucia opiera się na Mixpanel, rozwiązaniu śledzącym zgodnym z ustawą HIPAA, które w pełni wypełnia pustkę spowodowaną upadkiem Google Analytics. Rozwiązanie śledzi interakcję użytkowników z Twoimi witrynami i aplikacjami mobilnymi. Improvado łączy te dane z informacjami z innych źródeł, niezależnie od tego, czy jest to system CRM, sieć mediów społecznościowych czy platforma e-mail marketingu, aby zmapować całą podróż klienta, precyzyjnie przypisać konwersje i zobaczyć wpływ każdego punktu kontaktu na wzrost przychodów. Marketerzy mogą dostosowywać poziom szczegółowości i badać skuteczność w różnych kanałach lub lokalizacjach geograficznych, analizować strategie ustalania stawek i ROI w wielu kanałach, a wszystko to w jednym panelu.

Aby usprawnić samoanalizę i sprostać doraźnym zapytaniom marketingowym, Improvado wprowadza Asystenta AI. Ten drugi pilot analityki marketingowej umożliwia specjalistom ds. marketingu w branży opieki zdrowotnej odkrywanie spostrzeżeń dotyczących wydajności bez konieczności korzystania z analityków danych. Zadając pytania Asystentowi AI prostym językiem, marketerzy mogą zagłębić się w analitykę międzykanałową, nadzorować tempo realizacji budżetu i lepiej poruszać się po danych.

Ostatecznie, dzięki wykorzystaniu Improvado, Twój zespół marketingowy będzie miał rozwiązanie zgodne z ustawą HIPAA do śledzenia spotkań pochodzących z reklam w mediach społecznościowych, marketingu e-mailowego lub kampanii w płatnym wyszukiwaniu, uruchamiania kampanii remarketingowych zgodnych z przepisami dotyczącymi prywatności HIPAA i ciągłego poprawiania wyników marketingowych.

Jak Improvado radzi sobie ze zgodnością z HIPAA?

Improvado to rozwiązanie zgodne z ustawą HIPAA, które ma solidne ramy bezpieczeństwa danych, w tym

  • Solidne szyfrowanie zarówno podczas przesyłania danych, jak i w stanie spoczynku gwarantuje, że nawet jeśli dane zostaną przechwycone lub uzyskany do nich dostęp bez autoryzacji, będą nieczytelne, a zatem bezużyteczne dla intruza.
  • Gotowość do podpisania umowy o partnerstwie biznesowym (BAA) , która określi procedury i obowiązki dotyczące ochrony PHI. Zarys umowy zwykle pochodzi od klienta, ale jeśli potrzebujesz pomocy, zespół ds. bezpieczeństwa informacji i prywatności Improvado może udostępnić wzór.
  • Regularne audyty i oceny ryzyka .
  • Procedury powiadamiania o naruszeniach mające na celu niezwłoczne powiadamianie klientów o wszelkich przypadkach i ograniczanie potencjalnych szkód w przypadku wystąpienia naruszenia.
  • Bezpieczny protokół usuwania danych do obsługi danych, gdy nie są już potrzebne.

Odpowiednio Mixpanel przestrzega wszystkich zasad opisanych wcześniej, aby zachować zgodność z HIPAA zgodnie ze zmienionymi przepisami:

  • Mixpanel oferuje umowę partnerską biznesową (BAA).
  • Ma wbudowane prawa do zarządzania danymi, co oznacza, że ​​administratorzy kont mają kontrolę nad ograniczaniem dostępu do danych i ich ujawniania.
  • Platforma obsługuje maskowanie danych, co oznacza, że ​​może maskować dane osobowe lub dane dotyczące opieki zdrowotnej, zastępując je ogólnym identyfikatorem.
  • Przesyłane dane są szyfrowane, a gdy dane są w spoczynku, stosowane są silne reguły szyfrowania.
  • PII lub PHI można w pierwszej kolejności wykluczyć z przesyłania do Mixpanel. Platforma obsługuje kontrolę eksportu danych na poziomie użytkownika, co oznacza, że ​​analitycy marketingu mogą definiować, jakie dane będą wysyłane do Mixpanel dla poszczególnych użytkowników.
  • Mixpanel posiada system powiadamiania o naruszeniach, który powiadamia klientów w ciągu 72 godzin o podejrzeniu naruszenia za pośrednictwem poczty elektronicznej.

Improvado pomaga markom z branży opieki zdrowotnej i wellness przejść od analiz opartych na danych Google Analytics i nadal wykorzystywać moc bezpiecznych, wnikliwych i wydajnych analiz danych w celu opracowania skutecznych strategii marketingowych związanych z opieką zdrowotną. Umów się na rozmowę, aby omówić, w jaki sposób Improvado może zapewnić zgodne i wydajne rozwiązanie odpowiadające Twoim potrzebom.

Szukasz rozwiązania do analityki marketingowej zgodnego z ustawą HIPAA? Zrównoważ statystyki danych dotyczących opieki zdrowotnej i opiekę regulacyjną dzięki Improvado.

Dziękuję! Twoje zgłoszenie zostało odebrane!
Ups! Coś poszło nie tak podczas przesyłania formularza.