Следование новым рекомендациям HHS: пост о маркетинге в сфере здравоохранения в Google Analytics

Опубликовано: 2023-10-26

Служба здравоохранения и социальных служб (HHS) внесла изменения в рекомендации HIPAA по онлайн-отслеживанию, что привело к прямым изменениям в том, как бренды здравоохранения и благополучия проводят маркетинговые кампании. Поскольку Google Analytics больше не обсуждается, необходимость в быстрой перекалибровке маркетингового стека значительно возросла. В этой меняющейся среде Improvado предлагает индивидуальное решение, гарантирующее, что бренды смогут продолжать получать доступ к подробной маркетинговой информации без ущерба для новых правил.

Что изменилось в регламенте HIPAA в 2022 году?

Недавнее обновление закона повлияло на использование технологий отслеживания, таких как Google Analytics, организациями, регулируемыми HIPAA, в том числе врачами, психологами, клиниками, стоматологами, мануальными терапевтами, домами престарелых, аптеками, компаниями медицинского страхования и любыми посредниками, занимающимися обработкой медицинских услуг. данные. Многие оздоровительные предприятия и альтернативные практики могут также подпадать под категорию поставщиков медицинских услуг в ситуациях, когда поставщики велнес-услуг работают совместно с групповыми планами медицинского страхования или если их услуги включают обработку медицинской информации.

В соответствии с новыми правилами регулируемым организациям не разрешается использовать технологии отслеживания без надлежащего разрешения или способами, которые могут привести к несанкционированному раскрытию личной медицинской информации (PHI).

Определение технологии отслеживания HHS гласит:Технология отслеживания — это сценарий или код на веб-сайте или в мобильном приложении, используемый для сбора информации о пользователях при их взаимодействии с веб-сайтом или мобильным приложением.После того как информация собирается с помощью технологий отслеживания с веб-сайтов или мобильных приложений, она затем анализируется владельцами веб-сайта или мобильного приложения или третьими лицами, чтобы получить представление об активности пользователей в Интернете.

Поскольку в законодательстве говорится исключительно об обработке PHI и ePHI, обновление HIPAA по-разному влияет на различные страницы сайта:

  • Веб-страницы с аутентификацией пользователя : на этих страницах пользователи входят в систему до того, как смогут получить доступ к веб-странице, а инструменты отслеживания обычно могут просматривать личную медицинскую информацию, такую ​​​​как адрес электронной почты, IP-адрес, даты приема или даже диагноз. Необходимо обеспечить защиту PHI в соответствии с HIPAA.
  • Неаутентифицированные веб-страницы : эти страницы открыты для всех. Инструменты отслеживания здесь обычно не видят PHI, поэтому использование таких технологий отслеживания не регулируется HIPAA. Однако если технологии отслеживания на веб-страницах без аутентификации имеют доступ к закрытой медицинской информации, соблюдение HIPAA является обязательным.
  • Мобильные приложения . Приложения от организаций, подпадающих под регулирование HIPAA, которые собирают сведения о пользователях, включая данные, относящиеся к устройству, должны всегда соответствовать рекомендациям HIPAA.

4 основных правила использования программного обеспечения для отслеживания, соответствующего требованиям HIPAA

В соответствии с новыми правилами организации HIPAA и поставщики технологий отслеживания должны действовать в соответствии со следующими четырьмя правилами, чтобы соблюдать требования при работе с закрытой медицинской информацией.

Правило 1. Передавайте информацию о пациентах поставщикам технологий отслеживания только в том случае, если это разрешено HIPAA.

Примечание. Тот факт, что ваша компания информирует отдельных лиц в своей политике конфиденциальности, уведомлении или условиях использования о наличии технологии отслеживания, не означает, что вам разрешено раскрывать закрытую медицинскую информацию поставщикам средств отслеживания.

Чтобы использовать технологию отслеживания на страницах или приложениях, регулируемых HIPAA, должно быть выполнено одно из этих трех условий:

  1. Прежде чем передавать PHI поставщику услуг по отслеживанию, компании необходимо получить четкое разрешение пациента. Простая просьба пользователей принять файлы cookie веб-сайта не считается надлежащим разрешением.
  2. Совместное использование разрешено определенным правилом HIPAA, или поставщик отслеживания является деловым партнером вашей компании. Смотри правило 2.
  3. Поставщику технологии отслеживания не разрешается просто удалять ЗМИ из полученной информации или деидентифицировать ЗМИ перед ее сохранением, если поставщик не является деловым партнером вашей компании или это разрешено HIPAA.

Проще говоря, любые действия с личной медицинской информацией разрешены только в том случае, если это разрешено HIPAA; если продавец является вашим деловым партнером; или если пациент дал вашей компании четкое разрешение на обработку его данных.

Правило 2. Заключите соглашение о деловом партнерстве (BAA) с поставщиком технологии отслеживания.

Если поставщик технологии отслеживания обрабатывает информацию о пациентах, вам необходимо заключить с ним письменное соглашение о деловом сотрудничестве (BAA). В этом соглашении должно быть указано, как поставщик будет защищать данные и что ему разрешено с ними делать.

Два важных замечания:

  1. Технология отслеживания должна соответствовать определению делового партнера.
  2. Если технология отслеживания или компания не могут/не хотят подписывать BAA, любое раскрытие закрытой медицинской информации требует разрешения отдельных лиц.

Определение делового партнера, данное HHS, следующее: Деловой партнер — это физическое или юридическое лицо, которое выполняет определенные функции или действия, которые включают использование или раскрытие защищенной медицинской информации от имени застрахованной организации или предоставляет ей услуги.Сотрудник предприятия, на которое распространяется действие страховки, не является деловым партнером.

Правило 3: Установите процессы анализа рисков и управления рисками, включающие административные, физические и технические меры безопасности.

Чтобы гарантировать безопасность PHI, как субъекты, подпадающие под действие HIPAA, так и поставщики средств отслеживания должны принять надежные меры безопасности:

  • Зашифруйте ePHI, передаваемую поставщику технологии отслеживания.
  • Включите и используйте соответствующую аутентификацию.
  • Установите методы управления данными (контроль доступа, журналы доступа и т. д.).
  • Регулярно проверяйте и оценивайте риски использования технологий отслеживания.

Правило 4: Имейте систему уведомления о нарушениях.

Если из-за технологий отслеживания произошел несанкционированный обмен информацией о пациентах, вы должны уведомить затронутых пациентов и соответствующие органы.

Почему Google Analytics больше не соответствует требованиям HIPAA?

Даже до внесения изменений в правила в 2022 году Google Analytics не был инструментом, соответствующим требованиям HIPAA, сразу после установки. Чтобы соответствовать требованиям, потребовалось немало изменений и удаление личной информации из вводимых пользователем данных.

Начиная с 2022 года Google открыто заявил, что Google Analytics не соответствует новым требованиям HIPAA, и рекомендует компаниям, на которые распространяется действие HIPAA, использовать Google Analytics исключительно на страницах, не подпадающих под действие HIPAA. Google не предлагает соглашения о деловых партнерствах в отношении своих услуг, что противоречит одному из основных стандартов безопасности данных, установленных HHS.

Решение: Маркетинговая аналитика, безопасная по HIPAA, с Improvado

Правила сбора и обработки данных о пациентах становятся более строгими, но они не препятствуют анализу данных.

Improvado представляет свой пакет маркетинговой аналитики, соответствующий требованиям HIPAA, включая конвейер управления данными, расходы на маркетинг и анализ рентабельности инвестиций.

Решение Improvado дает маркетологам здравоохранения ответы на такие вопросы, как:

  • Какой канал дает лучшие результаты?
  • Какие маркетинговые кампании или каналы привлекают наибольшее количество запросов и встреч?
  • Какие маркетинговые точки соприкосновения способствуют привлечению, вовлечению и удержанию пациентов?
  • Что лучше находит отклик у аудитории: образовательные материалы в блоге, напоминания о встречах или оздоровительные проверки?

Маркетинговая аналитика Improvado в сфере здравоохранения и хорошего самочувствия основана на Mixpanel, решении для отслеживания, соответствующем требованиям HIPAA, которое полностью заполняет пустоту, возникшую в результате упадка Google Analytics. Решение отслеживает, как пользователи взаимодействуют с вашими веб-сайтами и мобильными приложениями. Improvado связывает эти данные с информацией из других источников, будь то CRM-система, сеть социальных сетей или платформа электронного маркетинга, чтобы составить карту всего пути клиента, точно определить конверсии и увидеть влияние каждой точки взаимодействия на рост доходов. Маркетологи могут регулировать уровень детализации, анализировать эффективность по каналам или регионам, анализировать стратегии назначения ставок и рентабельность инвестиций в разных каналах — и все это на одной панели.

Для расширения возможностей самоанализа и решения специальных маркетинговых запросов Improvado представляет AI Assistant. Этот второй пилотный проект маркетинговой аналитики позволяет маркетологам здравоохранения получать ценную информацию о производительности без необходимости использования аналитиков данных. Задавая вопросы AI Assistant на простом английском языке, маркетологи могут углубляться в межканальную аналитику, контролировать соблюдение бюджета и лучше ориентироваться в своих данных.

В конечном итоге, используя Improvado, ваша маркетинговая команда получит решение, совместимое с HIPAA, для отслеживания встреч, которые приходят с помощью рекламы в социальных сетях, маркетинга по электронной почте или платных поисковых кампаний, запуска кампаний ремаркетинга, соответствующих правилам конфиденциальности HIPAA, и постоянного улучшения вашей маркетинговой эффективности.

Как Improvado обеспечивает соответствие требованиям HIPAA?

Improvado — это решение, соответствующее требованиям HIPAA, с надежной системой защиты данных, включая

  • Надежное шифрование как во время передачи данных, так и во время их хранения гарантирует, что даже если данные будут перехвачены или доступны без авторизации, они будут нечитаемы и, следовательно, бесполезны для злоумышленника.
  • Готовность подписать Соглашение о деловом партнерстве (BAA) , в котором будут определены процедуры и обязанности в отношении защиты PHI. Схема соглашения обычно исходит от клиента, но если вам понадобится помощь, команда Improvado по информационной безопасности и конфиденциальности может предоставить шаблон.
  • Регулярные проверки и оценки рисков .
  • Процедуры уведомления о нарушениях , позволяющие оперативно уведомлять клиентов о любых случаях и минимизировать любой потенциальный ущерб в случае возникновения нарушения.
  • Протокол безопасного удаления данных для обработки данных, когда они больше не нужны.

Mixpanel, соответственно, следует всем правилам, описанным ранее, чтобы оставаться совместимым с HIPAA в соответствии с пересмотренными правилами:

  • Mixpanel предлагает Соглашение о деловом партнерстве (BAA).
  • Он имеет встроенные права управления данными, что означает, что администраторы учетных записей могут контролировать ограничение доступа и раскрытия данных.
  • Платформа поддерживает маскирование данных, то есть она может маскировать личную информацию или данные личной медицинской информации, заменяя ее общим идентификатором.
  • Передаваемые данные шифруются, а строгие правила шифрования применяются, когда данные находятся в состоянии покоя.
  • PII или PHI можно вообще исключить из отправки в Mixpanel. Платформа поддерживает контроль экспорта данных на уровне пользователя, что означает, что маркетологи могут определять, какие данные отправляются в Mixpanel для каждого пользователя.
  • Mixpanel имеет систему уведомлений о нарушениях, которая уведомляет клиентов в течение 72 часов о предполагаемом нарушении по электронной почте.

Improvado помогает брендам в сфере здравоохранения и велнеса перейти от аналитики, основанной на данных Google Analytics, и продолжать использовать возможности безопасной, глубокой и эффективной аналитики данных для реализации успешных маркетинговых стратегий в сфере здравоохранения. Запланируйте звонок, чтобы обсудить, как Improvado может предоставить совместимое и эффективное решение для ваших нужд.

Ищете решение для маркетинговой аналитики, соответствующее требованиям HIPAA? Сбалансируйте понимание медицинских данных и нормативную помощь с помощью Improvado.

Спасибо! Ваша заявка получена!
Упс! Что-то пошло не так при отправке формы.