遵循新的 HHS 指南：Google Analytics 后的医疗保健营销

美国卫生与公众服务部 (HHS) 对 HIPAA 在线跟踪指南进行了修改，从而直接改变了医疗保健和健康品牌开展营销活动的方式。 随着 Google Analytics 不再被考虑，迅速重新调整营销堆栈的需求显着增长。 在这种不断变化的环境中，Improvado 提供量身定制的解决方案，确保品牌能够继续获得详细的营销见解，而不会影响新法规。

2022 年 HIPAA 法规有何变化？

最近的一项法律更新影响了受 HIPAA 监管的实体对 Google Analytics 等跟踪技术的使用，这些实体包括医生、心理学家、诊所、牙医、脊椎按摩师、疗养院、药房、健康保险公司以及任何处理医疗保健的中间人数据。 在健康供应商与团体健康计划结合运营或他们的服务包括健康信息处理的情况下，许多健康企业和替代从业者也可能属于医疗保健提供者类别。

根据新法规，受监管实体不得在未经适当授权的情况下使用跟踪技术，或以可能导致未经授权披露个人健康信息 (PHI) 的方式使用跟踪技术。

由于立法仅讨论处理 PHI 和 ePHI，因此 HIPAA 更新对网站上的各个页面的影响不同：

• 用户验证的网页：在这些页面上，用户先登录，然后才能访问网页，跟踪工具通常可以查看个人健康信息，例如电子邮件、IP 地址、预约日期甚至诊断。 必须确保 PHI 符合 HIPAA 的要求。
• 未经身份验证的网页：这些页面向所有人开放。 这里的跟踪工具通常看不到 PHI，这就是为什么此类跟踪技术的使用不受 HIPAA 监管。 但是，如果未经身份验证的网页上的跟踪技术可以访问 PHI，则必须遵守 HIPAA。
• 移动应用程序：来自受 HIPAA 监管的实体的应用程序，如果收集用户详细信息（包括特定于设备的数据），则必须始终遵守 HIPAA 准则。

符合 HIPAA 要求的跟踪软件使用的 4 条基本规则

根据新法规，HIPAA 实体和跟踪技术供应商必须按照以下四项规则行事，以在处理 PHI 时保持合规性。

规则 1：仅在 HIPAA 允许的情况下与跟踪技术供应商共享患者信息。

注意：您的公司在其隐私政策、通知或条款和条件中告知个人有关跟踪技术的存在这一事实并不意味着您可以向跟踪供应商披露 PHI。

要在 HIPAA 监管的页面或应用程序上使用跟踪技术，必须满足以下三个条件之一：

1. 在与跟踪供应商共享 PHI 之前，公司需要获得患者的明确许可。 仅仅要求用户接受网站 cookie 并不能算作适当的许可。
2. 特定 HIPAA 规则允许共享，或者跟踪供应商是您公司的业务伙伴。 参见规则 2。
3. 如果跟踪技术供应商不是您公司的业务伙伴或者 HIPAA 允许，则不允许跟踪技术供应商简单地从其收到的信息中删除 PHI 或在保存 PHI 之前取消 PHI 的标识。

规则 2：与跟踪技术供应商建立业务合作协议 (BAA)。

如果跟踪技术供应商处理患者信息，您需要与他们签订书面业务伙伴协议 (BAA)。 该协议应概述供应商将如何保护数据以及他们可以使用这些数据做什么。

两个重要注意事项：

1. 跟踪技术必须满足业务伙伴的定义。
2. 如果跟踪技术或公司无法/不想签署 BAA，则任何 PHI 披露都需要个人授权。

规则 3：建立风险分析和风险管理流程，包括行政、物理和技术保障措施。

为了确保 PHI 的安全，HIPAA 涵盖的实体和跟踪供应商都应采取强大的安全措施：

• 加密传输给跟踪技术供应商的 ePHI。
• 启用并使用适当的身份验证。
• 建立数据治理实践（访问控制、访问日志等）。
• 定期检查和评估使用跟踪技术的风险。

规则 4：建立违规通知系统。

如果由于跟踪技术而导致未经授权共享患者信息，您必须通知受影响的患者和相关机构。

为什么 Google Analytics 不再符合 HIPAA？

即使在 2022 年法规发生变化之前，Google Analytics 也不是一款开箱即用的符合 HIPAA 要求的工具。 为了保持合规性，需要进行大量调整并从用户输入的数据中删除个人身份信息。

从2022年开始，Google公开声明Google Analytics不满足新的HIPAA要求，并建议受HIPAA约束的公司严格在不受HIPAA覆盖的页面上使用Google Analytics。 谷歌不提供与其服务相关的商业伙伴协议，这违反了美国卫生与公众服务部规定的核心数据安全标准之一。

解决方案：使用 Improvado 进行 HIPAA 安全营销分析

关于患者数据收集和管理的规定越来越严格，但并不妨碍对数据进行分析。

Improvado 展示了其符合 HIPAA 的营销分析套件，包括数据管理管道以及营销支出和 ROI 分析。

Improvado 解决方案为医疗保健营销人员提供以下问题的答案：

• 什么渠道可以产生最好的结果？
• 哪些营销活动或渠道带来了最多的患者咨询和预约？
• 哪些营销接触点有助于患者获取、参与和保留？
• 还有什么比博客上的教育材料、预约提醒或健康检查更能引起受众的共鸣呢？

Improvado 的医疗保健和健康营销分析基于 Mixpanel，这是一种符合 HIPAA 要求的跟踪解决方案，完全填补了 Google Analytics 消亡所造成的空白。 该解决方案跟踪用户如何与您的网站和移动应用程序交互。 Improvado 将这些数据与其他来源的信息（无论是 CRM 系统、社交媒体网络还是电子邮件营销平台）连接起来，以绘制整个客户旅程、精确归因转化，并了解每个接触点对收入增长的影响。 营销人员可以调整粒度级别，检查跨渠道或地域的绩效，分析出价策略和跨渠道投资回报率，所有这些都在一个仪表板中完成。

为了增强自我分析能力并解决临时营销询问，Improvado 推出了人工智能助手。 该营销分析副驾驶使医疗保健营销人员无需数据分析师即可发现绩效见解。 通过用简单的英语向人工智能助手提问，营销人员可以深入研究跨渠道分析、监督预算节奏并更好地浏览数据。

Improvado 如何处理 HIPAA 合规性？

Improvado 是符合 HIPAA 标准的解决方案，具有强大的数据安全框架，包括

• 在数据传输期间和静止时进行可靠的加密，确保即使数据在未经授权的情况下被拦截或访问，也无法被入侵者读取，因此对入侵者来说毫无用处。
• 准备签署业务伙伴协议 (BAA)，该协议将概述有关 PHI 保护的程序和责任。 协议大纲通常来自客户，但如果您需要帮助，Improvado 信息安全和隐私团队可以提供模板。
• 定期审计和风险评估。
• 违规通知程序，以便在发生违规时及时通知客户任何情况并减轻任何潜在的损害。
• 安全数据处理协议可在不再需要数据时处理数据。

Mixpanel 分别遵循之前描述的所有规则，以根据修订后的法规保持 HIPAA 合规性：

• Mixpanel 提供业务伙伴协议 (BAA)。
• 它具有内置的数据治理权限，这意味着帐户管理员可以控制限制数据访问和披露。
• 该平台支持数据屏蔽，这意味着它可以通过用通用标识符替换来屏蔽个人身份信息或个人医疗保健信息数据。
• 传输中的数据经过加密，数据静止时应用强加密规则。
• 首先可以排除 PII 或 PHI 发送到 Mixpanel。 该平台支持用户级数据导出控制，这意味着营销分析师可以根据用户定义发送到 Mixpanel 的数据。
• Mixpanel 设有违规通知系统，可在可疑违规行为发生后 72 小时内通过电子邮件通知客户。

Improvado 帮助医疗保健和健康品牌从基于 Google Analytics 数据的分析中转向，并继续利用安全、富有洞察力和高效的数据分析的力量来推动成功的医疗保健营销策略。 安排电话讨论 Improvado 如何为您的需求提供合规且高效的解决方案。