遵循新的 HHS 指南:Google Analytics 後的醫療保健行銷

已發表: 2023-10-26

美國衛生與公眾服務部 (HHS) 對 HIPAA 線上追蹤指南進行了修改,直接改變了醫療保健和健康品牌進行行銷活動的方式。 隨著 Google Analytics 不再被考慮,迅速重新調整行銷堆疊的需求顯著成長。 在這種不斷變化的環境中,Improvado 提供量身定制的解決方案,確保品牌能夠繼續獲得詳細的行銷見解,而不會影響新法規。

2022 年 HIPAA 法規有何變化?

最近的一項法律更新影響了受HIPAA 監管的實體對Google Analytics 等追蹤技術的使用,這些實體包括醫生、心理學家、診所、牙醫、脊椎按摩師、療養院、藥房、健康保險公司以及任何處理醫療保健的中間人數據。 在健康供應商與團體健康計劃結合營運或他們的服務包括健康資訊處理的情況下,許多健康企業和替代從業者也可能屬於醫療保健提供者類別。

根據新法規,受監管實體不得在未經適當授權的情況下使用追蹤技術,或以可能導致未經授權披露個人健康資訊 (PHI) 的方式使用追蹤技術。

HHS 對追蹤技術的定義指出:追蹤技術是網站或行動應用程式上的腳本或程式碼,用於收集使用者與網站或行動應用程式互動時的資訊。透過網站或行動應用程式的追蹤技術收集資訊後,網站或行動應用程式的所有者或第三方會對其進行分析,以深入了解用戶的線上活動。

由於立法僅討論處理 PHI 和 ePHI,因此 HIPAA 更新對網站上的各個頁面的影響不同:

  • 使用者驗證的網頁:在這些頁面上,使用者先登錄,然後才能訪問網頁,追蹤工具通常可以查看個人健康資訊,例如電子郵件、IP 位址、預約日期甚至診斷。 必須確保 PHI 符合 HIPAA 的要求。
  • 未經身份驗證的網頁:這些頁面向所有人開放。 這裡的追蹤工具通常看不到 PHI,這就是為什麼此類追蹤技術的使用不受 HIPAA 監管。 但是,如果未經身份驗證的網頁上的追蹤技術可以存取 PHI,則必須遵守 HIPAA。
  • 行動應用程式:來自受 HIPAA 監管的實體的應用程序,如果收集使用者詳細資訊(包括特定於裝置的資料),則必須始終遵守 HIPAA 準則。

符合 HIPAA 要求的追蹤軟體所使用的 4 條基本規則

根據新法規,HIPAA 實體和追蹤技術供應商必須按照以下四項規則行事,以在處理 PHI 時保持合規性。

規則 1:僅在 HIPAA 允許的情況下與追蹤技術供應商共享患者資訊。

注意:您的公司在其隱私權政策、通知或條款和條件中告知個人有關追蹤技術的存在這一事實並不意味著您可以向追蹤供應商揭露 PHI。

要在 HIPAA 監管的頁面或應用程式上使用追蹤技術,必須滿足以下三個條件之一:

  1. 在與追蹤供應商共享 PHI 之前,公司需要獲得患者的明確許可。 僅僅要求使用者接受網站 cookie 並不能算作適當的許可。
  2. 特定 HIPAA 規則允許共享,或追蹤供應商是您公司的業務夥伴。 參見規則 2。
  3. 如果追蹤技術供應商不是您公司的業務夥伴或 HIPAA 允許,則不允許追蹤技術供應商簡單地從其收到的資訊中刪除 PHI 或在保存 PHI 之前取消 PHI 的識別。

簡而言之,只有在 HIPAA 允許的情況下,才允許對個人健康資訊進行任何操作; 供應商是否為您的業務夥伴; 或患者是否明確允許您的公司處理其數據。

規則 2:與追蹤技術供應商建立業務合作協議 (BAA)。

如果追蹤技術供應商處理病患訊息,您需要與他們簽訂書面業務夥伴協議 (BAA)。 該協議應概述供應商將如何保護資料以及他們可以使用這些資料做什麼。

兩個重要注意事項:

  1. 追蹤技術必須滿足業務夥伴的定義。
  2. 如果追蹤技術或公司無法/不想簽署 BAA,則任何 PHI 揭露都需要個人授權。

HHS 對業務夥伴的定義如下:業務夥伴是指代表所涵蓋的實體執行涉及使用或揭露受保護的健康資訊或向其提供服務的某些職能或活動的個人或實體。所涵蓋實體的員工不是業務夥伴。

規則 3:建立風險分析和風險管理流程,包括行政、實體和技術保障措施。

為了確保 PHI 的安全,HIPAA 涵蓋的實體和追蹤供應商都應採取強大的安全措施:

  • 加密傳輸給追蹤技術供應商的 ePHI。
  • 啟用並使用適當的身份驗證。
  • 建立資料治理實務(存取控制、存取日誌等)。
  • 定期檢查和評估使用追蹤技術的風險。

規則 4:建立違規通知系統。

如果由於追蹤技術而導致未經授權共享患者信息,您必須通知受影響的患者和相關機構。

為什麼 Google Analytics 不再符合 HIPAA?

即使在 2022 年法規變更之前,Google Analytics 也不是一款開箱即用的符合 HIPAA 要求的工具。 為了保持合規性,需要進行大量調整併從使用者輸入的資料中刪除個人識別資訊。

從2022年開始,Google公開聲明Google Analytics不符合新的HIPAA要求,並建議受HIPAA約束的公司嚴格在不受HIPAA覆蓋的頁面上使用Google Analytics。 谷歌不提供與其服務相關的商業夥伴協議,這違反了美國衛生與公眾服務部規定的核心資料安全標準之一。

解決方案:使用 Improvado 進行 HIPAA 安全行銷分析

關於病患資料收集和管理的規定越來越嚴格,但並不妨礙對資料進行分析。

Improvado 展示了其符合 HIPAA 的行銷分析套件,包括資料管理管道以及行銷支出和 ROI 分析。

Improvado 解決方案為醫療保健行銷人員提供以下問題的答案:

  • 什麼管道可以產生最好的結果?
  • 哪些行銷活動或管道帶來了最多的病患諮詢和預約?
  • 哪些行銷接觸點有助於病人取得、參與和保留?
  • 還有什麼比部落格上的教育材料、預約提醒或健康檢查更能引起受眾的共鳴呢?

Improvado 的醫療保健和健康行銷分析是基於 Mixpanel,這是一個符合 HIPAA 要求的追蹤解決方案,完全填補了 Google Analytics 消亡所造成的空白。 該解決方案可追蹤用戶如何與您的網站和行動應用程式互動。 Improvado 將這些資料與其他來源的資訊(無論是 CRM 系統、社群媒體網路還是電子郵件行銷平台)連接起來,以繪製整個客戶旅程、精確歸因轉化,並了解每個接觸點對收入成長的影響。 行銷人員可以調整細微度級別,檢查跨通路或地理區域的績效,分析出價策略和跨通路投資回報率,所有這些都在一個儀表板中完成。

為了增強自我分析能力並解決臨時行銷詢問,Improvado 推出了人工智慧助理。 此行銷分析副駕駛使醫療保健行銷人員無需數據分析師即可發現績效見解。 透過用簡單的英語向人工智慧助理提問,行銷人員可以深入研究跨渠道分析、監督預算節奏並更好地瀏覽數據。

最終,透過利用Improvado,您的行銷團隊將擁有符合HIPAA 要求的解決方案,以追蹤來自社群媒體廣告、電子郵件行銷或付費搜尋活動的預約,啟動符合HIPAA 隱私法規的再行銷活動,並持續提升您的營銷績效。

Improvado 如何處理 HIPAA 合規性?

Improvado 是符合 HIPAA 標準的解決方案,具有強大的資料安全框架,包括

  • 在資料傳輸期間和靜止時進行可靠的加密,確保即使資料在未經授權的情況下被攔截或訪問,也無法被入侵者讀取,因此對入侵者來說毫無用處。
  • 準備簽署業務夥伴協議 (BAA),該協議將概述有關 PHI 保護的程序和責任。 協議大綱通常來自客戶,但如果您需要協助,Improvado 資訊安全和隱私團隊可以提供範本。
  • 定期審計和風險評估
  • 違規通知程序,以便在發生違規時及時通知客戶任何情況並減輕任何潛在的損害。
  • 安全資料處理協定可在不再需要資料時處理資料。

Mixpanel 分別遵循先前描述的所有規則,以根據修訂後的法規保持 HIPAA 合規性:

  • Mixpanel 提供業務夥伴協議 (BAA)。
  • 它具有內建的資料治理權限,這意味著帳戶管理員可以控制限制資料存取和揭露。
  • 該平台支援資料屏蔽,這意味著它可以透過以通用識別碼替換來屏蔽個人識別資訊或個人醫療保健資訊資料。
  • 傳輸中的資料經過加密,資料靜止時會應用強加密規則。
  • 首先可以排除 PII 或 PHI 發送到 Mixpanel。 該平台支援用戶級資料匯出控制,這意味著行銷分析師可以根據用戶定義發送到 Mixpanel 的資料。
  • Mixpanel 設有違規通知系統,可在可疑違規行為發生後 72 小時內透過電子郵件通知客戶。

Improvado 幫助醫療保健和健康品牌從基於 Google Analytics 數據的分析中轉向,並繼續利用安全、富有洞察力和高效的數據分析的力量來推動成功的醫療保健行銷策略。 安排電話討論 Improvado 如何為您的需求提供合規且有效率的解決方案。

正在尋求符合 HIPAA 的行銷分析解決方案? 利用 Improvado 平衡醫療保健數據洞察和監管關懷。

謝謝你! 您的提交已收到!
哎呀! 提交表單時出現問題。