HIPAA的年齡可能比你的實習生(甚至可能比你的一些員工)還大,所以雖然我們都在關注我們的數據保護規定多虧了GDPR,讓我們快速回顧一下HIPAA合規情況。
那麼,什麼是HIPAA?
HIPAA成立於1996年,主要是關於美國的組織。它代表《健康保險攜帶與責任法案》(Health Insurance Portability and Accountability Act),它製定了旨在確保有權訪問客戶健康信息的組織恰當地保護這些高度機密信息的規則。manbetx万博全站客户端
HIPAA與其他數據監管政策的區別是什麼?
PHI,不是PII
如果你和我們一樣,幾個月來你的腦子裏已經有了GDPR(如果你還沒有,也許可以看看我們的17這在監管方麵,宜早不宜晚)。GDPR就是關於PII,即個人身份信息.然而,HIPAA關注的是受保護的健康信息(PHI)。雖然這兩者之間有很多重疊,但PHI特別指的是健康提供者創建或接收到的與任何個人過去、現在或潛在的未來身體或精神健康狀況有關的任何信息。
讓我們再詳細分析一下。PHI包含了一些更明顯的元素,比如醫療記錄、測試結果、入院和出院日期——實際上就是你想象中的電視醫生在醫院床腳的剪貼板上尋找的任何東西。但它也指唯一的個人數據點,如患者的姓名、電子郵件地址、社會保險號、IP地址、賬號、圖像、人口統計信息等等。
簡而言之,任何可能暗示或暗示與個人有關的健康狀況的信息都應被視為受保護的健康信息。
適用於“承保實體”
與GDPR據稱影響全球80%的品牌不同,HIPAA僅對“覆蓋實體”強製執行。這個術語指的是:
- 健康保險公司(hmo,公司健康計劃,醫療保險,醫療補助)
- 衛生保健提供者(醫生、診所、專家、藥房)
- 健康數據公司
- 為上述任何一種提供服務的公司和個人,如計費公司、律師、會計師、IT團隊
的懲罰
像許多法規一樣,不遵守HIPAA會被罰款。然而,HIPAA的經濟處罰並不像你在其他一些法規中看到的那樣嚴厲,在大多數情況下,每年的罰款上限在150萬美元左右(與GDPR的2000萬歐元或年收入的4%相比!)
也就是說,在最嚴重的不合規案件中(那些組織未能糾正問題,並且有明顯的欺騙意圖的情況下),不合規公司的同謀個人可能麵臨最高5年監禁的刑事指控。是啊,這可不是鬧著玩的。
等等,那麼Braze是否符合HIPAA標準?
是的,我們是!雖然Braze不是受保實體,但我們員工、客戶及其客戶的安全對我們來說是至關重要的。manbetx万博全站客户端HIPAA與其他法規略有不同,因為它不要求所有子處理器都符合規定以保持自己的地位——當涉及到數據時,您必須使用變通方法(我們將在後麵討論)。
也就是說,Braze平台是建立在“設計安全”的概念上的。我們相信信任和透明,我們希望受HIPAA影響的客戶能夠選擇以最好和最安全的方式使用我們的技術來實現他們的業務manbetx万博全站客户端目標。
HIPAA在實踐中:那麼我能對我的客戶說什麼?manbetx万博全站客户端
這裏有一個有趣的經驗法則來理解在HIPAA下應該避免哪些類型的信息:假設你的客戶正在與他們的老板開會,或者更好的是,在共享屏幕上做演示。如果你的信息會讓他們在同事麵前畏縮(或者,簡單地說,會給他們的同事提供他們不想分享的個人信息),你可能就不應該發送它了。
不用擔心,覆蓋實體可以使用基本的個性化,隻要它不拉入PHI。此外,仍然有一些很好的工具可以用於有效的消息傳遞,同時保持HIPAA合規。
有意義的,合規的營銷技巧
作為提醒,我們不能為您提供任何法律建議。但這裏有一些技巧和技巧,我們看到一些客戶使用它們來為客戶提供更吸引人的體驗,而不通過我們的係統傳遞PHI:manbetx万博全站客户端
市場細分:
一些品牌選擇使用編碼分割或使用CSV,這樣他們就可以發送與特定客戶相關的信息,而不用告訴他們的技術人員,他們正在向具有某種傾向的人發送信息。manbetx万博全站客户端簡單地在你的內部係統中劃分客戶manbetx万博全站客户端,將他們標記為A/B/C或1/2/3或企鵝/長頸鹿/獨角獸(這被稱為假名信息),然後將該文件上傳到你的客戶參與平台。這樣,你仍然可以在不違反HIPAA的情況下,向預約了預約的人或即將參加年度考試的人發送相關信息。
橫跨海峽的消息傳遞:
你仍然可以使用橫跨海峽的消息,甚至可以圍繞用戶的活動進行複雜、協調的活動。畢竟,某人是否使用了推送通知並不是PHI。
但讓我們回到經驗法則測試。你是想在會議期間收到關於測試結果的推送通知,還是想在網上收到“專為你挑選的:成人痣顏色變化模式的新研究”的推送通知?可能不是。電子郵件可能是一個特別脆弱的渠道,太。想想看——你還擁有你的大學郵箱嗎?還是傳給了下一個(電子郵件保護)嗎?仔細考慮你使用什麼渠道來傳達哪些信息,這是確保你的客戶外聯被你試圖接觸的人視為有價值和合適的關鍵部分。
最後的想法嗎?
注意你選擇的渠道,總是把會議測試放在最重要的位置。至於你的信息,可以使用更通用的信息,比如:“嗨!有你的新消息。登錄患者門戶網站查看。”這樣,即使設備落入壞人之手,你的用戶仍然可以控製誰看到什麼信息