Seguindo as novas diretrizes do HHS: marketing de saúde após o Google Analytics

Publicados: 2023-10-26

O Health and Human Services (HHS) introduziu alterações nas orientações da HIPAA sobre rastreamento online, provocando uma mudança direta na forma como as marcas de saúde e bem-estar executam campanhas de marketing. Com o Google Analytics agora fora de questão, a necessidade de recalibrar a pilha de marketing rapidamente cresceu significativamente. Neste ambiente em mudança, a Improvado oferece uma solução personalizada, garantindo que as marcas possam continuar a aceder a informações de marketing detalhadas sem comprometer as novas regulamentações.

O que mudou no regulamento HIPAA em 2022?

Uma atualização recente da lei afetou o uso de tecnologia de rastreamento como o Google Analytics por entidades regulamentadas pela HIPAA, que inclui médicos, psicólogos, clínicas, dentistas, quiropráticos, lares de idosos, farmácias, seguradoras de saúde e qualquer intermediário que lide com o processamento de cuidados de saúde. dados. Muitas empresas de bem-estar e profissionais alternativos também podem enquadrar-se na categoria de prestadores de cuidados de saúde , em situações em que os fornecedores de bem-estar operam em conjunto com planos de saúde de grupo ou se os seus serviços incluírem o tratamento de informações de saúde.

De acordo com os novos regulamentos, as entidades regulamentadas não estão autorizadas a utilizar tecnologias de rastreio sem a devida autorização ou de formas que possam levar a divulgações não autorizadas de informações pessoais de saúde (PHI).

A definição HHS de tecnologia de rastreamento afirma que:Uma tecnologia de rastreamento é um script ou código em um site ou aplicativo móvel usado para coletar informações sobre os usuários à medida que eles interagem com o site ou aplicativo móvel.Depois que as informações são coletadas por meio de tecnologias de rastreamento de sites ou aplicativos móveis, elas são analisadas pelos proprietários do site ou aplicativo móvel, ou por terceiros, para criar insights sobre as atividades online dos usuários.

Como a legislação fala apenas sobre o tratamento de PHI e ePHI, a atualização da HIPAA afeta diversas páginas do site de maneira diferente:

  • Páginas da web autenticadas pelo usuário : nessas páginas, os usuários fazem login antes de poder acessar a página da web, e as ferramentas de rastreamento geralmente podem visualizar informações pessoais de saúde, como e-mail, endereço IP, datas de consultas ou até mesmo diagnóstico. É fundamental garantir que as PHI sejam protegidas de acordo com a HIPAA.
  • Páginas da web não autenticadas : essas páginas estão abertas a todos. As ferramentas de rastreamento aqui geralmente não veem PHI, é por isso que o uso de tais tecnologias de rastreamento não é regulamentado pela HIPAA. No entanto, se as tecnologias de rastreamento em páginas da web não autenticadas tiverem acesso a PHI, a adesão à HIPAA será obrigatória.
  • Aplicativos móveis : os aplicativos de entidades sob a regulamentação da HIPAA que coletam detalhes do usuário, incluindo dados específicos do dispositivo, devem sempre aderir às diretrizes da HIPAA.

4 regras essenciais para uso de software de rastreamento em conformidade com HIPAA

Com base nas novas regulamentações, as entidades HIPAA e os fornecedores de tecnologia de rastreamento devem agir de acordo com as quatro regras a seguir para permanecerem em conformidade ao lidar com PHI.

Regra 1: Compartilhe informações de pacientes com fornecedores de tecnologia de rastreamento somente se isso for permitido pela HIPAA.

Observação: o fato de sua empresa informar indivíduos em sua política de privacidade, aviso ou termos e condições sobre a presença de tecnologia de rastreamento não significa que você tem permissão para divulgar PHI a fornecedores de rastreamento.

Para usar a tecnologia de rastreamento em páginas ou aplicativos regulamentados pela HIPAA, uma destas três condições deve ser atendida:

  1. Antes de compartilhar PHI com um fornecedor de rastreamento, uma empresa precisa da permissão clara do paciente. Simplesmente pedir aos usuários que aceitem cookies do site não conta como permissão adequada.
  2. O compartilhamento é permitido por uma regra específica da HIPAA ou um fornecedor de rastreamento é um parceiro comercial da sua empresa. Consulte a regra 2.
  3. Um fornecedor de tecnologia de rastreamento não tem permissão para simplesmente remover PHI das informações que recebe ou desidentificar as PHI antes de salvá-las, se o fornecedor não for um associado comercial de sua empresa ou se isso for permitido pela HIPAA.

Simplificando, qualquer ação com informações pessoais de saúde só é permitida se for permitida pela HIPAA; se um fornecedor for seu parceiro comercial; ou se um paciente deu permissão clara à sua empresa para processar seus dados.

Regra 2: Estabeleça um Acordo de Parceria Comercial (BAA) com um fornecedor de tecnologia de rastreamento.

Se um fornecedor de tecnologia de rastreamento lida com informações de pacientes, você precisa de um Acordo de Associação Comercial (BAA) por escrito com ele. Este acordo deve descrever como o fornecedor protegerá os dados e o que poderá fazer com eles.

Duas notas importantes:

  1. Uma tecnologia de rastreamento deve atender à definição de associado comercial.
  2. Se uma tecnologia de rastreamento ou uma empresa não puder/não quiser assinar o BAA, qualquer divulgação de PHI exigirá autorizações individuais.

A definição do HHS de associado comercial é a seguinte: Um associado comercial é uma pessoa ou entidade que desempenha determinadas funções ou atividades que envolvem o uso ou divulgação de informações de saúde protegidas em nome de, ou presta serviços a, uma entidade coberta.Um membro da força de trabalho da entidade coberta não é um associado comercial.

Regra 3: Estabelecer processos de análise e gestão de riscos que incluam salvaguardas administrativas, físicas e técnicas.

Para garantir que as PHI sejam seguras, tanto as entidades cobertas pela HIPAA quanto os fornecedores de rastreamento devem adotar medidas de segurança robustas:

  • Criptografe o ePHI que é transmitido ao fornecedor da tecnologia de rastreamento.
  • Habilite e use a autenticação apropriada.
  • Estabelecer práticas de governança de dados (controle de acesso, logs de acesso, etc.).
  • Verifique e avalie regularmente os riscos do uso de tecnologias de rastreamento.

Regra 4: Tenha um sistema de notificação de violação em vigor.

Se houver um compartilhamento não autorizado de informações do paciente devido a tecnologias de rastreamento, você deverá notificar os pacientes afetados e as autoridades relevantes.

Por que o Google Analytics não é mais compatível com HIPAA?

Mesmo antes das mudanças na regulamentação de 2022, o Google Analytics não era uma ferramenta compatível com HIPAA desde o início. Foram necessários muitos ajustes e remoção das informações de identificação pessoal dos dados inseridos pelo usuário para permanecer em conformidade.

A partir de 2022, o Google declarou abertamente que o Google Analytics não atende aos novos requisitos da HIPAA e aconselha as empresas sujeitas à HIPAA a usar o Google Analytics estritamente em páginas que não são cobertas pela HIPAA. O Google não oferece Contratos de Parceria Comercial em conexão com seu serviço, o que vai contra um dos principais padrões de segurança de dados declarados pelo HHS.

Solução: análise de marketing segura para HIPAA com Improvado

As regulamentações sobre a recolha e gestão de dados de pacientes estão a tornar-se mais rigorosas, mas não impedem a análise dos dados.

A Improvado apresenta seu conjunto de análise de marketing compatível com HIPAA, incluindo pipeline de gerenciamento de dados e gastos com marketing e análise de ROI.

A solução Improvado fornece aos profissionais de marketing de saúde respostas para perguntas como:

  • Qual canal produz os melhores resultados?
  • Quais campanhas ou canais de marketing estão gerando mais consultas e consultas de pacientes?
  • Quais pontos de contato de marketing contribuem para a aquisição, envolvimento e retenção de pacientes?
  • O que repercute melhor no público: materiais educacionais no blog, lembretes de compromissos ou check-ins de bem-estar?

A análise de marketing da Improvado para saúde e bem-estar é baseada no Mixpanel, uma solução de rastreamento compatível com HIPAA que preenche totalmente a lacuna causada pelo fim do Google Analytics. A solução rastreia como os usuários interagem com seus sites e aplicativos móveis. O Improvado conecta esses dados com informações de outras fontes, seja um sistema de CRM, uma rede de mídia social ou uma plataforma de email marketing, para mapear toda a jornada do cliente, atribuir conversões com precisão e ver o impacto de cada ponto de contato no crescimento da receita. Os profissionais de marketing podem ajustar o nível de granularidade e examinar o desempenho entre canais ou regiões geográficas, analisar estratégias de lances e ROI entre canais, tudo em um único painel.

Para capacitar a autoanálise e lidar com consultas de marketing ad hoc, o Improvado apresenta o AI Assistant. Este copiloto de análise de marketing permite que os profissionais de marketing de saúde descubram insights de desempenho sem a necessidade de analistas de dados. Ao fazer perguntas ao AI Assistant em inglês simples, os profissionais de marketing podem se aprofundar na análise entre canais, supervisionar o ritmo do orçamento e navegar melhor em seus dados.

Em última análise, ao aproveitar o Improvado, sua equipe de marketing terá uma solução compatível com HIPAA para rastrear compromissos provenientes de anúncios em mídias sociais, marketing por e-mail ou campanhas de pesquisa paga, lançar campanhas de remarketing que atendam aos regulamentos de privacidade da HIPAA e melhorar continuamente seu desempenho de marketing.

Como o Improvado lida com a conformidade com HIPAA?

O Improvado é uma solução compatível com HIPAA que possui uma estrutura robusta de segurança de dados, incluindo

  • A criptografia sólida , tanto durante a transferência de dados quanto em repouso, garante que mesmo que os dados sejam interceptados ou acessados ​​sem autorização, eles serão ilegíveis e, portanto, inúteis para o invasor.
  • Disponibilidade para assinar um Acordo de Parceria Comercial (BAA) que delineará procedimentos e responsabilidades em relação à proteção de PHI. O esboço do contrato geralmente vem de um cliente, mas caso você precise de assistência, a equipe de segurança da informação e privacidade da Improvado pode fornecer um modelo.
  • Auditorias regulares e avaliações de risco .
  • Procedimentos de notificação de violação para notificar prontamente os clientes sobre quaisquer ocorrências e mitigar qualquer dano potencial, caso ocorra uma violação.
  • Protocolo seguro de descarte de dados para lidar com dados quando eles não forem mais necessários.

O Mixpanel, respectivamente, segue todas as regras descritas anteriormente para permanecer em conformidade com a HIPAA de acordo com os regulamentos revisados:

  • Mixpanel oferece um Acordo de Associação Comercial (BAA).
  • Possui direitos integrados de governança de dados, o que significa que os administradores de contas têm controle para limitar o acesso e a divulgação de dados.
  • A plataforma suporta mascaramento de dados, o que significa que pode mascarar informações pessoais identificáveis ​​ou dados pessoais de saúde, substituindo-os por um identificador genérico.
  • Os dados em trânsito são criptografados e regras de criptografia rígidas são aplicadas quando os dados estão em repouso.
  • PII ou PHI podem ser excluídos do envio para o Mixpanel em primeiro lugar. A plataforma oferece suporte ao controle de exportação de dados em nível de usuário, o que significa que os analistas de marketing podem definir quais dados estão sendo enviados ao Mixpanel usuário por usuário.
  • Mixpanel possui um sistema de notificação de violação que notifica os clientes dentro de 72 horas sobre uma suspeita de violação por e-mail.

A Improvado ajuda marcas de saúde e bem-estar a dinamizar a partir de análises baseadas em dados do Google Analytics e a continuar aproveitando o poder da análise de dados segura, criteriosa e eficiente para impulsionar estratégias de marketing de saúde bem-sucedidas. Agende uma ligação para discutir como o Improvado pode fornecer uma solução compatível e eficiente para suas necessidades.

Procurando uma solução de análise de marketing compatível com HIPAA? Equilibre insights de dados de saúde e cuidados regulatórios com o Improvado.

Obrigado! Sua submissão foi recebida!
Ops! Algo deu errado ao enviar o formulário.