• Startseite
  • Artikel
  • Marketing
  • Der HIPAA-Unterschied: Wie Braze ein durchdachtes Engagement unterstützt und gleichzeitig geschützte Gesundheitsinformationen schützt

Der HIPAA-Unterschied: Wie Braze ein durchdachtes Engagement unterstützt und gleichzeitig geschützte Gesundheitsinformationen schützt

Veröffentlicht: 2020-02-21

Die Verbraucher von heute verlangen relevante Markenerlebnisse. Um starke Beziehungen aufzubauen, müssen Marken sicherstellen, dass sie auf eine Weise kommunizieren, die jeden Kunden als Individuum anspricht – und das gilt unabhängig davon, ob es sich bei dieser Marke um einen Einzelhändler oder im Gesundheitswesen handelt. Aber es gibt einen Haken: Während Daten ein wesentlicher Bestandteil dieser personalisierten Erfahrungen sind, ist es auch ein Thema, das für Verbraucher und Aufsichtsbehörden gleichermaßen sehr sensibel sein kann. Als Vermarkter kommen Sie heute um den Bedarf an Daten nicht herum, aber Sie können es sich auch nicht leisten, sie auf die leichte Schulter zu nehmen oder die Ihrer Marke anvertrauten Informationen nicht zu schützen und zu schützen.

All das gilt insbesondere für gesundheitsbezogene Daten. Da die von Gesundheits- und Fitnessmarken angebotenen digitalen Dienste weiter expandieren, wird die Notwendigkeit, Wege zu finden, um sensible Gesundheitsdaten sowohl zu nutzen als auch zu schützen, immer deutlicher. Während die Fähigkeit, durch Markenerlebnisse schnell Wert und Komfort zu bieten, das Leben der Menschen konkret verbessern kann – insbesondere in einem Bereich, der für seine langen Wartezeiten bekannt ist – ist es wichtig, die Daten, die diese Erfahrungen prägen, kompromisslos zu schützen.

Um dies für gesundheitsbezogene Marken zu ermöglichen, hat Braze die Erreichung und Aufrechterhaltung der HIPAA-Konformität für unsere Plattform priorisiert. Werfen wir einen Blick darauf, warum das wichtig ist, wie wir es möglich gemacht haben und was es für Vermarkter bedeutet.

Was ist HIPAA?

Die US-Regierung hat 1996 den Health Insurance Portability and Accountability Act (HIPAA) verabschiedet, um Regeln zu implementieren, die sicherstellen, dass Organisationen mit digitalem Zugriff auf die Gesundheitsinformationen von Kunden diese streng vertraulichen Informationen schützen. Diese Daten, die als geschützte Gesundheitsinformationen (PHI) bekannt sind, umfassen traditionelle medizinische Daten wie Gesundheitsakten und Testergebnisse sowie individuell identifizierbare Datenpunkte im Zusammenhang mit den Gesundheitsakten einer Person, wie Name, Kontonummer, Bilder, demografische Daten eines Patienten Informationen und mehr.

HIPAA ist nur für „Covered Entities“ vorgeschrieben, darunter:

  • Krankenkassen (HMOs, Betriebskrankenkassen, Medicare, Medicaid)
  • Gesundheitsdienstleister (Ärzte, Kliniken, Fachärzte, Apotheken)
  • Unternehmen für Gesundheitsdaten

Diese Organisationen arbeiten jedoch nicht im luftleeren Raum. HIPAA gestattet es betroffenen Unternehmen, PHI an andere Organisationen (bekannt als „Business Associates“) weiterzugeben, wenn dies zur Erfüllung gesundheitsbezogener Bedürfnisse oder Aktivitäten erforderlich ist. Diese Geschäftspartner müssen jedoch sicherstellen, dass sie die betreffenden PHI schützen und sie nur für die Zwecke verwenden, zu deren Unterstützung sie geteilt wurden, neben anderen Anforderungen, um HIPAA-konform zu sein.

Wie sieht die HIPAA-Compliance aus?

Im Allgemeinen müssen alle Marken, die digital geschützte Gesundheitsinformationen versenden, bestimmte physische, Netzwerk- und Prozesssicherheitsmaßnahmen einführen und befolgen, um die HIPAA-Konformität zu erfüllen. Damit ein Unternehmen HIPAA-konform ist, müssen seine Unterauftragsverarbeiter (jede Drittpartei, die die PHI im Namen der erfassten Einheit bearbeiten kann) im Allgemeinen ebenfalls HIPAA-konform sein. Dies bedeutet, dass der Unterauftragsverarbeiter strenge Anforderungen erfüllen muss, einschließlich, aber nicht beschränkt auf die folgenden:

  • Unterzeichnen Sie ein Business Associate Agreement (BAA), das besagt, dass sie die von HIPAA geforderten Sicherheits- und Datenschutzregeln einhalten
  • Führen Sie eine Risikoanalyse durch
  • Prüfen und verfolgen Sie Aktivitäten auf Hardware und Software, die PHI verarbeitet
  • Implementieren Sie einen Datensicherungsplan
  • Installieren Sie physische Sicherheitsvorkehrungen, um elektronische Informationssysteme zu schützen
  • Implementieren Sie Richtlinien und Verfahren, um die Einhaltung sicherzustellen

Es ist nicht einfach, HIPAA-konform zu werden – und es ist keine einmalige Sache. Es erfordert kontinuierliche Unterstützung, Wartung und Konzentration, insbesondere da das Gesetz im Laufe der Zeit aktualisiert wird.

HIPAA-Konformität und Löten

Heute sind Datenschutz und -sicherheit für Marken und Verbraucher gleichermaßen von wesentlicher Bedeutung. Um sicherzustellen, dass Braze-Kunden (und deren Kunden) PHI auf sichere Weise handhaben können, um sinnvolle, relevante Erfahrungen zu unterstützen, haben wir die HIPAA-Compliance – und Datenschutz und -sicherheit im Allgemeinen – zu einer Hauptpriorität für unser Unternehmen und unser Produkt gemacht .

Bei Braze bildete die Arbeit, die wir unternommen haben, um HIPAA-konform zu werden, die Grundlage unseres aktuellen Datensicherheitsansatzes.

„Die erste große formale Risikoanalyse, die wir durchgeführt haben, betraf HIPAA“, bemerkt Jon Hyman, Mitbegründer und CTO von Braze. „Wir haben einen Anwalt engagiert, der HIPAA studiert, und wir haben mit ihm zusammengearbeitet, um sicherzustellen, dass wir die Dinge gemäß den Anforderungen tun … [und] buchstäblich eine Risikoanalyse erstellt, in der wir ein Risikoregister potenzieller Bedrohungen und Schwachstellen hatten, die Kontrollen, die wir haben Ort, die Wahrscheinlichkeit von Problemen, die potenziellen Auswirkungen, wie die Behebung aussieht und wie unser Incident-Response-Team die Dinge angehen wird.“

Braze führte auch bedeutende infrastrukturbezogene Arbeiten durch. Zum einen haben wir einen separaten, HIPAA-fokussierten Cluster der Braze-Plattform für Marken geschaffen, die mit PHI zusammenarbeiten. Beim HIPAA-Cluster von Braze „melden Sie sich bei einer anderen URL an, und wenn Sie sich nicht in der Nicht-HIPAA-Umgebung befinden, erreichen Ihre SDKs eine völlig andere URL und einen anderen Satz von Servern“, sagt Hyman. „Ihre Datenbanken sind getrennt. Alles ist komplett getrennt. Es hat verschiedene Firewall-Regeln. Es verfügt über ein eigenes virtuelles Netzwerk. Es ist vollständig von den anderen Umgebungen in Braze getrennt, was vom Standpunkt der Isolation aus angenehm ist.“

Braze ist stolz darauf, HIPAA-konform zu sein, aber wir haben hier nicht aufgehört. Wir haben diese Maßnahmen kontinuierlich wiederholt und gehen über das hinaus, was gesetzlich vorgeschrieben ist. Beispielsweise haben wir zusätzliche Sicherheitsvorkehrungen für die Zwei-Faktor-Autorisierung, IP-Whitelisting für das Dashboard und unsere APIs, Kennwortablaufrichtlinien und Kennwortkomplexitätsregeln hinzugefügt.

HIPAA-Konformität bedeutet strenge Informationssicherheit für alle Braze-Kunden

Aber während die HIPAA-Konformität für Braze ein wichtiges Unterfangen war, ebnete es letztendlich den Weg für alles, was danach kam – tatsächlich haben wir 2018 auch unser SOC 2 Typ 2-Audit und die ISO 27001-Zertifizierung erfolgreich abgeschlossen und dann ein zweites Audit und eine zweite Zertifizierung abgeschlossen im vergangenen Jahr.

Der SOC 2-Standard, der vom American Institute of Certified Public Accountants (AICPA) überwacht wird, legt Compliance-Anforderungen für die Sicherheitskontrollen eines bestimmten Unternehmens fest. Diese Prüfung stellte sicher, dass Braze bereits strenge Informationssicherheitsrichtlinien und -verfahren eingeführt hatte. Darüber hinaus bestätigt unsere ISO 27001-Zertifizierung, dass Braze eine umfassende Bewertung von Sicherheitsrisiken durchgeführt hat und über ein Informationssicherheits-Managementsystem (ISMS) verfügt, das dem globalen Informationssicherheits-Managementstandard der International Organization for Standardization (ISO) entspricht.

„Die Art und Weise, wie HIPAA Braze vorschreibt, um für Marken zu arbeiten, die PHI verwenden, ist die Art und Weise, wie wir jetzt allgemein arbeiten“, erklärt Hyman. „Zum Beispiel erforderten administrative Sicherheitsvorkehrungen in HIPAA, dass wir eine Risikoanalyse durchführen, was wir auch taten. Aber das ist auch eine Anforderung für ISO 27001, wo Sie sicherstellen müssen, dass Ihr Informationssicherheits-Managementsystem hohen Standards entspricht. Und daraus folgt alles; sicherzustellen, dass wir über angemessene Kontrollen, effektive Prozesse für Dinge wie die Sperrung des Zugangs für Mitarbeiter, die ausscheiden, und einen Prozess für den allgemeinen Umgang mit sensiblen Daten verfügen.“

Nächste Schritte

Datenschutz und Sicherheit sind wichtig – jetzt mehr denn je. Mit einer Plattform, die sich der HIPAA-Konformität verschrieben hat, können Gesundheits- und Fitnessmarken den Kunden unvergessliche, relevante Erlebnisse bieten und gleichzeitig ihre Privatsphäre respektieren.

Um zu erfahren, wie eine personalisierte, HIPAA-konforme Kommunikationsstrategie den Wert Ihrer Marke steigert, sehen Sie sich an, wie HelpAround mit Braze die Kundenbindung von Apps steigert.