La différence HIPAA : Comment Braze soutient un engagement réfléchi tout en protégeant les informations de santé protégées

Les consommateurs d'aujourd'hui exigent des expériences de marque pertinentes. Pour établir des relations solides, les marques doivent s'assurer qu'elles communiquent de manière à parler à chaque client en tant qu'individu, et cela est vrai que cette marque soit un détaillant ou dans le domaine de la santé. Mais il y a un hic : bien que les données soient une partie essentielle de ces expériences personnalisées, c'est aussi un sujet qui peut être très sensible pour les consommateurs et les régulateurs. Vous ne pouvez pas éviter le besoin de données en tant que spécialiste du marketing aujourd'hui, mais vous ne pouvez pas non plus vous permettre de les traiter à la légère ou de ne pas protéger et sauvegarder les informations qui ont été confiées à votre marque.

Tout cela est particulièrement vrai lorsqu'il s'agit de données relatives à la santé. Alors que les services numériques offerts par les marques de santé et de fitness continuent de se développer, la nécessité de trouver des moyens à la fois d'exploiter et de protéger les données sensibles liées à la santé est devenue de plus en plus évidente. Bien que la capacité à offrir rapidement de la valeur et de la commodité grâce aux expériences de marque puisse concrètement améliorer la vie des gens, en particulier dans un espace connu pour ses longs temps d'attente, il est important de protéger les données qui informent ces expériences sans compromis.

Pour rendre cela possible pour les marques liées à la santé, Braze a donné la priorité à la réalisation et au maintien de la conformité HIPAA pour notre plateforme. Voyons pourquoi cela est important, comment nous y sommes parvenus et ce que cela signifie pour les spécialistes du marketing.

Qu'est-ce que l'HIPAA ?

Le gouvernement américain a adopté la loi HIPAA (Health Insurance Portability and Accountability Act) en 1996 pour mettre en œuvre des règles garantissant que les organisations disposant d'un accès numérique aux informations de santé des clients protègent ces informations hautement confidentielles. Ces données, connues sous le nom d'informations de santé protégées (PHI), comprennent des données médicales traditionnelles, telles que des dossiers de santé et des résultats de tests, ainsi que des points de données d'identification individuelle liés aux dossiers de santé d'une personne, tels que le nom d'un patient, son numéro de compte, des images, des données démographiques informations, et plus encore.

HIPAA n'est obligatoire que pour les « entités couvertes », qui comprennent :

• Compagnies d'assurance maladie (HMO, plans de santé d'entreprise, Medicare, Medicaid)
• Prestataires de soins (médecins, cliniques, spécialistes, pharmacies)
• Entreprises de données de santé

Cependant, ces organisations ne fonctionnent pas dans le vide. L'HIPAA permet aux entités couvertes de divulguer les PHI à d'autres organisations (appelées « associés commerciaux ») si cela est nécessaire pour exécuter des besoins ou des activités liés aux soins de santé. Cependant, ces associés commerciaux doivent s'assurer qu'ils protègent les PHI en question, en les utilisant uniquement aux fins pour lesquelles ils ont été partagés, entre autres exigences, afin d'être conformes à la loi HIPAA.

À quoi ressemble la conformité HIPAA ?

En général, toutes les marques qui envoient des informations de santé numériques protégées doivent mettre en place et suivre certaines mesures de sécurité physiques, de réseau et de processus pour se conformer à la loi HIPAA. En outre, pour qu'une entreprise soit conforme à la loi HIPAA, ses sous-traitants ultérieurs (tout tiers susceptible de gérer les PHI au nom de l'entité couverte) doivent généralement également être conformes à la loi HIPAA. Cela signifie que le sous-traitant ultérieur doit respecter des exigences strictes, y compris, mais sans s'y limiter, les éléments suivants :

• Signer un accord d'associé commercial (BAA) qui stipule qu'ils adhèrent aux règles de sécurité et de confidentialité requises par HIPAA
• Réaliser une analyse de risque
• Auditer et suivre l'activité sur le matériel et les logiciels qui traitent les PHI
• Mettre en place un plan de sauvegarde des données
• Installer des sauvegardes physiques pour protéger les systèmes d'information électroniques
• Mettre en œuvre des politiques et des procédures pour assurer la conformité

Devenir conforme HIPAA n'est pas facile et ce n'est pas une affaire ponctuelle. Cela nécessite un soutien, une maintenance et une concentration continus, d'autant plus que la loi est mise à jour au fil du temps.

Conformité HIPAA et Braze

Aujourd'hui, la confidentialité et la sécurité des données font partie intégrante des marques et des consommateurs. Pour garantir que les clients de Braze (et leurs clients) peuvent gérer les PHI de manière sûre et sécurisée pour soutenir des expériences significatives et pertinentes, nous avons fait de la conformité HIPAA - et de la confidentialité et de la sécurité des données en général - une priorité majeure pour notre entreprise et notre produit. .

Chez Braze, le travail que nous avons effectué pour nous conformer à la loi HIPAA a constitué la base de notre approche actuelle de la sécurité des données.

"La première grande analyse de risque formelle que nous avons faite était pour HIPAA", note Jon Hyman, cofondateur et directeur technique de Braze. "Nous avons embauché un avocat qui étudie HIPAA et nous avons travaillé avec lui pour nous assurer que nous faisions les choses conformément à ce qui est requis… [et] littéralement construit une analyse des risques où nous avions un registre des risques des menaces et vulnérabilités potentielles, les contrôles que nous avons dans lieu, la probabilité de problèmes, l'impact potentiel, à quoi ressemble la remédiation et comment notre équipe de réponse aux incidents traitera les choses.

Braze a également réalisé d'importants travaux liés à l'infrastructure. D'une part, nous avons créé un cluster distinct, axé sur HIPAA, de la plate-forme Braze pour les marques travaillant avec PHI. Avec le cluster Braze HIPAA, "vous vous connectez à une URL différente, et si vous n'êtes pas dans l'environnement non-HIPAA, vos SDK accèdent à une URL totalement différente et à un ensemble de serveurs différent", explique Hyman. « Vos bases de données sont distinctes. Tout est complètement séparé. Il a différentes règles de pare-feu. Il a son propre réseau virtuel. Il est complètement séparé des autres environnements de Braze, ce qui est bien du point de vue de l'isolement.

Braze est fier d'être conforme à la loi HIPAA, mais nous ne nous sommes pas arrêtés là. Nous avons continué à itérer sur ces mesures, allant au-delà de ce qui est requis par la loi. Par exemple, nous avons ajouté des protections supplémentaires telles que l'autorisation à deux facteurs, la liste blanche d'adresses IP pour le tableau de bord et nos API, les politiques d'expiration des mots de passe et les règles de complexité des mots de passe.

La conformité HIPAA signifie une sécurité stricte des informations pour tous les clients de Braze

Mais alors que la conformité HIPAA était une entreprise majeure pour Braze, elle a fini par ouvrir la voie à tout ce qui a suivi. En fait, en 2018, nous avons également terminé avec succès notre audit SOC 2 Type 2 et notre certification ISO 27001, puis un deuxième audit et certification. l'année dernière.

La norme SOC 2, qui est supervisée par l'American Institute of Certified Public Accountants (AICPA), définit les exigences de conformité pour les contrôles de sécurité d'une entreprise donnée. Cet audit a permis de garantir que Braze avait déjà établi des politiques et des procédures strictes en matière de sécurité des informations. De plus, notre certification ISO 27001 affirme que Braze a effectué une évaluation complète des risques de sécurité et dispose d'un système de gestion de la sécurité de l'information (ISMS) conforme à la norme mondiale de gestion de la sécurité de l'information de l'Organisation internationale de normalisation (ISO).

"La façon dont HIPAA exige que Braze fonctionne pour les marques utilisant PHI est la façon dont nous fonctionnons maintenant à tous les niveaux", explique Hyman. « Par exemple, les garanties administratives de la loi HIPAA nous obligeaient à effectuer une analyse des risques, ce que nous avons fait. Mais c'est aussi une exigence de la norme ISO 27001, où vous devez vous assurer que votre système de gestion de la sécurité de l'information est conforme à des normes élevées. Et tout découle de cela; en veillant à ce que nous ayons des contrôles appropriés, des processus efficaces pour des choses comme la résiliation de l'accès aux employés qui partent et un processus de traitement des données sensibles à tous les niveaux.

Prochaines étapes

La confidentialité et la sécurité des données sont importantes, maintenant plus que jamais. Avec une plate-forme engagée dans la conformité HIPAA, les marques de santé et de fitness peuvent offrir des expériences mémorables et pertinentes aux clients tout en respectant leur vie privée.

Pour découvrir comment une stratégie de communication personnalisée et conforme à la loi HIPAA augmente la valeur de votre marque, découvrez comment HelpAround améliore la rétention des utilisateurs de l'application avec Braze.