Perbedaan HIPAA: Bagaimana Braze Mendukung Keterlibatan yang Bijaksana Sambil Menjaga Informasi Kesehatan yang Dilindungi

Konsumen saat ini menuntut pengalaman merek yang relevan. Untuk membangun hubungan yang kuat, merek perlu memastikan bahwa mereka berkomunikasi dengan cara yang berbicara kepada setiap pelanggan sebagai individu—dan itu benar apakah merek itu adalah pengecer atau di bidang perawatan kesehatan. Namun ada satu hal yang menarik: Meskipun data merupakan bagian penting dari pengalaman yang dipersonalisasi ini, data juga merupakan subjek yang bisa sangat sensitif bagi konsumen dan regulator. Anda tidak dapat menghindari kebutuhan akan data sebagai pemasar saat ini, tetapi Anda juga tidak dapat memperlakukannya dengan enteng, atau gagal melindungi dan menjaga informasi yang telah dipercayakan kepada merek Anda.

Semua itu terutama benar jika menyangkut data yang berhubungan dengan kesehatan. Karena layanan digital yang ditawarkan oleh merek kesehatan dan kebugaran terus berkembang, kebutuhan untuk menemukan cara untuk memanfaatkan dan melindungi data sensitif terkait kesehatan menjadi semakin jelas. Meskipun kemampuan untuk memberikan nilai dan kenyamanan dengan cepat melalui pengalaman merek dapat secara nyata meningkatkan kehidupan orang—terutama di tempat yang dikenal dengan waktu tunggu yang lama—penting untuk melindungi data yang menginformasikan pengalaman tersebut tanpa kompromi.

Untuk memungkinkan merek terkait kesehatan, Braze memprioritaskan pencapaian dan mempertahankan kepatuhan HIPAA untuk platform kami. Mari kita lihat mengapa hal itu penting, bagaimana kami mewujudkannya, dan apa artinya bagi pemasar.

Apa itu HIPAA?

Pemerintah AS mengesahkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) pada tahun 1996 untuk menerapkan aturan yang memastikan bahwa organisasi dengan akses digital ke informasi kesehatan pelanggan melindungi informasi yang sangat rahasia itu. Data ini, yang dikenal sebagai Protected Health Information (PHI), mencakup data medis tradisional, seperti catatan kesehatan dan hasil tes, serta titik data pengenal individu yang terkait dengan catatan kesehatan seseorang, seperti nama pasien, nomor rekening, gambar, demografi. informasi, dan lainnya.

HIPAA diamanatkan hanya untuk "Entitas Tercakup", yang meliputi:

• Perusahaan asuransi kesehatan (HMO, rencana kesehatan perusahaan, Medicare, Medicaid)
• Penyedia layanan kesehatan (dokter, klinik, spesialis, apotek)
• Perusahaan data kesehatan

Namun, organisasi-organisasi ini tidak beroperasi di ruang hampa. HIPAA mengizinkan Entitas Tercakup untuk mengungkapkan PHI kepada organisasi lain (dikenal sebagai “Rekan Bisnis”) jika hal itu diperlukan untuk melaksanakan kebutuhan atau kegiatan terkait perawatan kesehatan. Namun, Rekan Bisnis ini harus memastikan bahwa mereka melindungi PHI yang dipermasalahkan, menggunakannya hanya untuk tujuan yang dibagikan untuk mendukung, di antara persyaratan lainnya, agar sesuai dengan HIPAA.

Seperti Apa Kepatuhan HIPAA?

Secara umum, semua merek yang mengirim informasi kesehatan digital yang dilindungi harus melembagakan dan mengikuti langkah-langkah keamanan fisik, jaringan, dan proses tertentu untuk memenuhi kepatuhan HIPAA. Selain itu, agar perusahaan mematuhi HIPAA, sub-pemroses mereka (pihak ketiga mana pun yang dapat menangani PHI atas nama Entitas Tercakup) umumnya juga harus mematuhi HIPAA. Ini berarti sub-pemroses harus mematuhi persyaratan ketat termasuk, namun tidak terbatas pada, sebagai berikut:

• Menandatangani Perjanjian Asosiasi Bisnis (BAA) yang menyatakan bahwa mereka mematuhi aturan keamanan dan privasi yang disyaratkan oleh HIPAA
• Lakukan analisis risiko
• Audit dan lacak aktivitas pada perangkat keras dan perangkat lunak yang memproses PHI
• Terapkan rencana pencadangan data
• Pasang pengaman fisik untuk melindungi sistem informasi elektronik
• Menerapkan kebijakan dan prosedur untuk memastikan kepatuhan

Menjadi sesuai dengan HIPAA tidak mudah—dan ini bukan kesepakatan satu kali. Ini membutuhkan dukungan, pemeliharaan, dan fokus yang berkelanjutan, terutama karena undang-undang tersebut diperbarui dari waktu ke waktu.

Kepatuhan dan Braze HIPAA

Saat ini, privasi dan keamanan data merupakan bagian integral bagi merek dan konsumen. Untuk memastikan bahwa pelanggan Braze (dan pelanggan mereka) dapat menangani PHI dengan cara yang aman dan terjamin untuk mendukung pengalaman yang relevan dan bermakna, kami telah menjadikan kepatuhan HIPAA—serta privasi dan keamanan data secara umum—sebagai prioritas utama bagi perusahaan dan produk kami .

Di Braze, pekerjaan yang kami lakukan untuk menjadi sesuai dengan HIPAA menjadi dasar pendekatan keamanan data kami saat ini.

“Analisis risiko formal besar pertama yang kami lakukan adalah untuk HIPAA,” catat Jon Hyman, Cofounder dan CTO Braze. “Kami menyewa seorang pengacara yang mempelajari HIPAA dan kami bekerja dengannya untuk memastikan bahwa kami melakukan hal-hal sesuai dengan apa yang diperlukan…[dan] secara harfiah membangun analisis risiko di mana kami memiliki daftar risiko potensi ancaman dan kerentanan, kontrol yang kami miliki di tempat, kemungkinan masalah, dampak potensial, seperti apa perbaikannya, dan bagaimana tim respons insiden kami akan menangani berbagai hal.”

Braze juga menyelesaikan pekerjaan terkait infrastruktur yang signifikan. Untuk satu, kami membuat klaster platform Braze yang berfokus pada HIPAA untuk merek yang bekerja dengan PHI. Dengan cluster Braze HIPAA, “Anda masuk ke URL yang berbeda, dan jika Anda tidak berada di lingkungan non-HIPAA, SDK Anda mencapai URL yang sama sekali berbeda dan set server yang berbeda,” kata Hyman. “Database Anda terpisah. Semuanya benar-benar terpisah. Ini memiliki aturan firewall yang berbeda. Ini memiliki jaringan virtual sendiri. Ini benar-benar terpisah dari lingkungan lain dalam Braze, yang bagus dari sudut pandang isolasi.

Braze bangga menjadi sesuai dengan HIPAA, tetapi kami tidak berhenti di situ. Kami terus mengulangi langkah-langkah ini, melampaui apa yang diwajibkan oleh hukum. Misalnya, kami telah menambahkan perlindungan tambahan dari otorisasi dua faktor, daftar putih IP untuk dasbor dan API kami, kebijakan kedaluwarsa kata sandi, dan aturan kerumitan kata sandi.

Kepatuhan HIPAA Berarti Keamanan Informasi Yang Ketat Untuk Semua Pelanggan Braze

Namun, meskipun kepatuhan HIPAA merupakan upaya besar bagi Braze, hal itu akhirnya membuka jalan bagi segala hal yang terjadi setelahnya—bahkan, pada tahun 2018, kami juga berhasil menyelesaikan audit SOC 2 Tipe 2 dan sertifikasi ISO 27001, kemudian menyelesaikan audit dan sertifikasi kedua. dalam setahun terakhir.

Standar SOC 2, yang diawasi oleh American Institute of Certified Public Accountants (AICPA), menetapkan persyaratan kepatuhan untuk kontrol keamanan perusahaan tertentu. Audit ini memastikan Braze telah menetapkan kebijakan dan prosedur keamanan informasi yang ketat. Selain itu, sertifikasi ISO 27001 kami menegaskan bahwa Braze telah melakukan penilaian risiko keamanan yang komprehensif dan memiliki Sistem Manajemen Keamanan Informasi (ISMS) yang sesuai dengan standar manajemen keamanan informasi global Organisasi Internasional untuk Standardisasi (ISO).

“Cara HIPAA mengharuskan Braze beroperasi untuk merek yang menggunakan PHI adalah cara kami sekarang beroperasi secara menyeluruh,” jelas Hyman. “Misalnya, pengamanan administratif di HIPAA mengharuskan kami melakukan analisis risiko, yang kami lakukan. Tapi itu juga persyaratan untuk ISO 27001, di mana Anda harus memastikan sistem manajemen keamanan informasi Anda sesuai dengan standar tinggi. Dan semuanya mengikuti dari itu; memastikan bahwa kami memiliki kontrol yang tepat, proses yang efektif untuk hal-hal seperti penghentian akses ke karyawan yang keluar, dan proses untuk menangani data sensitif secara menyeluruh.”

Langkah selanjutnya

Privasi dan keamanan data penting—sekarang lebih dari sebelumnya. Dengan platform yang berkomitmen pada kepatuhan HIPAA, merek kesehatan dan kebugaran dapat memberikan pengalaman yang berkesan dan relevan kepada pelanggan sambil tetap menghormati privasi mereka.

Untuk mengetahui bagaimana strategi komunikasi yang dipersonalisasi dan sesuai dengan HIPAA meningkatkan nilai merek Anda, lihat bagaimana HelpAround meningkatkan retensi pengguna aplikasi dengan Braze.