A diferença da HIPAA: como o Braze apoia o envolvimento ponderado enquanto protege as informações de saúde protegidas

Publicados: 2020-02-21

Os consumidores de hoje exigem experiências de marca relevantes. Para construir relacionamentos fortes, as marcas precisam garantir que estejam se comunicando de maneira que falem com cada cliente como um indivíduo - e isso é verdade, seja uma marca varejista ou no espaço da saúde. Mas há um problema: embora os dados sejam uma parte essencial dessas experiências personalizadas, também são um assunto que pode ser muito sensível para consumidores e reguladores. Você não pode evitar a necessidade de dados como profissional de marketing hoje, mas também não pode se dar ao luxo de tratá-los com leviandade ou deixar de proteger e salvaguardar as informações que foram confiadas à sua marca.

Tudo isso é especialmente verdadeiro quando se trata de dados relacionados à saúde. À medida que os serviços digitais oferecidos pelas marcas de saúde e fitness continuam a se expandir, a necessidade de encontrar maneiras de alavancar e proteger dados confidenciais relacionados à saúde tornou-se cada vez mais clara. Embora a capacidade de fornecer valor e conveniência rapidamente por meio de experiências de marca possa melhorar concretamente a vida das pessoas, especialmente em um espaço conhecido por seus longos tempos de espera, é importante proteger os dados que informam essas experiências sem comprometer.

Para tornar isso possível para marcas relacionadas à saúde, a Braze priorizou alcançar e manter a conformidade com HIPAA para nossa plataforma. Vejamos por que isso é importante, como fizemos isso acontecer e o que isso significa para os profissionais de marketing.

O que é HIPAA?

O governo dos EUA aprovou o Health Insurance Portability and Accountability Act (HIPAA) em 1996 para implementar regras que garantem que as organizações com acesso digital às informações de saúde dos clientes protejam essas informações altamente confidenciais. Esses dados, conhecidos como Informações de Saúde Protegidas (PHI), incluem dados médicos tradicionais, como registros de saúde e resultados de exames, bem como pontos de dados de identificação individual relacionados aos registros de saúde de alguém, como nome do paciente, número da conta, imagens, dados demográficos informações e muito mais.

A HIPAA é obrigatória apenas para “Entidades Cobertas”, que incluem:

  • Empresas de seguros de saúde (HMOs, planos de saúde da empresa, Medicare, Medicaid)
  • Prestadores de cuidados de saúde (médicos, clínicas, especialistas, farmácias)
  • Empresas de dados de saúde

No entanto, essas organizações não operam no vácuo. A HIPAA permite que as Entidades Cobertas divulguem PHI para outras organizações (conhecidas como “Associados de Negócios”) se isso for necessário para executar necessidades ou atividades relacionadas à saúde. No entanto, esses Parceiros de Negócios precisam garantir que estão protegendo a PHI em questão, usando-a apenas para os propósitos para os quais foi compartilhada para oferecer suporte, entre outros requisitos, para estar em conformidade com a HIPAA.

Como é a conformidade com a HIPAA?

Em geral, todas as marcas que enviam informações de saúde protegidas digitalmente devem instituir e seguir certas medidas de segurança física, de rede e de processo para atender à conformidade com HIPAA. Além disso, para que uma empresa seja compatível com HIPAA, seus subprocessadores (qualquer terceiro que possa lidar com a PHI em nome da Entidade Coberta) geralmente também precisam ser compatíveis com HIPAA. Isso significa que o subprocessador deve aderir a requisitos rigorosos, incluindo, mas não limitado ao seguinte:

  • Assine um Contrato de Associado Comercial (BAA) que afirma que aderem às regras de segurança e privacidade exigidas pela HIPAA
  • Faça uma análise de risco
  • Auditar e rastrear a atividade em hardware e software que processa PHI
  • Implemente um plano de backup de dados
  • Instale proteções físicas para proteger os sistemas eletrônicos de informação
  • Implementar políticas e procedimentos para garantir a conformidade

Tornar-se compatível com HIPAA não é fácil – e não é um negócio único. Requer suporte, manutenção e foco contínuos, especialmente porque a lei é atualizada ao longo do tempo.

Conformidade com HIPAA e Braze

Hoje, a privacidade e a segurança dos dados são essenciais para marcas e consumidores. Para garantir que os clientes da Braze (e seus clientes) possam lidar com PHI de maneira segura e protegida para oferecer experiências significativas e relevantes, tornamos a conformidade com HIPAA - e privacidade e segurança de dados em geral - uma grande prioridade para nossa empresa e nosso produto .

Na Braze, o trabalho que fizemos para nos tornarmos compatíveis com HIPAA formou a base de nossa atual abordagem de segurança de dados.

“A primeira grande análise formal de risco que fizemos foi para a HIPAA”, observa Jon Hyman, cofundador e CTO da Braze. “Contratamos um advogado que estuda HIPAA e trabalhamos com ele para garantir que estávamos fazendo as coisas de acordo com o que é exigido…[e] construímos literalmente uma análise de risco onde tínhamos um registro de risco de ameaças e vulnerabilidades potenciais, os controles que temos em local, a probabilidade de problemas, o impacto potencial, como é a correção e como nossa equipe de resposta a incidentes abordará as coisas.”

A Braze também concluiu um trabalho significativo relacionado à infraestrutura. Por um lado, criamos um cluster separado com foco em HIPAA da plataforma Braze para marcas que trabalham com PHI. Com o cluster Braze HIPAA, “Você faz login em um URL diferente e, se não estiver no ambiente não-HIPAA, seus SDKs atingem um URL totalmente diferente e um conjunto diferente de servidores”, diz Hyman. “Seus bancos de dados são separados. Tudo está completamente separado. Possui diferentes regras de firewall. Tem a sua própria rede virtual. É completamente separado dos outros ambientes dentro do Braze, o que é bom do ponto de vista do isolamento.”

A Braze se orgulha de ser compatível com HIPAA, mas não paramos por aí. Continuamos repetindo essas medidas, indo além do que é exigido por lei. Por exemplo, adicionamos proteções adicionais de autorização de dois fatores, lista branca de IP para o painel e nossas APIs, políticas de expiração de senha e regras de complexidade de senha.

Conformidade com HIPAA significa segurança de informações rigorosa para todos os clientes da Braze

Mas, embora a conformidade com a HIPAA tenha sido um grande empreendimento para a Braze, acabou abrindo caminho para tudo o que veio depois - de fato, em 2018, também concluímos com sucesso nossa auditoria SOC 2 Tipo 2 e certificação ISO 27001 e concluímos uma segunda auditoria e certificação no ano passado.

O padrão SOC 2, supervisionado pelo Instituto Americano de Contadores Públicos Certificados (AICPA), estabelece os requisitos de conformidade para os controles de segurança de uma determinada empresa. Essa auditoria garantiu que a Braze já havia estabelecido políticas e procedimentos rígidos de segurança da informação. Além disso, nossa certificação ISO 27001 afirma que a Braze realizou uma avaliação abrangente dos riscos de segurança e possui um Sistema de Gerenciamento de Segurança da Informação (ISMS) que atende ao padrão global de gerenciamento de segurança da informação da International Organization for Standardization (ISO).

“A maneira como a HIPAA exige que a Braze opere para marcas que usam PHI é a maneira como agora operamos em geral”, explica Hyman. “Por exemplo, as salvaguardas administrativas na HIPAA exigiram que fizéssemos uma análise de risco, o que fizemos. Mas isso também é um requisito para a ISO 27001, onde você precisa garantir que seu sistema de gerenciamento de segurança da informação esteja em conformidade com altos padrões. E tudo decorre disso; certificando-se de que temos controles adequados, processos eficazes para coisas como encerrar o acesso a funcionários que saem e um processo para lidar com dados confidenciais em geral.”

Próximos passos

A privacidade e a segurança dos dados são importantes, agora mais do que nunca. Com uma plataforma comprometida com a conformidade com a HIPAA, as marcas de saúde e fitness podem oferecer experiências memoráveis ​​e relevantes aos clientes, respeitando sua privacidade.

Para descobrir como uma estratégia de comunicação personalizada e compatível com HIPAA aumenta o valor da sua marca, confira como o HelpAround aumenta a retenção de usuários de aplicativos com o Braze.