• โฮมเพจ
  • บทความ
  • การตลาด
  • ความแตกต่างของ HIPAA: Braze รองรับการมีส่วนร่วมอย่างรอบคอบในขณะที่ปกป้องข้อมูลสุขภาพที่ได้รับการคุ้มครอง

ความแตกต่างของ HIPAA: Braze รองรับการมีส่วนร่วมอย่างรอบคอบในขณะที่ปกป้องข้อมูลสุขภาพที่ได้รับการคุ้มครอง

เผยแพร่แล้ว: 2020-02-21

ผู้บริโภคในปัจจุบันต้องการประสบการณ์แบรนด์ที่เกี่ยวข้อง ในการสร้างความสัมพันธ์ที่แน่นแฟ้น แบรนด์ต่างๆ จำเป็นต้องตรวจสอบให้แน่ใจว่าพวกเขากำลังสื่อสารในลักษณะที่พูดคุยกับลูกค้าแต่ละรายในฐานะปัจเจกบุคคล—และนั่นก็เป็นความจริงไม่ว่าแบรนด์นั้นจะเป็นผู้ค้าปลีกหรือในพื้นที่ด้านการดูแลสุขภาพ แต่มีสิ่งที่จับได้: แม้ว่าข้อมูลเป็นส่วนสำคัญของประสบการณ์ส่วนบุคคลเหล่านี้ แต่ก็เป็นเรื่องที่ละเอียดอ่อนมากสำหรับผู้บริโภคและหน่วยงานกำกับดูแล คุณไม่สามารถหลีกเลี่ยงความต้องการข้อมูลในฐานะนักการตลาดได้ในปัจจุบัน แต่คุณยังไม่สามารถจัดการกับมันอย่างไม่ใส่ใจ หรือล้มเหลวในการปกป้องและปกป้องข้อมูลที่ได้รับมอบหมายให้แบรนด์ของคุณ

ทั้งหมดนี้เป็นความจริงโดยเฉพาะอย่างยิ่งเมื่อพูดถึงข้อมูลที่เกี่ยวข้องกับสุขภาพ ในขณะที่บริการดิจิทัลที่นำเสนอโดยแบรนด์ด้านสุขภาพและฟิตเนสยังคงขยายตัว ความจำเป็นในการหาวิธีที่จะใช้ประโยชน์และปกป้องข้อมูลที่เกี่ยวข้องกับสุขภาพที่มีความละเอียดอ่อนมีความชัดเจนมากขึ้น ในขณะที่ความสามารถในการมอบคุณค่าและความสะดวกสบายอย่างรวดเร็วผ่านประสบการณ์ของแบรนด์สามารถปรับปรุงชีวิตของผู้คนได้อย่างชัดเจน โดยเฉพาะอย่างยิ่งในพื้นที่ที่รู้จักกันว่ารอนาน การปกป้องข้อมูลที่แจ้งประสบการณ์เหล่านั้นโดยไม่ประนีประนอมเป็นสิ่งสำคัญ

เพื่อให้เป็นไปได้สำหรับแบรนด์ที่เกี่ยวข้องกับสุขภาพ Braze ให้ความสำคัญกับการบรรลุและรักษาการปฏิบัติตามข้อกำหนด HIPAA สำหรับแพลตฟอร์มของเรา มาดูกันว่าทำไมถึงมีความสำคัญ เราทำให้มันเกิดขึ้นได้อย่างไร และมันมีความหมายอย่างไรต่อนักการตลาด

HIPAA คืออะไร?

รัฐบาลสหรัฐฯ ได้ผ่านกฎหมาย Health Insurance Portability and Accountability Act (HIPAA) ในปี 2539 เพื่อใช้กฎเกณฑ์เพื่อให้มั่นใจว่าองค์กรที่เข้าถึงข้อมูลด้านสุขภาพของลูกค้าทางดิจิทัลได้ปกป้องข้อมูลที่เป็นความลับอย่างสูง ข้อมูลนี้เรียกว่า Protected Health Information (PHI) รวมถึงข้อมูลทางการแพทย์แบบดั้งเดิม เช่น บันทึกสุขภาพและผลการทดสอบ ตลอดจนการระบุจุดข้อมูลที่เกี่ยวข้องกับบันทึกสุขภาพของบุคคล เช่น ชื่อผู้ป่วย หมายเลขบัญชี รูปภาพ ข้อมูลประชากร ข้อมูลและอื่น ๆ

HIPAA ได้รับคำสั่งเฉพาะสำหรับ "หน่วยงานที่ได้รับความคุ้มครอง" ซึ่งรวมถึง:

  • บริษัทประกันสุขภาพ (HMOs, แผนสุขภาพของบริษัท, Medicare, Medicaid)
  • ผู้ให้บริการด้านสุขภาพ (แพทย์ คลินิก ผู้เชี่ยวชาญ ร้านขายยา)
  • บริษัทข้อมูลด้านสุขภาพ

อย่างไรก็ตาม องค์กรเหล่านี้ไม่ได้ดำเนินการในสุญญากาศ HIPAA อนุญาตให้หน่วยงานที่ได้รับความคุ้มครองเปิดเผย PHI แก่องค์กรอื่น ๆ (เรียกว่า "ผู้ร่วมธุรกิจ") หากจำเป็นต้องดำเนินการดังกล่าวเพื่อดำเนินการตามความต้องการหรือกิจกรรมที่เกี่ยวข้องกับการดูแลสุขภาพ อย่างไรก็ตาม ผู้ร่วมธุรกิจเหล่านี้ต้องแน่ใจว่าพวกเขากำลังปกป้อง PHI ที่เป็นปัญหา โดยใช้เพื่อวัตถุประสงค์ที่แชร์เพื่อสนับสนุนเท่านั้น เพื่อให้เป็นไปตามข้อกำหนด HIPAA

การปฏิบัติตาม HIPAA มีลักษณะอย่างไร

โดยทั่วไป ทุกแบรนด์ที่ส่งข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองทางดิจิทัลจะต้องจัดทำและปฏิบัติตามมาตรการรักษาความปลอดภัยทางกายภาพ เครือข่าย และกระบวนการบางอย่างเพื่อให้เป็นไปตามข้อกำหนด HIPAA นอกจากนี้ เพื่อให้บริษัทเป็นไปตามข้อกำหนด HIPAA โดยทั่วไปแล้ว ผู้ประมวลผลย่อยของบริษัท (บุคคลที่สามที่อาจจัดการ PHI ในนามของนิติบุคคลที่ได้รับความคุ้มครอง) จะต้องปฏิบัติตาม HIPAA ด้วย ซึ่งหมายความว่าโปรเซสเซอร์ย่อยต้องปฏิบัติตามข้อกำหนดที่เข้มงวด ซึ่งรวมถึงแต่ไม่จำกัดเพียงสิ่งต่อไปนี้:

  • ลงนามในข้อตกลงผู้ร่วมธุรกิจ (BAA) ที่ระบุว่าปฏิบัติตามกฎความปลอดภัยและความเป็นส่วนตัวที่กำหนดโดย HIPAA
  • ทำการวิเคราะห์ความเสี่ยง
  • ตรวจสอบและติดตามกิจกรรมบนฮาร์ดแวร์และซอฟต์แวร์ที่ประมวลผล PHI
  • ใช้แผนสำรองข้อมูล
  • ติดตั้งระบบป้องกันทางกายภาพเพื่อปกป้องระบบข้อมูลอิเล็กทรอนิกส์
  • ดำเนินนโยบายและขั้นตอนเพื่อให้แน่ใจว่ามีการปฏิบัติตาม

การปฏิบัติตามข้อกำหนดของ HIPAA ไม่ใช่เรื่องง่าย—และไม่ใช่ข้อตกลงเพียงครั้งเดียว จำเป็นต้องมีการสนับสนุน การบำรุงรักษา และการมุ่งเน้นอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งเมื่อมีการปรับปรุงกฎหมายเมื่อเวลาผ่านไป

การปฏิบัติตามข้อกำหนดของ HIPAA และ Braze

ทุกวันนี้ ความเป็นส่วนตัวและความปลอดภัยของข้อมูลเป็นส่วนสำคัญสำหรับแบรนด์และผู้บริโภค เพื่อให้มั่นใจว่าลูกค้า Braze (และลูกค้าของพวกเขา) สามารถจัดการกับ PHI ได้อย่างปลอดภัยเพื่อรองรับประสบการณ์ที่เกี่ยวข้องและมีความหมาย เราจึงได้ปฏิบัติตาม HIPAA และความเป็นส่วนตัวของข้อมูลและความปลอดภัยโดยทั่วไป เป็นลำดับความสำคัญหลักสำหรับบริษัทและผลิตภัณฑ์ของเรา .

ที่ Braze งานที่เราทำเพื่อให้เป็นไปตามข้อกำหนด HIPAA ได้ก่อให้เกิดรากฐานของแนวทางการรักษาความปลอดภัยของข้อมูลในปัจจุบันของเรา

“การวิเคราะห์ความเสี่ยงอย่างเป็นทางการครั้งใหญ่ครั้งแรกที่เราทำคือเพื่อ HIPAA” Jon Hyman ผู้ร่วมก่อตั้ง Braze และ CTO กล่าว “เราจ้างทนายความที่ศึกษาเกี่ยวกับ HIPAA และเราทำงานร่วมกับเขาเพื่อให้แน่ใจว่าเรากำลังทำสิ่งที่จำเป็น… [และ] สร้างการวิเคราะห์ความเสี่ยงอย่างแท้จริง โดยที่เราได้ลงทะเบียนความเสี่ยงของภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้น การควบคุมที่เรามี ความเป็นไปได้ของปัญหา ผลกระทบที่อาจเกิดขึ้น แนวทางแก้ไข และวิธีที่ทีมตอบสนองเหตุการณ์ของเราจะจัดการกับสิ่งต่างๆ”

Braze ยังทำงานเกี่ยวกับโครงสร้างพื้นฐานที่สำคัญเสร็จเรียบร้อยแล้ว เราได้สร้างคลัสเตอร์ที่เน้น HIPAA แยกต่างหากของแพลตฟอร์ม Braze สำหรับแบรนด์ที่ทำงานร่วมกับ PHI ด้วยคลัสเตอร์ Braze HIPAA "คุณเข้าสู่ระบบ URL อื่น และหากคุณไม่ได้อยู่ในสภาพแวดล้อมที่ไม่ใช่ HIPAA SDK ของคุณจะเข้าถึง URL ที่แตกต่างกันโดยสิ้นเชิงและชุดเซิร์ฟเวอร์ที่แตกต่างกัน" Hyman กล่าว “ฐานข้อมูลของคุณแยกจากกัน ทุกอย่างแยกจากกันโดยสิ้นเชิง มีกฎไฟร์วอลล์ที่แตกต่างกัน มีเครือข่ายเสมือนเป็นของตัวเอง มันแยกจากสภาพแวดล้อมอื่นๆ ภายใน Braze โดยสิ้นเชิง ซึ่งถือว่าดีจากมุมมองของการแยกตัว”

Braze ภูมิใจที่ได้ปฏิบัติตาม HIPAA แต่เราไม่ได้หยุดเพียงแค่นั้น เรายังคงย้ำมาตรการเหล่านี้อย่างต่อเนื่อง โดยดำเนินการให้เหนือกว่าที่กฎหมายกำหนด ตัวอย่างเช่น เราได้เพิ่มการป้องกันเพิ่มเติมของการอนุญาตสองปัจจัย การอนุญาต IP สำหรับแดชบอร์ดและ API ของเรา นโยบายการหมดอายุของรหัสผ่าน และกฎความซับซ้อนของรหัสผ่าน

การปฏิบัติตาม HIPAA หมายถึงการรักษาความปลอดภัยข้อมูลที่เข้มงวดสำหรับลูกค้า Braze ทั้งหมด

แต่ในขณะที่การปฏิบัติตามข้อกำหนดของ HIPAA เป็นภารกิจหลักสำหรับ Braze แต่กลับกลายเป็นปูทางสำหรับทุกสิ่งที่ตามมา อันที่จริงในปี 2018 เรายังประสบความสำเร็จในการตรวจสอบ SOC 2 Type 2 และการรับรอง ISO 27001 จากนั้นจึงเสร็จสิ้นการตรวจสอบและรับรองครั้งที่สอง ในปีที่ผ่านมา

มาตรฐาน SOC 2 ซึ่งดูแลโดย American Institute of Certified Public Accountants (AICPA) กำหนดข้อกำหนดการปฏิบัติตามข้อกำหนดสำหรับการควบคุมความปลอดภัยของบริษัทที่กำหนด การตรวจสอบนี้ทำให้มั่นใจว่า Braze ได้กำหนดนโยบายและขั้นตอนการรักษาความปลอดภัยของข้อมูลที่เข้มงวดแล้ว นอกจากนี้ การรับรอง ISO 27001 ของเรายืนยันว่า Braze ได้ดำเนินการประเมินความเสี่ยงด้านความปลอดภัยอย่างครอบคลุมและมีระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ที่สอดคล้องกับมาตรฐานการจัดการความปลอดภัยของข้อมูลทั่วโลกของ International Organization for Standardization (ISO)

"วิธีที่ HIPAA ต้องการให้ Braze ดำเนินการสำหรับแบรนด์ต่างๆ ที่ใช้ PHI คือวิธีที่เราดำเนินการทั่วทั้งกระดาน" Hyman อธิบาย “ตัวอย่างเช่น การป้องกันการบริหารใน HIPAA กำหนดให้เราต้องวิเคราะห์ความเสี่ยง ซึ่งเราทำ แต่นั่นก็เป็นข้อกำหนดสำหรับ ISO 27001 ด้วย ซึ่งคุณต้องแน่ใจว่าระบบการจัดการความปลอดภัยของข้อมูลของคุณสอดคล้องกับมาตรฐานระดับสูง และทุกอย่างตามมาหลังจากนั้น ตรวจสอบให้แน่ใจว่าเรามีการควบคุมที่เหมาะสม กระบวนการที่มีประสิทธิภาพสำหรับสิ่งต่าง ๆ เช่น การยกเลิกการเข้าถึงพนักงานที่จากไป และกระบวนการสำหรับการจัดการข้อมูลที่ละเอียดอ่อนทั่วทั้งกระดาน”

ขั้นตอนถัดไป

ความเป็นส่วนตัวและความปลอดภัยของข้อมูลมีความสำคัญมากกว่าที่เคย ด้วยแพลตฟอร์มที่มุ่งมั่นที่จะปฏิบัติตาม HIPAA แบรนด์ด้านสุขภาพและฟิตเนสสามารถมอบประสบการณ์ที่เกี่ยวข้องและน่าจดจำให้กับลูกค้าในขณะที่ยังคงเคารพความเป็นส่วนตัวของพวกเขา

หากต้องการค้นพบว่ากลยุทธ์การสื่อสารส่วนบุคคลที่สอดคล้องกับ HIPAA จะเพิ่มมูลค่าให้กับแบรนด์ของคุณได้อย่างไร โปรดดูวิธีที่ HelpAround ช่วยเพิ่มการรักษาผู้ใช้แอปด้วย Braze