• Anasayfa
  • Nesne
  • Pazarlama
  • HIPAA Farkı: Braze, Korunan Sağlık Bilgilerini Korurken Düşünceli Katılımı Nasıl Destekler?

HIPAA Farkı: Braze, Korunan Sağlık Bilgilerini Korurken Düşünceli Katılımı Nasıl Destekler?

Yayınlanan: 2020-02-21

Günümüzün tüketicileri ilgili marka deneyimleri talep ediyor. Güçlü ilişkiler kurmak için markaların, her müşteriyle bireysel olarak konuşacak şekilde iletişim kurduklarından emin olmaları gerekir - bu, markanın bir perakendeci veya sağlık alanında olması fark etmez. Ancak bir nokta var: Veri, bu kişiselleştirilmiş deneyimlerin önemli bir parçası olsa da, aynı zamanda tüketiciler ve düzenleyiciler için çok hassas olabilecek bir konu. Bugün bir pazarlamacı olarak veri ihtiyacından kaçınamazsınız, ancak aynı zamanda bunları hafife almayı veya markanıza emanet edilen bilgileri korumayı ve korumayı da göze alamazsınız.

Tüm bunlar, özellikle sağlıkla ilgili veriler söz konusu olduğunda doğrudur. Sağlık ve fitness markaları tarafından sunulan dijital hizmetler genişlemeye devam ettikçe, sağlıkla ilgili hassas verileri hem kullanmanın hem de korumanın yollarını bulma ihtiyacı giderek daha net hale geldi. Marka deneyimleri aracılığıyla hızla değer ve kolaylık sağlama yeteneği, özellikle uzun bekleme süreleri ile bilinen bir alanda insanların yaşamlarını somut bir şekilde iyileştirebilse de, bu deneyimleri bilgilendiren verileri ödün vermeden korumak önemlidir.

Sağlıkla ilgili markalar için bunu mümkün kılmak için Braze, platformumuz için HIPAA uyumluluğunu sağlamaya ve sürdürmeye öncelik verdi. Bunun neden önemli olduğuna, bunu nasıl sağladığımıza ve pazarlamacılar için ne anlama geldiğine bir göz atalım.

HIPAA nedir?

ABD hükümeti, müşterilerin sağlık bilgilerine dijital erişimi olan kuruluşların bu son derece gizli bilgileri korumasını sağlayan kuralları uygulamak için 1996 yılında Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'nı (HIPAA) kabul etti. Korunan Sağlık Bilgileri (PHI) olarak bilinen bu veriler, sağlık kayıtları ve test sonuçları gibi geleneksel tıbbi verilerin yanı sıra bir hastanın adı, hesap numarası, görüntüleri, demografisi gibi birinin sağlık kayıtlarıyla ilgili bireysel olarak tanımlayıcı veri noktalarını içerir. bilgi ve daha fazlası.

HIPAA, yalnızca aşağıdakileri içeren "Kapsanan Tüzel Kişiler" için zorunludur:

  • Sağlık sigortası şirketleri (HMO'lar, şirket sağlık planları, Medicare, Medicaid)
  • Sağlık hizmeti sunucuları (doktorlar, klinikler, uzmanlar, eczaneler)
  • Sağlık veri şirketleri

Ancak, bu kuruluşlar boşluklarda çalışmaz. HIPAA, Sağlıkla ilgili ihtiyaçlar veya faaliyetleri yürütmek için gerekliyse, Kapsam Dahilindeki Kuruluşların PHI'yi diğer kuruluşlara ("İş Ortakları" olarak bilinir) ifşa etmesine izin verir. Bununla birlikte, bu İş Ortakları, söz konusu PHI'yi koruduklarından ve bunu yalnızca diğer gereksinimlerin yanı sıra HIPAA uyumluluğu için desteklenmek üzere paylaşıldığı amaçlar için kullandıklarından emin olmalıdır.

HIPAA Uyumluluğu Neye benziyor?

Genel olarak, dijital korumalı sağlık bilgileri gönderen tüm markalar, HIPAA uyumluluğunu karşılamak için belirli fiziksel, ağ ve süreç güvenlik önlemlerini oluşturmalı ve bunlara uymalıdır. Ayrıca, bir şirketin HIPAA uyumlu olması için, alt işlemcilerinin (Kapsanan Kuruluş adına PHI'yı idare edebilen herhangi bir üçüncü taraf) da genellikle HIPAA uyumlu olması gerekir. Bu, alt işlemcinin aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere katı gereksinimlere uyması gerektiği anlamına gelir:

  • HIPAA'nın gerektirdiği güvenlik ve gizlilik kurallarına uyduklarını belirten bir İş Ortağı Sözleşmesi (BAA) imzalayın
  • Bir risk analizi yapın
  • PHI'yi işleyen donanım ve yazılım üzerindeki etkinliği denetleyin ve izleyin
  • Bir veri yedekleme planı uygulayın
  • Elektronik bilgi sistemlerini korumak için fiziksel güvenlik önlemleri alın
  • Uyumluluğu sağlamak için politika ve prosedürleri uygulayın

HIPAA uyumlu olmak kolay değildir ve bu tek seferlik bir anlaşma değildir. Özellikle yasa zamanla güncellendiğinden, sürekli destek, bakım ve odaklanma gerektirir.

HIPAA Uyumluluğu ve Sert Lehimleme

Günümüzde veri gizliliği ve güvenliği, hem markalar hem de tüketiciler için ayrılmaz bir bütündür. Braze müşterilerinin (ve müşterilerinin) anlamlı, ilgili deneyimleri desteklemek üzere PHI'yi güvenli ve emniyetli bir şekilde ele alabilmelerini sağlamak için, HIPAA uyumluluğunu ve genel olarak veri gizliliğini ve güvenliğini şirketimiz ve ürünümüz için büyük bir öncelik haline getirdik. .

Braze'de HIPAA uyumlu hale gelmek için yaptığımız çalışma, mevcut veri güvenliği yaklaşımımızın temelini oluşturdu.

Braze Kurucu Ortağı ve CTO'su Jon Hyman, “Yaptığımız ilk büyük resmi risk analizi HIPAA içindi” diyor. “HIPAA'yı inceleyen bir avukat tuttuk ve gerekenlere göre bir şeyler yaptığımızdan emin olmak için onunla birlikte çalıştık…[ve] kelimenin tam anlamıyla potansiyel tehditler ve güvenlik açıklarının bir risk kaydına sahip olduğumuz bir risk analizi oluşturduk. yer, sorunların olasılığı, potansiyel etki, iyileştirmenin nasıl göründüğü ve olay müdahale ekibimizin olayları nasıl ele alacağı.

Braze ayrıca altyapıyla ilgili önemli çalışmaları da tamamladı. Birincisi, PHI ile çalışan markalar için Braze platformunun HIPAA odaklı ayrı bir kümesini oluşturduk. Braze HIPAA kümesiyle, "Farklı bir URL'de oturum açarsınız ve HIPAA olmayan ortamda değilseniz, SDK'larınız tamamen farklı bir URL'ye ve farklı sunucu grubuna ulaşır" diyor Hyman. “Veritabanlarınız ayrı. Her şey tamamen ayrı. Farklı güvenlik duvarı kuralları vardır. Kendi sanal ağına sahiptir. Braze içindeki diğer ortamlardan tamamen ayrı, bu da izolasyon açısından güzel.”

Braze, HIPAA uyumlu olmaktan gurur duyuyor, ancak burada durmadık. Yasaların gerektirdiğinin ötesine geçerek bu önlemleri yinelemeye devam ettik. Örneğin, iki faktörlü yetkilendirme, pano ve API'lerimiz için IP beyaz listesi, parola süre sonu politikaları ve parola karmaşıklığı kuralları gibi ek güvenlik önlemleri ekledik.

HIPAA Uyumluluğu, Tüm Braze Müşterileri İçin Sıkı Bilgi Güvenliği anlamına gelir

Ancak HIPAA uyumluluğu Braze için önemli bir girişim olsa da, daha sonra gelen her şeyin yolunu açtı - aslında 2018'de SOC 2 Tip 2 denetimimizi ve ISO 27001 sertifikamızı da başarıyla tamamladık ve ardından ikinci bir denetim ve belgelendirmeyi tamamladık Geçen yılda.

Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından denetlenen SOC 2 standardı, belirli bir şirketin güvenlik kontrolleri için uyumluluk gerekliliklerini belirler. Bu denetim, Braze'in katı bilgi güvenliği politikaları ve prosedürleri oluşturmasını sağladı. Ek olarak, ISO 27001 sertifikamız Braze'nin kapsamlı bir güvenlik riskleri değerlendirmesi gerçekleştirdiğini ve Uluslararası Standardizasyon Örgütü'nün (ISO) küresel bilgi güvenliği yönetim standardına uygun bir Bilgi Güvenliği Yönetim Sistemine (ISMS) sahip olduğunu onaylar.

Hyman, "HIPAA'nın Braze'in PHI kullanan markalar için çalışmasını gerektirme şekli, artık her alanda çalışma şeklimizdir" diye açıklıyor. "Örneğin, HIPAA'daki idari önlemler, yaptığımız bir risk analizi yapmamızı gerektirdi. Ancak bu aynı zamanda bilgi güvenliği yönetim sisteminizin yüksek standartlara uygun olduğundan emin olmanız gereken ISO 27001 için de bir gerekliliktir. Ve her şey bundan çıkıyor; uygun kontrollere, ayrılan çalışanlara erişimi sonlandırmak gibi şeyler için etkili süreçlere ve hassas verileri yönetim kurulu genelinde işlemeye yönelik bir sürece sahip olduğumuzdan emin olmak.”

Sonraki adımlar

Veri gizliliği ve güvenliği önemlidir - şimdi her zamankinden daha fazla. HIPAA uyumluluğuna bağlı bir platformla, sağlık ve fitness markaları, mahremiyetlerine saygı duymaya devam ederken müşterilere unutulmaz, alakalı deneyimler sunabilir.

Kişiselleştirilmiş, HIPAA uyumlu bir iletişim stratejisinin markanızın değerini nasıl artırdığını keşfetmek için HelpAround'un Braze ile uygulama kullanıcısını elde tutma oranını nasıl artırdığını inceleyin.