I dati di marketing attivano la privacy di HIPAA?

Naviga le tue risposte
11

Se fossi un'azienda di marketing che fornisse un'analisi delle statistiche dei visitatori da membri anonimi che poi collegano questo a un CRM per tenere traccia delle conversioni, cosa devo fare ai dati per garantire che tali informazioni siano gestite correttamente a HIPAA se il database CRM si trova sul mio portale separato dal loro sito web?

L'applicazione tiene traccia dei visitatori con i cookie di tracciamento. L'applicazione utilizza anche i numeri di telefono di rilevamento per associare le chiamate alle aziende con i visitatori online per determinare le conversioni offline. Le chiamate telefoniche instradate attraverso il PBX creano un nuovo contatto nel CRM e allegano una registrazione di una chiamata nonché una trasmissione di testo generata. Queste chiamate vengono associate al visitatore anonimo con il cookie di tracciamento per determinare l'origine della conversione.

Tutte queste informazioni sono raccolte, ordinate e memorizzate sul nostro server API e le informazioni possono essere estratte e visualizzate dal nostro cliente che acquista questi servizi tramite la sua dashboard dell'account. Sono appena stato presentato a HIPAA e non ho familiarità con ciò che deve essere protetto, e cosa non deve essere. Mi è stato detto che il fatto che i clienti degli operatori sanitari contattino un operatore sanitario deve essere protetto.

Ero curioso di sapere se i dati debbano essere offuscati o meno per la nostra interazione con il loro account per loro conto, tra le altre cose.

    
posta Steve Buzonas 28.12.2011 - 19:39
fonte

3 risposte

11

Stai entrando in un territorio oscuro in cui il contenuto A / V (come una telefonata registrata o trascritta) è completamente aperto, quindi se fossi nei tuoi panni applicherò rigorosi protocolli di sicurezza / protocolli al tuo CRM. Se registri una telefonata che inizia con "Ciao il mio nome è [nome] e ho appena contratto [malattia] e sarò sottoposto a [procedura]" ... hai appena catturato e ospitato un sacco di PHI. Forse un end-run qui (se applicabile) significherebbe rinunciare prima di catturare la telefonata: "per favore non parlare di questioni di salute personali o confidenziali" (un po 'come i cartelli che potresti vedere negli ascensori dell'ospedale).

La tua affiliazione con i clienti che sono entità coperte da HIPAA (se finisci per effettuare transazioni con PHI / PII) ti renderà un "socio in affari" (http://www.hhs.gov/ocr/privacy/hipaa/understanding/ coveredentities / businessassociates.html). Leggi le esigenze contrattuali tra te e le entità coperte.

Infine, fai i compiti per assicurarti che l'accesso / le informazioni che fornisci sia VERAMENTE anonimo, se necessario. Numeri di telefono, indirizzi IP, ecc. Sono esempi di informazioni personali (informazioni personali) sotto HIPAA. Guida NIST alle PII: link (ad esempio, cerca "numero di telefono"). Ricorda, tuttavia, se sei un socio in affari di un'entità coperta, sei autorizzato a scambiare e / o utilizzare PHI in base a una logica predefinita.

Non penso che questa sia una risposta completa, ma ecco alcuni pensieri & link basati su ciò che hai descritto / chiesto che credo dovrebbe aiutare.

    
risposta data 05.01.2012 - 21:46
fonte
9

L'HIPAA si applica solo alle informazioni sulla salute, principalmente in quanto si applica alle interazioni tra i fornitori di assistenza sanitaria e le agenzie di assicurazione sanitaria.

A meno che non abbia frainteso qualcosa, non sembra che tu stia facendo qualcosa con le informazioni sulla salute, né sembra che la tua agenzia sia una "entità coperta" sotto HIPAA. Puoi sostenere il quiz "Am I a covered entity" sul sito web HIPAA per saperne di più, ma non sembra che HIPAA si applichi a quello che stai facendo.

(Ciò non significa che non si dovrebbe comunque proteggere i dati, solo in linea di principio:))

    
risposta data 29.12.2011 - 08:57
fonte
4

L'HIPAA si applica solo a compagnie di assicurazione sanitaria, fornitori e simili, ma dal momento che si tratta di una società che fornisce risorse a una di queste entità coperte, potrebbe avere un obbligo commerciale di conformità per i propri dati. (e qualsiasi file di registro o altri elementi che sarebbero correlati alla loro attività commerciale).

Detto questo, può essere una situazione appiccicosa per quanto riguarda la responsabilità, e non è necessario solo "conformità" programmatica, ma anche i tuoi avvocati per esaminare quali implicazioni potrebbero avere qualsiasi violazione o rischio per tutti i soggetti coinvolti.

    
risposta data 30.12.2011 - 22:17
fonte

Leggi altre domande sui tag

Come fidarsi degli IC? Eavesdropping vs. sniffing