web-dev-qa-db-ja.com

マーケティングデータはHIPAAプライバシーをトリガーしますか?

私がマーケティング会社で、匿名のメンバーからの訪問者の統計を分析し、それをCRMに結び付けてコンバージョンを追跡する場合、顧客の情報がHIPAAに従って適切に処理されるようにするには、データにどのように対処すればよいですか。 CRMデータベースはポータル上にあり、Webサイトとは別ですか?

アプリケーションは、追跡Cookieを使用して訪問者を追跡します。また、アプリケーションはトラッキング電話番号を使用して、企業への通話とオンライン訪問者を関連付け、オフラインコンバージョンを特定します。 PBX=経由でルーティングされた通話は、CRMに新しい連絡先を作成し、通話の録音と生成されたテキスト送信を添付します。これらの通話は、トラッキングCookieを使用して匿名の訪問者に関連付けられます。変換ソースを決定します。

この情報はすべて収集され、並べ替えられて、APIサーバーに格納されます。この情報は、アカウントダッシュボードからこれらのサービスを購入するクライアントが取得および表示できます。私は最近HIPAAを紹介されたばかりで、何を保護する必要があるのか​​、何を保護する必要があるのか​​よくわかりません。医療提供者の顧客が医療提供者に連絡しているという事実は保護される必要があると言われました。

とりわけ、彼らのアカウントとのやり取りのためにデータを難読化する必要があるかどうかについて、私は興味を持っていました。

11
Steve Buzonas

A/Vコンテンツ(録音または文字起こしされた通話など)が広く開かれているので、あいまいな領域に足を踏み入れているので、私があなたの立場にあれば、厳格なセキュリティ/プロトコルをCRMに適用します。 「こんにちは、私の名前は[名前]ですが、[病気]になり、[手続き]を開始する予定です」で始まる電話を録音すると、たくさんのPHIを取得して収容したことになります。おそらく、ここでの最後の実行(該当する場合)は、電話をとる前に免責することです。

HIPAAの対象エンティティである顧客との提携(PHI/PIIと取引する場合)により、「ビジネスアソシエイト」(http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/businessassociates)になります。 .html)。あなたと対象事業体の間の契約上のニーズについて読んでください。

最後に、宿題をして、提供するアクセス/情報が本当に必要な場合は本当に匿名であることを確認してください。電話番号、IPアドレスなどは、HIPAAにおけるPII(個人を特定できる情報)の例です。 PIIに関するNISTガイダンス: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf (例:「電話番号」を検索)。ただし、対象事業体のビジネスアソシエイトの場合、事前定義された根拠に基づいてPHIを交換または使用することが許可されます。

これは完全な答えだとは思いませんが、ここで、あなたが説明したこと、または私が役立つと信じていることを基にした考えとリンクをいくつか示します。

11
Wayne Heilala

HIPAAは健康情報にのみ適用されます。これは主に、医療提供者と健康保険代理店間の相互作用に適用されるためです。

私が何かを誤解していない限り、それはあなたが健康情報で何かをしているようにも聞こえませんし、あなたの機関がHIPAAの下で「カバーされた実体」であるようにも聞こえません。詳細については、 HIPAA Webサイト の「対象となるエンティティー」クイズを受験してください。

(これは、とにかくデータを保護すべきではないという意味ではありませんが、一般的な原則に基づいてのみです:))

9
Lynn

HIPAAは健康保険会社やプロバイダーなどにのみ適用されますが、あなたはこれらの対象エンティティの1つにリソースを提供する会社であるため、データのコンプライアンスのビジネス要件がある場合があります。 (および、ログファイルまたはビジネスに関連するその他のアイテム)。

そうは言っても、責任に関しては厄介な状況になる可能性があり、プログラマチックな「コンプライアンス」だけでなく、違反やリスクが関係するすべての人にどのような影響を与えるかを調べるために弁護士も必要です。

4