¿Los datos de marketing activan la privacidad de HIPAA?

11

Si era una empresa de mercadotecnia que proporciona un análisis de estadísticas de visitantes de miembros anónimos que luego lo vincula a un CRM para hacer un seguimiento de las conversiones, ¿qué debo hacer con los datos para garantizar que la información de esos clientes se maneje adecuadamente ¿A HIPAA si la base de datos de CRM está en mi portal separada de su sitio web?

La aplicación rastrea a los visitantes con cookies de seguimiento. La aplicación también utiliza números de teléfono de seguimiento para asociar llamadas a las empresas con los visitantes en línea para determinar las conversiones fuera de línea. Las llamadas telefónicas que se enrutan a través del PBX crean un nuevo contacto en el CRM y adjuntan una grabación de una llamada, así como una transmisión de texto generado. Estas llamadas se asocian con el visitante anónimo con la cookie de seguimiento para determinar el origen de la conversión.

Toda esta información se recopila, clasifica y almacena en nuestro servidor API y la información puede ser obtenida y visualizada por nuestro cliente que compra estos servicios a través del panel de control de su cuenta. Recientemente me presentaron a HIPAA y no estoy familiarizado con lo que se necesita proteger y con lo que no. Me han dicho que el hecho de que los clientes de los proveedores de atención médica estén contactando a un proveedor de atención médica debe ser protegido.

Tenía curiosidad por saber si los datos deben ser ofuscados o no por nuestra interacción con su cuenta en su nombre, entre otras cosas.

    
pregunta Steve Buzonas 28.12.2011 - 19:39
fuente

3 respuestas

11

Estás entrando en territorio turbio porque el contenido de A / V (como una llamada grabada o transcrita) está totalmente abierto, por lo que si estuviera en tu lugar, aplicaría estrictos protocolos de seguridad a tu CRM. Si graba una llamada telefónica que comienza con "Hola, mi nombre es [nombre] y acabo de contraer [enfermedad] y me someteré a [procedimiento]" ... acaba de capturar y alojar MUCHA PHI. Quizás una ejecución final aquí (si corresponde) sería rechazar antes de capturar la llamada telefónica: "no hable sobre asuntos de salud personales o confidenciales" (como en los carteles que puede ver en los ascensores de los hospitales).

Su afiliación con clientes que son entidades cubiertas por HIPAA (si termina haciendo transacciones con PHI / PII) lo convertirá en un "socio comercial" (http://www.hhs.gov/ocr/privacy/hipaa/understanding/ coveredentities / businessassociates.html). Lea sobre las necesidades contractuales entre usted y las entidades cubiertas.

Por último, haga su tarea para asegurarse de que el acceso / información que proporcione sea VERDADERAMENTE anónimo si es necesario. Los números de teléfono, las direcciones IP, etc., son ejemplos de PII (información de identificación personal) según HIPAA. Guía NIST sobre PII: enlace (por ejemplo, busque el "número de teléfono"). Sin embargo, recuerde que si usted es un socio comercial de una entidad cubierta, se le permite intercambiar y / o usar la PHI según las razones predefinidas.

No creo que esta sea una respuesta completa, pero aquí hay algunos pensamientos & enlaces basados en lo que has descrito / pedido que creo que debería ayudar.

    
respondido por el Wayne Heilala 05.01.2012 - 21:46
fuente
9

HIPAA solo se aplica a la información de salud, principalmente como a las interacciones entre los proveedores de atención médica y las agencias de seguro de salud.

A menos que esté malinterpretando algo, no suena como si estuviera haciendo algo con información de salud, ni tampoco suena como que su agencia es una "entidad cubierta" según HIPAA. Puede realizar el cuestionario "¿Soy una entidad cubierta" en el sitio web de HIPAA para obtener más información al respecto, pero no parece que HIPAA se aplique a lo que está haciendo.

(Eso no significa que no debas proteger los datos de todos modos, aunque solo sea por el principio general :))

    
respondido por el Lynn 29.12.2011 - 08:57
fuente
4

HIPAA solo se aplica a las compañías de seguros de salud, proveedores y demás, pero como usted es una compañía que proporciona recursos a una de estas entidades cubiertas, es posible que tengan un requisito comercial de cumplimiento de sus datos. (y cualquier archivo de registro u otro elemento relacionado con su negocio).

Dicho esto, puede ser una situación difícil en cuanto a responsabilidad, y no solo necesita un "cumplimiento" programático, sino también sus abogados para ver qué implicaciones tendría cualquier incumplimiento o riesgo para todos los involucrados.

    
respondido por el Marshall Anschutz 30.12.2011 - 22:17
fuente

Lea otras preguntas en las etiquetas