Guide d'une équipe soignante sur la conformité HIPAA sur les réseaux sociaux

Publié: 2023-12-06

Il serait difficile de trouver des spécialistes du marketing de la santé qui ne comprennent pas la valeur des médias sociaux pour la santé, selon Jill Florence, directrice des ventes aux entreprises chez Sprout Social.

Comme l'explique Florence : « Les réseaux sociaux sont un élément non négociable pour accroître la notoriété de la marque et établir des liens avec les patients, les médecins et les membres de la communauté. Mais il peut être difficile pour les équipes marketing en première ligne du numérique de surmonter les préoccupations des équipes de sécurité et de confidentialité, en particulier à l'intersection de la HIPAA et des médias sociaux.

De nombreuses organisations signalent que les mesures de conformité HIPAA entravent leur stratégie, car certains des contenus de santé les plus attrayants qu'elles créent comportent des études innovantes, des témoignages de patients et des avancées médicales, qui nécessitent de longs processus d'approbation et une exécution minutieuse. Dans ce guide, nous détaillons ce que vous devez savoir pour rester conforme à la HIPAA sur les réseaux sociaux et partageons des exemples de marques de soins de santé qui brillent sur les réseaux sociaux, malgré les limitations réglementaires.

Veuillez noter : les informations fournies dans cet article ne constituent pas et ne sont pas destinées à constituer un avis juridique formel. Veuillez consulter notre clause de non-responsabilité complète avant de poursuivre votre lecture.

L'impact de la HIPAA sur votre contenu sur les réseaux sociaux

Les lois HIPAA sur la confidentialité protègent les informations sensibles des patients contre toute divulgation publique, y compris sur les réseaux sociaux. La règle de confidentialité HIPAA protège expressément les informations sur la santé des patients en ce qui concerne la manière dont les données sont partagées, y compris dans les efforts de marketing et de publicité.

Les informations de santé sensibles et protégées (PHI) comprennent des données sur les conditions médicales passées, présentes ou futures d'un patient, la fourniture de soins de santé à l'individu et les paiements de soins de santé passés, présents ou futurs. Étant donné que les plateformes de médias sociaux collectent des informations sur les utilisateurs, suivent leur comportement et disposent d'une licence pour utiliser vos ressources visuelles, il est facile de comprendre pourquoi ces réglementations existent.

À l’ère du partage de photos, de témoignages et d’autres informations sensibles des patients avant et après, les prestataires de soins de santé doivent faire preuve d’une extrême prudence lors de la création de contenu sur les réseaux sociaux. Les réglementations HIPAA obligent également les entreprises de soins de santé à gérer soigneusement les interactions des clients sur les réseaux sociaux, ce qui implique notamment d'empêcher les patients de partager leurs informations de santé personnelles et de les supprimer s'ils le font. Ne pas se conformer aux réglementations HIPAA coûte cher, à la fois financièrement et pour la réputation de votre marque.

Cependant, comme le souligne Katherine Van Allen, ingénieure de solutions senior chez Sprout, les avantages du social l'emportent sur les risques. « Les médias sociaux devraient faire partie de la stratégie des organismes de santé. Les personnes que vous devez atteindre sont sur les réseaux sociaux, qu'il s'agisse de patients potentiels ou d'employés. Sans présence sociale, vous ne faites pas partie des conversations vitales concernant votre système. Qu'il s'agisse de discours sur un membre de l'équipe ou un lieu, d'erreurs administratives et de poursuites judiciaires, ou de la diffusion rapide de fausses informations sur une maladie ou un plan de traitement. L’écoute des médias sociaux vous aidera à identifier les principaux domaines d’opportunité.

Comment créer des directives de marque pour soutenir la HIPAA et les médias sociaux

Bien que vous deviez toujours consulter votre conseiller juridique et votre équipe de conformité concernant la conformité HIPAA sur les réseaux sociaux, voici les meilleures pratiques générales à suivre lorsque vous créez les directives de votre marque.

Un visuel avec un fond blanc et le titre : Comment créer des directives de marque pour soutenir la HIPAA et les médias sociaux. Dans des bulles bleu foncé et bleu royal, les instructions suivantes sont répertoriées : 1) Élaborez des politiques et formez votre équipe, 2) Suivez les meilleures pratiques de désidentification, 3) Surveillez les violations de la HIPAA, 4) Élaborez un processus d'approbation des patients, 5) Restez informé à ce jour sur les changements législatifs.

Élaborez des politiques et formez votre équipe

Commencez par consulter vos équipes juridiques et de conformité, et faites-en un partenaire clé pour valider la légalité de votre stratégie, de vos campagnes et de votre contenu. Travaillez avec eux pour développer un protocole de conformité des médias sociaux, qui devrait inclure des instructions pour correspondre avec les gens via les médias sociaux.

Familiarisez votre équipe avec ce protocole en co-créant des programmes de formation à la conformité HIPAA comprenant une éducation aux médias sociaux. Dans votre formation, mettez en évidence l’utilisation appropriée des données clients sur les réseaux sociaux et les violations courantes de la HIPAA.

Suivez les meilleures pratiques de désidentification

Lorsque vous créez du nouveau contenu sur les réseaux sociaux, supprimez tous les PHI de vos publications. Les PHI comprennent des informations sur la santé utilisées avec les identifiants suivants :

  • Noms (prénom, deuxième prénom et nom de famille)
  • Indicateurs géographiques plus petits qu’un État
  • Tous les éléments d'une date (sauf l'année)
  • Numéros de téléphone et de fax
  • Adresses mail
  • Numéros de sécurité sociale
  • Dossier médical, bénéficiaire du plan de santé et numéros de compte
  • Numéros de certificat ou de licence
  • Identifiants du véhicule
  • Attributs de l'appareil
  • URL et adresses IP associées aux patients
  • Identifiants biométriques
  • Photographies de visages complets et autres identifiants physiques uniques
  • Tout autre numéro ou code permettant d'identifier un individu

Pour plus de contexte, même si le nom d'un patient associé à ses signes vitaux est considéré comme un PHI, ses signes vitaux seuls ne le sont pas.

Surveiller les violations HIPAA

Même si vous prenez toutes les précautions pour limiter l’utilisation des PHI dans votre contenu, les patients peuvent toujours mettre votre conformité en danger en partageant eux-mêmes des informations personnelles. Évitez cela en ajoutant des clauses de non-responsabilité à vos interactions par messages directs et à vos profils de marque. Demandez aux patients de s’abstenir de partager des renseignements personnels sur leur santé et informez-les vers où ils doivent acheminer leurs demandes.

Si un patient doit vous mentionner ou vous envoyer un message privé et compromettre vos PHI, supprimez immédiatement le message et acheminez-le vers un canal plus approprié. Florence conseille : « Même si vous ajoutez une clause de non-responsabilité à votre profil ou à vos DM, certains patients continueront à demander un avis médical. Pour lutter contre cela, certaines organisations utilisent des chatbots et des outils de tri pour les alerter automatiquement des PHI potentielles et répondre ou supprimer les contenus sensibles.

En utilisant un outil tel que les réponses enregistrées de Sprout Social, vous pouvez utiliser des réponses pré-écrites pour répondre rapidement aux clients et rediriger la conversation vers un canal sécurisé. Vous pouvez également utiliser le générateur de chatbot de Sprout pour rediriger automatiquement les utilisateurs des réseaux sociaux vers une adresse e-mail ou un autre canal sécurisé pour les conversations liées aux soins de santé.

Une capture d'écran de la configuration du chatbot dans la plateforme de gestion des réseaux sociaux Sprout Social. Dans la capture d'écran, vous pouvez voir le générateur de bots, où vous saisissez des instructions pour les robots lorsque vous recevez un message d'utilisateurs sociaux qui envoient un message à votre marque.

Avec la Smart Inbox de Sprout, vous pouvez utiliser le balisage et le filtrage pour signaler les messages contenant des PHI et créer des flux de travail qui suppriment ces messages.

Une capture d'écran de l'outil Smart Inbox de Sprout Social affichant les messages de plusieurs plateformes sociales dans un seul flux.

Créer un processus d'approbation des patients

Il peut y avoir des cas où les patients (ou leurs familles) souhaitent partager leurs histoires avec votre public, comme cet adorable Halloween TikTok de l'USIN de la Cleveland Clinic.

@clevelandclinique

Halloween avec nos bébés à l'USIN n'a pas été des pièges mais des friandises ! Les costumes de cette année incluent un singe, un tigre, un hibou, Buzz l'Éclair, Woody et un pirate. Leurs chapeaux spéciaux sont un cadeau fait main. Halloween n'a jamais été aussi doux !

♬ Halloween – Lux-Inspira

Mettre en place un processus simplifié et clairement documenté pour obtenir le consentement écrit et l'autorisation HIPAA de divulguer les PHI d'un patient avant de partager ces histoires, photographies et/ou vidéos.

Restez informé des évolutions législatives

Prenez l’habitude de vous tenir au courant des changements législatifs aux niveaux fédéral et étatique. Consultez régulièrement les ressources telles que le site Web du ministère américain de la Santé et des Services sociaux (HHS). Vous pouvez également suivre le HHS et la National Law Review sur les réseaux sociaux pour des mises à jour en temps réel, y compris des décisions concernant les violations de données HIPAA.

Un article sur X (anciennement connu sous le nom de Twitter) de la National Law Review. Le message se lit comme suit : HHS-OCR explique comment les exigences des règles de sécurité HIPAA protègent contre les cyberattaques. Le message comprend un lien vers une page du site Web National Law Review.

Vous recherchez plus de ressources ? Nous avons élaboré un aide-mémoire de conformité HIPAA sur les réseaux sociaux qui peut vous aider à rester conforme, tout en exécutant une stratégie sociale efficace et créative.

Violations courantes de la HIPAA et rôle des médias sociaux

Bien que la conformité HIPAA en matière sociale soit complexe, les risques monétaires, de réputation et, surtout, de bien-être des patients sont trop importants pour se tromper. Voici les violations HIPAA les plus courantes que vous devriez éviter.

Un visuel avec un fond blanc et le titre : Violations courantes de la HIPAA sur les réseaux sociaux. Dans les bulles bleu foncé et bleu royal, les violations suivantes sont répertoriées : 1) Cacher les détails des patients à la vue de tous, 2) Valider les informations de santé, 3) Limiter la formation aux canaux d'entreprise et au personnel rémunéré.

Masquer les détails du patient à la vue de tous

Même si vous n'incluez pas explicitement des visages, des noms, des dates ou d'autres identifiants évidents, certains détails situationnels peuvent révéler les informations personnelles d'un patient. Florence et Van Allen conseillent tous deux d’examiner attentivement les photographies et les vidéos avant de les publier. Assurez-vous qu’il n’y a aucune information protégée en arrière-plan de vos médias.

Van Allen prévient : « Quelque chose qui semble aussi inoffensif qu’une photo d’une salle du personnel peut constituer une violation. Quelqu'un pourrait zoomer sur le dossier d'un patient posé sur la table et être capable d'identifier son nom ou d'autres PHI.

Valider les informations de santé

« De nombreux patients envoient des messages aux marques de soins de santé en pensant que leur message parviendra à leurs médecins, ce qui signifie qu'ils incluent les informations de santé personnelles sensibles dans leur sensibilisation », explique Florence. Comme nous l'avons mentionné dans la section précédente, il est essentiel de supprimer toute PHI, même lorsque le patient les fournit spontanément.

Mais une nuance essentielle que de nombreuses organisations oublient est que vous devez également vous abstenir de valider les PHI. Par exemple, si un patient commente votre message et révèle qu'il souffre d'une maladie, vous ne devez pas reconnaître cette maladie dans votre réponse. Cela pourrait être une violation de la HIPAA. Voici quelques exemples de scénarios :

Exemple de message patient : @Hospital, j'ai récemment reçu un diagnostic de diabète et je me demandais lequel de vos médecins est spécialisé dans les soins du diabète ?

Non conforme à la loi HIPAA : @Patient, nous savons qu'il peut être difficile de s'orienter vers un nouveau diagnostic de diabète, et nous sommes là pour vous aider. Appelez directement le cabinet du Dr Smith pour planifier une consultation.

Conforme HIPAA : @Patient, nous avons supprimé votre commentaire pour protéger votre vie privée. Veuillez appeler ou contacter notre équipe par e-mail pour obtenir de l'aide.

Limiter la formation aux canaux d'entreprise et au personnel rémunéré

En limitant la formation aux canaux d'entreprise et au personnel rémunéré, les organismes de santé créent des lacunes dans les connaissances qui peuvent entraîner des conséquences majeures. Par exemple, un interne enthousiaste pourrait publier un selfie avec un patient. Ou encore, un étudiant en résidence pourrait accidentellement révéler PHI dans un TikTok amusant.

Les organismes de santé doivent se rappeler que la HIPAA s'applique à toute personne sous le contrôle d'une entité couverte, y compris les bénévoles, les étudiants et le personnel non rémunéré. Il encapsule également les profils sociaux au-delà du compte d'entreprise, y compris les comptes personnels des membres du personnel.

Ce que HIPAA signifie pour vos fournisseurs de médias sociaux

La conformité et la sécurité HIPAA doivent être une priorité lors de la sélection des fournisseurs de logiciels et des outils. Lors des évaluations de votre plateforme, attendez-vous à ce que vos équipes de sécurité et de confidentialité soient vigilantes sur la manière dont les données sont utilisées lorsqu'elles sont intégrées dans des piles technologiques plus vastes.

Trouvez une solution de gestion avec des niveaux d'autorisation et une fonctionnalité d'approbation des messages pour garantir que seules les parties responsables peuvent publier. Assurez-vous que des mesures de cybersécurité sont en place pour protéger les PHI sur les appareils électroniques, telles que le cryptage ou les pare-feu.

Allez plus loin et trouvez une solution de gestion des médias sociaux prête à signer un accord de partenariat commercial (BAA), un contrat juridiquement contraignant qui précise les responsabilités de chaque partie en matière de conformité PHI et HIPAA. Comme le détaille Florence : « Vous devriez travailler avec un partenaire comme Sprout Social qui peut signer un BAA et assumer les risques et les responsabilités avec vous. »

Des marques de soins de santé dont apprendre

Ces quatre organisations de soins de santé démontrent qu’il est toujours possible et important d’avoir une présence active sur les réseaux sociaux, même dans les secteurs réglementés.

Clinique Mayo

La Mayo Clinic, l'hôpital le mieux classé du pays, utilise les médias sociaux pour développer sa marque employeur. Comme lorsqu'ils ont partagé un message d'un président en transplantation qui a célébré un mois réussi. Remarquez que le message ne révèle aucune information sensible sur le patient, mais se concentre plutôt sur les réalisations et le haut calibre de l'équipe de transplantation.

Une capture d'écran d'une publication LinkedIn de Bashar Aqel qui a été republiée par Mayo Clinic. Le message explique comment Mayo in Clinic en Arizona a réalisé avec succès un nombre record de procédures réussies et remercie l'ensemble du personnel pour son excellent travail et les patients d'avoir fait confiance à Mayo pour leurs soins. Le message comprend une photo du personnel de la Mayo Clinic of Arizona se tenant ensemble dans un grand groupe à l’extérieur.

La Mayo Clinic partage également les profils de ses bénévoles, médecins et autres membres du personnel pour humaniser davantage son entreprise, comme cette vidéo réconfortante sur un survivant de l'Holocauste devenu bénévole.

Une capture d'écran d'une publication LinkedIn de la Mayo Clinic qui raconte l'histoire de l'un de leurs bénévoles, un survivant de l'Holocauste nommé Kurt. Le message comprend également une vidéo dans laquelle Kurt raconte son histoire avec ses propres mots.

Le système hospitalier complète ces posts avec des conseils généraux en matière de santé et de style de vie pour inspirer ses abonnés et promouvoir le bien-être, comme dans ce carrousel sur les bienfaits du mouvement quotidien.

Voir cette publication sur Instagram

Un post partagé par Mayo Clinic (@mayoclinic)

Clinique de Cleveland

La Cleveland Clinic, l'un des principaux centres médicaux universitaires, reste à l'écoute des tendances en matière de soins de santé et utilise son expertise pour tenir sa communauté informée des nouveaux rapports de santé publique.

Comme dans ce Reel où ils étudient les avantages du dernier engouement pour la santé sur les réseaux sociaux, la plongée froide ou la douche froide. L’article explique comment récolter les fruits de la tendance, tout en restant en sécurité et en bonne santé.

Voir cette publication sur Instagram

Un post partagé par Cleveland Clinic (@clevelandclinic)

Le centre médical partage également les principaux rapports de santé publique produits par son organisation. Ils résument généralement brièvement les principales conclusions du rapport, tout en incluant le lien afin que les gens puissent en lire davantage, comme ils l'ont fait dans cet article.

Une capture d'écran d'une publication Facebook de la Cleveland Clinic sur la forte consommation d'alcool chez les Américains. Le message renvoie à un article sur les impacts sur la santé de la consommation excessive d’alcool.

Hôpital pour enfants de Boston

Le Boston Children's Hospital abrite le plus grand programme de recherche pédiatrique en milieu hospitalier au monde. L'organisation utilise ses réseaux sociaux pour mettre en avant des recherches révolutionnaires (et les chercheurs qui les sous-tendent), comme elle l'a fait dans cet article sur un généticien clinicien de premier plan qui fait progresser la santé des enfants.

Une capture d'écran d'une publication LinkedIn du Boston Children's Hospital à propos de Maya Chopra, une généticienne clinicienne qui étudie les maladies rares à l'hôpital. Le message renvoie à un article sur la recherche pédiatrique.

Ils présentent également les patients qui bénéficient de leurs traitements de pointe en interrogeant leurs familles, comme dans cet article sur Facebook sur le pouvoir des tests génétiques pour les enfants épileptiques.

Une capture d'écran d'une publication Facebook du Boston Children's Hospital. Le message se lit comme suit : Les tests génétiques ont apporté des réponses à la famille de Wilson alors qu'elle naviguait dans son épilepsie infantile. L'article renvoie à un blog sur le parcours des tests génétiques de bébé Wilson.

Hymne Croix Bleue Bouclier Bleu

Anthem Blue Cross Blue Shield est un fournisseur de régime d'assurance maladie de confiance. Sur les réseaux sociaux, ils partagent des statistiques significatives sur la valeur qu'ils offrent à leurs membres, y compris cet article sur le retour sur investissement que les employeurs obtiennent en investissant dans la guérison et le soutien en matière de toxicomanie sur le lieu de travail.

Une publication LinkedIn d'Anthem Blue Cross et Blue Shield sur les avantages pour les employeurs d'investir dans des programmes de santé comportementale et de rétablissement.

Ils partagent également des récompenses et des accréditations qui démontrent leur engagement envers le soin et l'excellence de leurs membres, comme cet article sur leur reconnaissance par la NCQA.

Un article sur X d'Anthem Blue Cross et Blue Shield qui dit : Nous sommes honorés d'être à nouveau l'une des plaines les mieux notées du Connecticut par NCQA. Notre travail se concentre sur l’amélioration de l’accès à des soins de santé abordables et de haute qualité et sur l’amélioration des résultats en matière de santé.

En tant que fournisseur de régime d’assurance populaire, ils reçoivent de nombreuses demandes de renseignements sur les détails de la politique des membres sur les réseaux sociaux. Leur équipe soignante illustre comment acheminer les conversations des forums publics vers des canaux privés plus appropriés et sécurisés, comme dans cette réponse où ils demandent à un membre d'envoyer un e-mail à leur centre d'aide.

Un message d'Anthem Blue Cross et Blue Shield répondant à un utilisateur de réseau social, lui demandant d'envoyer un e-mail pour le support client.

Naviguez HIPAA et les médias sociaux en toute confiance

La conformité HIPAA sur les réseaux sociaux est un processus continu en plusieurs étapes qui implique un alignement étroit avec vos équipes juridiques et de sécurité et le développement d'une formation interministérielle. En suivant les meilleures pratiques clés qui protègent les données des patients et la santé de la marque de votre organisation, vous serez équipé pour naviguer dans les protocoles HIPAA complexes et développer votre présence sociale en toute confiance.

Étapes suivantes : maintenant que vous avez lu cet article, inscrivez une réunion avec vos équipes juridiques et de sécurité sur le calendrier pour commencer à planifier vos efforts de formation à l'échelle de votre organisation, et révisez les références des médias sociaux dans le domaine de la santé pour mieux comprendre le rôle des réseaux sociaux dans votre communauté. boîte à outils de mobilisation.

Clause de non-responsabilité

Les informations fournies dans cet article ne constituent pas et ne sont pas destinées à constituer un avis juridique formel ; toutes les informations, contenus, points et documents sont destinés à des fins d’information générale. Les informations contenues sur ce site Web peuvent ne pas constituer les informations juridiques ou autres les plus récentes. L’intégration des directives fournies dans cet article ne garantit pas que votre risque juridique soit réduit. Les lecteurs de cet article doivent contacter leur équipe juridique ou leur avocat pour obtenir des conseils sur toute question juridique particulière et doivent s'abstenir d'agir sur la base des informations contenues dans cet article sans demander au préalable un avis juridique indépendant. L'utilisation et l'accès à cet article ou à l'un des liens ou ressources contenus dans le site ne créent pas de relation avocat-client entre le lecteur, l'utilisateur ou le navigateur et les contributeurs ou cabinets d'avocats contributeurs. Les opinions exprimées par les contributeurs à cet article sont les leurs et ne reflètent pas celles de Sprout Social. Toute responsabilité concernant les actions prises ou non sur la base du contenu de cet article est expressément déclinée.