Panduan tim layanan kesehatan untuk kepatuhan HIPAA di media sosial

Diterbitkan: 2023-12-06

Anda akan kesulitan menemukan pemasar layanan kesehatan yang tidak memahami nilai media sosial untuk layanan kesehatan, menurut Jill Florence, Direktur Penjualan Perusahaan di Sprout Social.

Seperti yang dijelaskan Florence, “Sosial adalah bagian yang tidak dapat dinegosiasikan dalam mendorong kesadaran merek dan membangun hubungan dengan pasien, dokter, dan anggota komunitas. Namun hal ini dapat menjadi tantangan bagi tim pemasaran di garis depan digital untuk mengatasi kekhawatiran tim keamanan dan privasi—terutama di persimpangan HIPAA dan media sosial.”

Banyak organisasi melaporkan bahwa langkah-langkah kepatuhan HIPAA menghambat strategi mereka, karena beberapa konten perawatan kesehatan paling menarik yang mereka buat menampilkan studi inovatif, testimoni pasien, dan terobosan medis, yang memerlukan proses persetujuan yang panjang dan pelaksanaan yang cermat. Dalam panduan ini, kami menguraikan apa yang perlu Anda ketahui agar tetap mematuhi HIPAA di media sosial, dan berbagi contoh merek layanan kesehatan yang menonjol di media sosial—meskipun ada batasan peraturan.

Harap diperhatikan: Informasi yang diberikan dalam artikel ini bukan, dan tidak dimaksudkan sebagai, nasihat hukum formal. Harap tinjau penafian lengkap kami sebelum membaca lebih jauh.

Dampak HIPAA pada konten media sosial Anda

Undang-undang privasi HIPAA melindungi informasi sensitif pasien agar tidak diungkapkan secara publik, termasuk di media sosial. Aturan Privasi HIPAA secara tegas melindungi informasi kesehatan pasien yang berkaitan dengan cara data dibagikan, termasuk dalam upaya pemasaran dan periklanan.

Informasi kesehatan sensitif yang dilindungi (PHI) mencakup data tentang kondisi medis pasien di masa lalu, saat ini, atau di masa depan, penyediaan layanan kesehatan kepada individu, dan pembayaran layanan kesehatan di masa lalu, saat ini, atau di masa depan. Mengingat platform media sosial mengumpulkan informasi pengguna, melacak perilaku, dan memiliki lisensi untuk menggunakan aset visual Anda, mudah untuk mengetahui mengapa peraturan ini ada.

Di era dimana pasien berbagi foto sebelum dan sesudah, testimonial, dan informasi sensitif lainnya, penyedia layanan kesehatan harus sangat berhati-hati saat membuat konten media sosial. Peraturan HIPAA juga mengamanatkan perusahaan layanan kesehatan untuk secara hati-hati mengelola interaksi pelanggan di media sosial—termasuk mencegah pasien membagikan PHI, dan menghapusnya jika mereka melakukannya. Kegagalan untuk mematuhi peraturan HIPAA merugikan—baik secara finansial maupun reputasi merek Anda.

Namun, seperti yang ditunjukkan oleh Katherine Van Allen, Senior Solutions Engineer di Sprout, manfaat sosial lebih besar daripada risikonya. “Media sosial harus menjadi bagian dari strategi organisasi layanan kesehatan. Orang-orang yang perlu Anda jangkau ada di media sosial—baik calon pasien atau karyawan. Tanpa kehadiran sosial, Anda tidak akan menjadi bagian dari percakapan penting yang terjadi di sistem Anda. Mulai dari wacana tentang anggota tim atau lokasi, kesalahan administrasi dan tindakan hukum, atau penyebaran informasi yang salah dengan cepat tentang suatu penyakit atau rencana pengobatan. Mendengarkan media sosial akan membantu Anda menentukan area peluang utama.”

Cara membuat pedoman merek untuk mendukung HIPAA dan media sosial

Meskipun Anda harus selalu berkonsultasi dengan penasihat hukum dan tim kepatuhan Anda mengenai kepatuhan HIPAA di media sosial, berikut adalah praktik umum terbaik yang harus diikuti saat Anda membuat pedoman merek.

Visual dengan latar belakang putih dan judul: Cara membuat pedoman merek untuk mendukung HIPAA dan media sosial. Dalam gelembung gelap dan biru tua, instruksi berikut tercantum: 1) Buat kebijakan dan latih tim Anda, 2) Ikuti praktik terbaik de-identifikasi, 3) Pantau pelanggaran HIPAA, 4) Bangun proses untuk persetujuan pasien, 5) Tetap ikuti sampai saat ini tentang perubahan undang-undang.

Buat kebijakan dan latih tim Anda

Mulailah dengan berkonsultasi dengan tim hukum dan kepatuhan Anda, dan jadikan mereka sebagai mitra utama dalam memvalidasi legalitas strategi, kampanye, dan konten Anda. Bekerja samalah dengan mereka untuk mengembangkan protokol kepatuhan media sosial, yang harus mencakup instruksi untuk berkorespondensi dengan orang-orang melalui media sosial.

Biasakan tim Anda dengan protokol ini dengan ikut membuat program pelatihan kepatuhan HIPAA yang menampilkan pendidikan media sosial. Dalam pelatihan Anda, soroti penggunaan data pelanggan yang benar di media sosial dan pelanggaran umum HIPAA.

Ikuti praktik terbaik de-identifikasi

Saat membuat konten media sosial baru, hapus semua PHI dari postingan Anda. PHI mencakup informasi kesehatan yang digunakan bersama dengan pengidentifikasi berikut:

  • Nama (depan, tengah, dan belakang)
  • Indikator geografis lebih kecil dari suatu negara bagian
  • Semua elemen tanggal (kecuali tahun)
  • Nomor telepon dan faks
  • Alamat email
  • Nomor jaminan sosial
  • Rekam medis, penerima rencana kesehatan dan nomor rekening
  • Nomor sertifikat atau lisensi
  • Pengidentifikasi kendaraan
  • Atribut perangkat
  • URL dan alamat IP yang terkait dengan pasien
  • Pengidentifikasi biometrik
  • Foto wajah penuh dan tanda pengenal fisik unik lainnya
  • Nomor atau kode lain apa pun yang dapat mengidentifikasi seseorang

Untuk konteks lebih lanjut, meskipun nama pasien yang dipadukan dengan tanda-tanda vitalnya dianggap PHI, namun tanda-tanda vitalnya saja tidak dianggap.

Pantau pelanggaran HIPAA

Meskipun Anda melakukan segala tindakan pencegahan untuk membatasi penggunaan PHI dalam konten Anda, pasien tetap dapat membahayakan kepatuhan Anda dengan membagikan informasi pribadi mereka. Cegah hal ini dengan menambahkan penafian pada interaksi pesan langsung dan profil merek Anda. Minta pasien untuk tidak membagikan PHI apa pun dan beri tahu mereka ke mana mereka harus mengarahkan pertanyaan.

Jika pasien menyebutkan atau mengirim DM Anda dan membahayakan PHI, segera hapus pesan tersebut, dan arahkan mereka ke saluran yang lebih sesuai. Florence menyarankan, “Bahkan jika Anda menambahkan penafian ke profil atau DM Anda, beberapa pasien masih akan mencari nasihat medis. Untuk mengatasi hal ini, beberapa organisasi menggunakan chatbot dan alat triase untuk secara otomatis memperingatkan mereka tentang potensi PHI, dan merespons atau menghapus konten sensitif.”

Dengan menggunakan alat seperti Balasan Tersimpan Sprout Social, Anda dapat menggunakan balasan yang telah ditulis sebelumnya untuk merespons pelanggan dengan cepat dan mengalihkan percakapan ke saluran yang aman. Anda juga dapat menggunakan pembuat chatbot Sprout untuk secara otomatis mengalihkan pengguna sosial ke alamat email atau saluran aman lainnya untuk percakapan terkait perawatan kesehatan.

Tangkapan layar konfigurasi chatbot di platform manajemen media sosial Sprout Social. Di tangkapan layar, Anda dapat melihat pembuat bot, tempat Anda memasukkan instruksi untuk bot saat menerima pesan dari pengguna sosial yang mengirim pesan ke merek Anda.

Dengan Kotak Masuk Cerdas Sprout, Anda dapat menggunakan penandaan dan pemfilteran untuk menandai pesan yang berisi PHI, dan membangun alur kerja yang menghapus pesan tersebut.

Tangkapan layar alat Kotak Masuk Cerdas Sprout Social yang menampilkan pesan dari berbagai platform sosial dalam satu umpan.

Bangun proses untuk persetujuan pasien

Mungkin ada beberapa kasus di mana pasien (atau keluarga mereka) tertarik untuk berbagi cerita mereka dengan audiens Anda, seperti TikTok Halloween yang menggemaskan dari NICU Klinik Cleveland.

@clevelandclinic

Halloween bersama bayi kami di NICU bukanlah trik, melainkan suguhan! Kostum tahun ini meliputi monyet, harimau, burung hantu, Buzz Lightyear, Woody, dan bajak laut. Topi spesial mereka adalah hadiah buatan tangan. Halloween tidak pernah semanis ini!

♬ Halloween – Lux-Inspirasi

Memiliki proses yang efisien dan terdokumentasi dengan jelas untuk mendapatkan persetujuan tertulis dan otorisasi HIPAA untuk mengungkapkan PHI dari pasien sebelum membagikan cerita, foto, dan/atau video tersebut.

Ikuti perkembangan terkini mengenai perubahan undang-undang

Jadikanlah praktik rutin untuk selalu mengikuti perkembangan perubahan legislatif di tingkat federal dan negara bagian. Tinjau sumber daya secara rutin seperti situs web Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS). Anda juga dapat mengikuti HHS dan Tinjauan Hukum Nasional di bidang sosial untuk mendapatkan informasi terkini secara real-time, termasuk putusan kasus terkait pelanggaran data HIPAA.

Sebuah postingan di X (sebelumnya dikenal sebagai Twitter) dari National Law Review. Postingan tersebut berbunyi: HHS-OCR menjelaskan bagaimana Persyaratan Aturan Keamanan HIPAA melindungi dari serangan siber. Postingan tersebut menyertakan link ke halaman di situs National Law Review.

Mencari lebih banyak sumber daya? Kami menyusun lembar contekan kepatuhan HIPAA pada sosial yang dapat membantu Anda tetap patuh, sekaligus menjalankan strategi sosial yang efektif dan kreatif.

Pelanggaran umum HIPAA dan peran media sosial

Meskipun kepatuhan HIPAA di bidang sosial itu rumit, risiko moneter, reputasi, dan yang paling penting, kesejahteraan pasien terlalu besar untuk dianggap salah. Berikut adalah pelanggaran HIPAA paling umum yang harus Anda hindari.

Visual dengan latar belakang putih dan judul: Pelanggaran umum HIPAA di media sosial. Dalam gelembung berwarna biru tua dan biru, pelanggaran berikut dicantumkan: 1) Menyembunyikan rincian pasien di depan mata, 2) Memvalidasi informasi kesehatan, 3) Membatasi pelatihan hanya pada saluran perusahaan dan personel berbayar.

Menyembunyikan detail pasien di depan mata

Meskipun Anda tidak secara eksplisit menyertakan wajah, nama, tanggal, atau pengenal lain yang jelas, beberapa detail situasi dapat mengungkapkan informasi pribadi pasien. Baik Florence maupun Van Allen menyarankan peninjauan cermat terhadap fotografi dan video sebelum diposting. Pastikan tidak ada informasi yang dilindungi di latar belakang media Anda.

Van Allen memperingatkan, “Sesuatu yang tampaknya tidak berbahaya seperti foto ruang staf bisa jadi merupakan pelanggaran. Seseorang dapat memperbesar grafik pasien yang ada di atas meja, dan dapat mengidentifikasi nama mereka atau PHI lainnya.”

Memvalidasi informasi kesehatan

“Banyak pasien mengirim pesan ke merek layanan kesehatan dengan berpikir bahwa pesan mereka akan sampai ke dokter—yang berarti mereka menyertakan PHI yang sensitif dalam penjangkauan mereka,” kata Florence. Seperti yang kami sebutkan di bagian sebelumnya, sangat penting untuk menghapus PHI apa pun, bahkan ketika pasien memberikannya tanpa diminta.

Namun satu hal penting yang terlewatkan oleh banyak organisasi adalah Anda juga harus menahan diri untuk tidak memvalidasi PHI. Misalnya, jika seorang pasien mengomentari postingan Anda dan mengungkapkan bahwa mereka mengidap suatu penyakit, Anda tidak boleh mengakui penyakit tersebut dalam tanggapan Anda. Ini bisa jadi merupakan pelanggaran HIPAA. Berikut adalah beberapa contoh skenario:

Contoh pesan pasien: @Rumah Sakit, saya baru saja didiagnosis menderita diabetes, dan saya ingin tahu dokter mana yang berspesialisasi dalam perawatan diabetes?

Tidak mematuhi HIPAA: @Pasien, kami tahu bahwa menjalani diagnosis diabetes baru dapat menjadi tantangan, dan kami siap membantu. Hubungi langsung kantor Dr. Smith untuk menjadwalkan konsultasi.

Sesuai dengan HIPAA: @Pasien, kami telah menghapus komentar Anda untuk melindungi privasi Anda. Silakan hubungi atau hubungi tim kami melalui email untuk mendapatkan bantuan.

Membatasi pelatihan pada saluran perusahaan dan personel berbayar

Dengan membatasi pelatihan hanya pada saluran perusahaan dan personel berbayar, organisasi layanan kesehatan menciptakan kesenjangan pengetahuan yang dapat menyebabkan dampak buruk. Misalnya, seorang pekerja magang yang bersemangat dapat memposting foto selfie dengan seorang pasien. Atau seorang mahasiswa residensi secara tidak sengaja mengungkap PHI dalam TikTok yang lucu.

Organisasi layanan kesehatan harus ingat bahwa HIPAA berlaku untuk semua orang yang berada di bawah kendali entitas yang dilindungi—termasuk relawan, pelajar, dan personel tidak dibayar. Ini juga merangkum profil sosial di luar akun perusahaan, termasuk akun pribadi anggota staf.

Apa arti HIPAA bagi vendor media sosial Anda

Kepatuhan dan keamanan HIPAA harus menjadi perhatian utama saat memilih vendor dan alat perangkat lunak. Selama evaluasi platform Anda, harap tim keamanan dan privasi Anda waspada terhadap cara data digunakan ketika data tersebut diintegrasikan ke dalam tumpukan teknologi yang lebih besar.

Temukan solusi manajemen dengan tingkat izin dan fungsi persetujuan pesan untuk memastikan hanya pihak yang bertanggung jawab yang dapat memposting. Pastikan langkah-langkah keamanan siber diterapkan untuk melindungi PHI pada perangkat elektronik seperti enkripsi atau firewall.

Ambil langkah lebih jauh dan temukan solusi manajemen media sosial yang bersedia menandatangani perjanjian rekanan bisnis (BAA)—kontrak yang mengikat secara hukum yang menentukan tanggung jawab masing-masing pihak terkait kepatuhan PHI dan HIPAA. Seperti yang dirinci Florence, “Anda harus bekerja dengan mitra seperti Sprout Social yang dapat menandatangani BAA, dan mengambil risiko dan tanggung jawab bersama Anda.”

Merek layanan kesehatan untuk dipelajari

Keempat organisasi layanan kesehatan ini menunjukkan bahwa kehadiran aktif di media sosial masih mungkin dan penting, bahkan dalam industri yang diatur.

Klinik Mayo

Mayo Clinic, rumah sakit peringkat teratas di negara ini, menggunakan media sosial untuk membangun merek perusahaan mereka. Seperti saat mereka membagikan ulang postingan dari Ketua Transplantasi yang merayakan bulan sukses. Perhatikan bagaimana postingan tersebut tidak mengungkapkan informasi sensitif pasien apa pun, namun berfokus pada pencapaian dan kaliber tinggi tim transplantasi.

Tangkapan layar postingan LinkedIn dari Bashar Aqel yang diposting ulang oleh Mayo Clinic. Postingan tersebut menjelaskan bagaimana Mayo di Klinik di Arizona berhasil melakukan sejumlah prosedur yang berhasil, dan berterima kasih kepada seluruh staf atas kerja luar biasa mereka dan pasien karena mempercayai Mayo dalam perawatan mereka. Postingan tersebut memuat foto staf Mayo Clinic of Arizona yang berdiri bersama dalam kelompok besar di luar.

Mayo Clinic juga membagikan profil relawan, dokter, dan personel lainnya untuk lebih memanusiakan perusahaan mereka, seperti video yang mengharukan tentang seorang penyintas Holocaust yang menjadi sukarelawan.

Tangkapan layar postingan LinkedIn dari Mayo Clinic yang menceritakan kisah salah satu relawan mereka, seorang penyintas Holocaust bernama Kurt. Postingan tersebut juga menyertakan video dimana Kurt menceritakan kisahnya dengan kata-katanya sendiri.

Sistem rumah sakit melengkapi postingan ini dengan tips kesehatan dan gaya hidup umum untuk menginspirasi pengikutnya, dan meningkatkan kesejahteraan, seperti dalam carousel tentang manfaat pergerakan sehari-hari.

Lihat postingan ini di Instagram

Sebuah pos dibagikan oleh Mayo Clinic (@mayoclinic)

Klinik Cleveland

Cleveland Clinic, sebuah pusat medis akademis terkemuka, selalu mengikuti tren percakapan kesehatan dan menggunakan keahlian mereka untuk terus memberi informasi kepada komunitas tentang laporan kesehatan masyarakat yang baru.

Seperti di Reel ini di mana mereka menyelidiki manfaat dari tren kesehatan terbaru di media sosial, mandi air dingin atau mandi air dingin. Postingan tersebut menguraikan cara mendapatkan manfaat dari tren ini, sambil tetap aman dan sehat.

Lihat postingan ini di Instagram

Sebuah pos dibagikan oleh Klinik Cleveland (@clevelandclinic)

Pusat medis ini juga membagikan laporan kesehatan masyarakat terbaik yang dihasilkan oleh organisasi mereka. Mereka biasanya merangkum secara singkat temuan-temuan utama laporan tersebut, sambil menyertakan tautannya sehingga orang dapat membaca lebih lanjut, seperti yang mereka lakukan di postingan ini.

Tangkapan layar postingan Facebook oleh Klinik Cleveland tentang penggunaan alkohol dalam jumlah besar di kalangan orang Amerika. Postingan tersebut tertaut ke artikel tentang dampak kesehatan dari pesta minuman keras.

Rumah Sakit Anak Boston

Rumah Sakit Anak Boston adalah rumah bagi program penelitian pediatrik berbasis rumah sakit terbesar di dunia. Organisasi ini menggunakan saluran sosial mereka untuk menyoroti penelitian inovatif (dan para peneliti di baliknya) seperti yang mereka lakukan dalam postingan ini tentang ahli genetika klinis terkemuka yang memajukan hasil kesehatan anak-anak.

Tangkapan layar postingan LinkedIn oleh Rumah Sakit Anak Boston tentang Maya Chopra, ahli genetika klinis yang mempelajari penyakit langka di rumah sakit. Postingan tersebut tertaut ke artikel tentang penelitian pediatrik.

Mereka juga menampilkan pasien yang mendapat manfaat dari perawatan canggih mereka dengan mewawancarai keluarga mereka, seperti dalam fitur di Facebook ini tentang kekuatan pengujian genetik untuk anak-anak penderita epilepsi.

Tangkapan layar postingan Facebook oleh Rumah Sakit Anak Boston. Postingan tersebut berbunyi: Pengujian genetik memberikan jawaban kepada keluarga Wilson saat mereka mengatasi epilepsi masa kanak-kanaknya. Postingan tersebut tertaut ke blog tentang perjalanan pengujian genetik bayi Wilson.

Lagu Kebangsaan Blue Cross Blue Shield

Anthem Blue Cross Blue Shield adalah penyedia paket asuransi kesehatan tepercaya. Di bidang sosial, mereka berbagi statistik bermakna tentang nilai yang mereka tawarkan kepada anggotanya, termasuk postingan tentang laba atas investasi yang diperoleh pemberi kerja dari berinvestasi dalam pemulihan dan dukungan kecanduan di tempat kerja.

Postingan LinkedIn dari Anthem Blue Cross dan Blue Shield tentang manfaat investasi dalam program kesehatan dan pemulihan perilaku bagi perusahaan.

Mereka juga berbagi penghargaan dan akreditasi yang menunjukkan komitmen mereka terhadap kepedulian dan keunggulan anggota, seperti postingan ini tentang pengakuan mereka dari NCQA.

Sebuah postingan di X dari Anthem Blue Cross dan Blue Shield yang berbunyi: Kami merasa terhormat sekali lagi menjadi dataran dengan peringkat teratas di Connecticut oleh NCQA. Pekerjaan kami berpusat pada peningkatan akses terhadap layanan kesehatan berkualitas tinggi dan terjangkau serta meningkatkan hasil kesehatan.

Sebagai penyedia paket asuransi populer, mereka menerima banyak pertanyaan tentang rincian kebijakan anggota di bidang sosial. Tim kepedulian mereka mengilustrasikan cara mengarahkan percakapan dari forum publik ke saluran pribadi yang lebih tepat dan aman, seperti dalam balasan ini di mana mereka meminta anggota untuk mengirim email ke pusat bantuan mereka.

Pesan dari Anthem Blue Cross dan Blue Shield menanggapi pengguna media sosial, meminta mereka mengirim email untuk dukungan pelanggan.

Navigasi HIPAA dan media sosial dengan percaya diri

Kepatuhan HIPAA di media sosial adalah proses multi-langkah dan berkelanjutan yang melibatkan penyelarasan erat dengan tim hukum dan keamanan Anda, serta mengembangkan pendidikan antardepartemen. Dengan mengikuti praktik terbaik utama yang melindungi data pasien dan kesehatan merek organisasi Anda, Anda akan diperlengkapi untuk menavigasi protokol HIPAA yang kompleks dan mengembangkan kehadiran sosial Anda dengan percaya diri.

Langkah berikutnya: Setelah Anda membaca artikel ini, masukkan kalender pertemuan dengan tim hukum dan keamanan untuk mulai merencanakan upaya pendidikan di seluruh organisasi, dan pelajari tolok ukur media sosial layanan kesehatan untuk lebih memahami peran sosial di komunitas Anda perangkat keterlibatan.

Penafian

Informasi yang diberikan dalam artikel ini bukan, dan tidak dimaksudkan untuk, merupakan nasihat hukum formal; semua informasi, konten, poin, dan materi adalah untuk tujuan informasi umum. Informasi di situs web ini mungkin bukan informasi hukum atau informasi lainnya yang paling mutakhir. Penggabungan pedoman apa pun yang diberikan dalam artikel ini tidak menjamin bahwa risiko hukum Anda berkurang. Pembaca artikel ini harus menghubungi tim hukum atau pengacara mereka untuk mendapatkan nasihat sehubungan dengan masalah hukum tertentu dan harus menahan diri untuk tidak bertindak berdasarkan informasi dalam artikel ini tanpa terlebih dahulu mencari nasihat hukum independen. Penggunaan, dan akses terhadap, artikel ini atau tautan atau sumber apa pun yang terkandung dalam situs ini tidak menciptakan hubungan pengacara-klien antara pembaca, pengguna atau browser dan kontributor atau firma hukum yang berkontribusi. Pandangan yang diungkapkan oleh kontributor artikel ini adalah milik mereka sendiri dan tidak mencerminkan pandangan Sprout Social. Segala tanggung jawab sehubungan dengan tindakan yang diambil atau tidak diambil berdasarkan isi artikel ini dengan tegas disangkal.