Um guia da equipe de saúde para conformidade com a HIPAA nas redes sociais

Publicados: 2023-12-06

Seria difícil encontrar profissionais de marketing de saúde que não entendessem o valor das mídias sociais para a saúde, de acordo com Jill Florence, diretora de vendas empresariais do Sprout Social.

Como explica Florence, “O social é uma parte inegociável da promoção do reconhecimento da marca e da construção de conexões com pacientes, médicos e membros da comunidade. Mas pode ser um desafio para as equipes de marketing na linha de frente digital superar as preocupações das equipes de segurança e privacidade – especialmente na interseção da HIPAA e das mídias sociais.”

Muitas organizações relatam que as medidas de conformidade com a HIPAA inibem a sua estratégia, pois alguns dos conteúdos de saúde mais envolventes que criam apresentam estudos inovadores, testemunhos de pacientes e descobertas médicas, que exigem processos de aprovação demorados e execução cuidadosa. Neste guia, detalhamos o que você precisa saber para permanecer em conformidade com a HIPAA nas redes sociais e compartilhamos exemplos de marcas de saúde que brilham nas redes sociais, apesar das limitações regulatórias.

Observação: as informações fornecidas neste artigo não constituem e não pretendem constituir aconselhamento jurídico formal. Por favor, revise nosso aviso completo antes de continuar lendo.

O impacto da HIPAA em seu conteúdo de mídia social

As leis de privacidade da HIPAA protegem informações confidenciais dos pacientes contra divulgação pública, inclusive nas redes sociais. A Regra de Privacidade da HIPAA protege expressamente as informações de saúde do paciente no que se refere à forma como os dados são compartilhados, inclusive em esforços de marketing e publicidade.

Informações confidenciais de saúde protegidas (PHI) incluem dados sobre condições médicas passadas, presentes ou futuras de um paciente, prestação de cuidados de saúde ao indivíduo e pagamentos de cuidados de saúde passados, presentes ou futuros. Dado que as plataformas de mídia social reúnem informações do usuário, rastreiam o comportamento e têm licença para usar seus recursos visuais, é fácil ver por que essas regulamentações existem.

Na era do compartilhamento de fotos do antes e depois dos pacientes, depoimentos e outras informações confidenciais, os profissionais de saúde devem ter extremo cuidado ao criar conteúdo de mídia social. As regulamentações da HIPAA também exigem que as empresas de saúde gerenciem cuidadosamente as interações com os clientes nas redes sociais – o que inclui impedir que os pacientes compartilhem PHI e excluí-las, caso o façam. O não cumprimento dos regulamentos da HIPAA custa caro – tanto financeiramente quanto para a reputação da sua marca.

No entanto, como aponta Katherine Van Allen, engenheira de soluções sênior do Sprout, os benefícios do social superam os riscos. “As redes sociais devem fazer parte da estratégia das organizações de saúde. As pessoas que você precisa alcançar estão nas redes sociais – sejam possíveis pacientes ou funcionários. Sem presença social, você não participa de conversas vitais que acontecem sobre o seu sistema. Desde discursos sobre um membro da equipe ou local, erros administrativos e ações legais, ou disseminação rápida de desinformação sobre uma doença ou plano de tratamento. Ouvir as mídias sociais ajudará você a identificar as principais áreas de oportunidade.”

Como criar diretrizes de marca para apoiar HIPAA e mídias sociais

Embora você deva sempre consultar seu consultor jurídico e equipe de conformidade em relação à conformidade com a HIPAA nas redes sociais, aqui estão as práticas recomendadas gerais a serem seguidas ao criar as diretrizes de sua marca.

Um visual com fundo branco e o título: Como criar diretrizes de marca para apoiar a HIPAA e as mídias sociais. Nos balões azul escuro e azul royal, as seguintes instruções estão listadas: 1) Elabore políticas e treine sua equipe, 2) Siga as melhores práticas de desidentificação, 3) Monitore violações da HIPAA, 4) Crie um processo para aprovações de pacientes, 5) Mantenha-se atualizado até o momento sobre mudanças legislativas.

Elabore políticas e treine sua equipe

Comece consultando suas equipes jurídica e de compliance e torne-as um parceiro fundamental na validação da legalidade de sua estratégia, campanhas e conteúdo. Trabalhe com eles para desenvolver um protocolo de conformidade com as redes sociais, que deve incluir instruções para se corresponder com as pessoas através das redes sociais.

Familiarize sua equipe com este protocolo co-criando programas de treinamento em conformidade com a HIPAA que apresentam educação em mídia social. Em seu treinamento, destaque o uso adequado dos dados do cliente nas redes sociais e as violações comuns da HIPAA.

Siga as práticas recomendadas de desidentificação

Ao criar novo conteúdo de mídia social, remova todas as PHI de suas postagens. PHI inclui informações de saúde usadas juntamente com os seguintes identificadores:

  • Nomes (primeiro, do meio e último)
  • Indicadores geográficos menores que um estado
  • Todos os elementos de uma data (exceto ano)
  • Números de telefone e fax
  • Endereço de e-mail
  • Números de segurança social
  • Registro médico, beneficiário do plano de saúde e números de conta
  • Números de certificado ou licença
  • Identificadores de veículos
  • Atributos do dispositivo
  • URLs e endereços IP associados a pacientes
  • Identificadores biométricos
  • Fotografias de rostos completos e outros identificadores físicos exclusivos
  • Quaisquer outros números ou códigos que possam identificar um indivíduo

Para maior contexto, embora o nome de um paciente associado aos seus sinais vitais seja considerado PHI, os seus sinais vitais por si só não o são.

Monitore violações da HIPAA

Mesmo que você tome todas as precauções para limitar o uso de PHI em seu conteúdo, os pacientes ainda podem colocar sua conformidade em risco ao compartilharem eles próprios informações pessoais. Evite isso adicionando isenções de responsabilidade às suas interações de mensagens diretas e perfis de marca. Peça aos pacientes que evitem compartilhar qualquer PHI e informe-os para onde devem encaminhar as consultas.

Se um paciente mencionar ou mandar uma mensagem para você e comprometer o PHI, exclua a mensagem imediatamente e encaminhe-o para um canal mais apropriado. Florence aconselha: “Mesmo que você adicione um aviso de isenção de responsabilidade ao seu perfil ou mensagens diretas, alguns pacientes ainda procurarão orientação médica. Para combater isso, algumas organizações usam chatbots e ferramentas de triagem para alertá-las automaticamente sobre possíveis PHI e responder ou excluir conteúdo confidencial.”

Ao usar uma ferramenta como as Respostas salvas do Sprout Social, você pode usar respostas pré-escritas para responder rapidamente aos clientes e redirecionar a conversa para um canal seguro. Você também pode usar o construtor de chatbot do Sprout para redirecionar automaticamente os usuários sociais para um endereço de e-mail ou outro canal seguro para conversas relacionadas à saúde.

Uma captura de tela da configuração do chatbot na plataforma de gerenciamento de mídia social Sprout Social. Na captura de tela, você pode ver o construtor de bots, onde você insere instruções para bots ao receber uma mensagem de usuários sociais que enviam mensagens para sua marca.

Com a Caixa de entrada inteligente do Sprout, você pode usar marcação e filtragem para sinalizar mensagens que contenham PHI e criar fluxos de trabalho que excluam essas mensagens.

Uma captura de tela da ferramenta Smart Inbox do Sprout Social exibindo mensagens de várias plataformas sociais em um feed.

Crie um processo para aprovações de pacientes

Pode haver alguns casos em que os pacientes (ou suas famílias) estejam interessados ​​em compartilhar suas histórias com o seu público, como este adorável TikTok de Halloween da UTIN da Cleveland Clinic.

@clevelandclinic

O Halloween com nossos bebês na UTIN não foi uma brincadeira, mas sim uma delícia! As fantasias deste ano incluem macaco, tigre, coruja, Buzz Lightyear, Woody e um pirata. Seus chapéus especiais são um presente feito à mão. O Halloween nunca foi tão doce!

♬ Halloween – Lux-Inspira

Tenha um processo simplificado e claramente documentado para obter consentimento por escrito e autorização HIPAA para divulgar PHI de um paciente antes de compartilhar essas histórias, fotografias e/ou vídeos.

Mantenha-se atualizado sobre as alterações legislativas

Torne uma prática regular manter-se atualizado sobre as mudanças legislativas nos níveis federal e estadual. Revise regularmente recursos como o site do Departamento de Saúde e Serviços Humanos (HHS) dos EUA. Você também pode acompanhar o HHS e a National Law Review nas redes sociais para obter atualizações em tempo real, incluindo decisões de casos relacionados a violações de dados da HIPAA.

Uma postagem no X (anteriormente conhecido como Twitter) da National Law Review. A postagem diz: HHS-OCR explica como os requisitos de regras de segurança da HIPAA protegem contra ataques cibernéticos. A postagem inclui um link para uma página no site da National Law Review.

Procurando mais recursos? Elaboramos uma folha de dicas sociais sobre conformidade HIPAA que pode ajudá-lo a permanecer em conformidade, ao mesmo tempo em que executa uma estratégia social eficaz e criativa.

Violações comuns da HIPAA e o papel das mídias sociais

Embora a conformidade com a HIPAA nas redes sociais seja complexa, os riscos monetários, de reputação e, mais importante, de bem-estar do paciente são demasiado elevados para se errar. Aqui estão as violações mais comuns da HIPAA que você deve evitar.

Um visual com fundo branco e o título: Violações comuns da HIPAA nas redes sociais. Nos balões azul escuro e azul royal estão listadas as seguintes violações: 1) Ocultar detalhes do paciente à vista de todos, 2) Validar informações de saúde, 3) Limitar o treinamento a canais corporativos e pessoal remunerado.

Escondendo detalhes do paciente à vista de todos

Mesmo que você não inclua explicitamente rostos, nomes, datas ou outros identificadores óbvios, alguns detalhes situacionais podem revelar informações pessoais de um paciente. Tanto Florence quanto Van Allen aconselham uma análise cuidadosa das fotografias e vídeos antes de postar. Certifique-se de que não haja informações protegidas no fundo da sua mídia.

Van Allen alerta: “Algo que parece tão inócuo como uma foto de uma sala dos funcionários pode ser uma violação. Alguém poderia ampliar o prontuário de um paciente sobre a mesa e ser capaz de identificar seu nome ou outra PHI.”

Validando informações de saúde

“Muitos pacientes enviam mensagens a marcas de cuidados de saúde pensando que a sua mensagem chegará aos seus médicos – o que significa que incluem PHI sensíveis na sua divulgação”, diz Florence. Como mencionamos na seção anterior, é fundamental excluir qualquer PHI, mesmo quando o paciente as fornece sem ser solicitado.

Mas uma nuance crítica que muitas organizações não percebem é que você também deve evitar validar PHI. Por exemplo, se um paciente comentar na sua postagem e revelar que tem uma doença, você não deve reconhecer essa doença na sua resposta. Pode ser uma violação da HIPAA. Aqui estão alguns exemplos de cenários:

Exemplo de mensagem de paciente: @Hospital, fui recentemente diagnosticado com diabetes e gostaria de saber qual dos seus médicos é especialista no tratamento do diabetes?

Não compatível com HIPAA: @Paciente, sabemos que lidar com um novo diagnóstico de diabetes pode ser desafiador e estamos aqui para ajudar. Ligue diretamente para o consultório do Dr. Smith para agendar uma consulta.

Compatível com HIPAA: @Paciente, excluímos seu comentário para proteger sua privacidade. Ligue ou entre em contato com nossa equipe por e-mail para obter ajuda.

Limitar o treinamento a canais corporativos e pessoal remunerado

Ao limitar a formação aos canais empresariais e ao pessoal remunerado, as organizações de saúde criam lacunas de conhecimento que podem causar grandes conflitos. Por exemplo, um estagiário entusiasmado poderia postar uma selfie com um paciente. Ou um estudante de residência pode acidentalmente revelar PHI em um TikTok engraçado.

As organizações de saúde devem lembrar-se de que a HIPAA se aplica a todas as pessoas sob o controlo de uma entidade coberta – incluindo voluntários, estudantes e pessoal não remunerado. Também encapsula perfis sociais além da conta corporativa, incluindo as contas pessoais dos funcionários.

O que HIPAA significa para seus fornecedores de mídia social

A conformidade e a segurança da HIPAA devem ser uma prioridade ao selecionar fornecedores e ferramentas de software. Durante as avaliações da sua plataforma, espere que as suas equipes de segurança e privacidade estejam vigilantes sobre as formas como os dados são usados ​​quando são integrados em pilhas tecnológicas maiores.

Encontre uma solução de gerenciamento com níveis de permissão e funcionalidade de aprovação de mensagens para garantir que apenas as partes responsáveis ​​possam postar. Certifique-se de que medidas de segurança cibernética estejam em vigor para proteger as PHI em dispositivos eletrônicos, como criptografia ou firewalls.

Dê um passo adiante e encontre uma solução de gerenciamento de mídia social que esteja disposta a assinar um acordo de parceria comercial (BAA) – um contrato juridicamente vinculativo que especifica as responsabilidades de cada parte quando se trata de conformidade com PHI e HIPAA. Como detalha Florence: “Você deve trabalhar com um parceiro como o Sprout Social, que pode assinar um BAA e assumir os riscos e responsabilidades com você”.

Marcas de saúde com as quais aprender

Estas quatro organizações de saúde demonstram que ter uma presença ativa nas redes sociais ainda é possível e importante, mesmo em setores regulamentados.

clínica Mayo

A Mayo Clinic, o hospital mais bem avaliado do país, usa a mídia social para construir sua marca empregadora. Como quando compartilharam de novo uma postagem de um Presidente de Transplante que comemorou um mês de sucesso. Observe como a postagem não revela nenhuma informação confidencial do paciente, mas concentra-se nas realizações e no alto calibre da equipe de transplante.

Uma captura de tela de uma postagem de Bashar Aqel no LinkedIn que foi republicada pela Mayo Clinic. A postagem explica como a Mayo in Clinic no Arizona realizou com sucesso um número recorde de procedimentos bem-sucedidos e agradeceu a toda a equipe por seu excelente trabalho e aos pacientes por confiarem seus cuidados à Mayo. A postagem inclui uma foto da equipe da Clínica Mayo do Arizona reunida em um grande grupo do lado de fora.

A Clínica Mayo também compartilha perfis de seus voluntários, médicos e outros funcionários para humanizar ainda mais sua empresa, como este vídeo comovente sobre um sobrevivente do Holocausto que se tornou voluntário.

Uma captura de tela de uma postagem no LinkedIn da Clínica Mayo que conta a história de um de seus voluntários, um sobrevivente do Holocausto chamado Kurt. A postagem também inclui um vídeo onde Kurt conta sua história com suas próprias palavras.

O sistema hospitalar complementa essas postagens com dicas gerais de saúde e estilo de vida para inspirar seus seguidores e promover o bem-estar, como neste carrossel sobre os benefícios do movimento diário.

Veja esta postagem no Instagram

Uma postagem compartilhada pela Clínica Mayo (@mayoclinic)

Clínica Cleveland

A Cleveland Clinic, um importante centro médico acadêmico, acompanha as tendências das conversas sobre saúde e usa sua experiência para manter sua comunidade informada sobre novos relatórios de saúde pública.

Como neste Reel, onde eles investigam os benefícios da última moda em saúde nas redes sociais, mergulho frio ou banho frio. A postagem explica como colher os frutos da tendência, mantendo-se seguro e saudável.

Veja esta postagem no Instagram

Uma postagem compartilhada pela Cleveland Clinic (@clevelandclinic)

O centro médico também compartilha os principais relatórios de saúde pública produzidos por sua organização. Eles normalmente resumem brevemente as principais conclusões do relatório, ao mesmo tempo que incluem o link para que as pessoas possam ler mais, como fizeram nesta postagem.

Uma captura de tela de uma postagem no Facebook da Cleveland Clinic sobre o uso excessivo de álcool entre americanos. A postagem leva a um artigo sobre os impactos do consumo excessivo de álcool na saúde.

Hospital Infantil de Boston

O Hospital Infantil de Boston abriga o maior programa de pesquisa pediátrica hospitalar do mundo. A organização usa seus canais sociais para destacar pesquisas inovadoras (e os pesquisadores por trás delas), como fizeram nesta postagem sobre um importante geneticista clínico que promove os resultados de saúde infantil.

Uma captura de tela de uma postagem no LinkedIn do Hospital Infantil de Boston sobre Maya Chopra, uma geneticista clínica que estuda doenças raras no hospital. A postagem leva a um artigo sobre pesquisa pediátrica.

Eles também apresentam os pacientes que se beneficiam de seus tratamentos de última geração, entrevistando suas famílias, como neste artigo do Facebook sobre o poder dos testes genéticos para crianças com epilepsia.

Uma captura de tela de uma postagem no Facebook do Hospital Infantil de Boston. A postagem diz: Os testes genéticos trouxeram respostas para a família de Wilson enquanto eles enfrentavam sua epilepsia infantil. A postagem leva a um blog sobre a jornada de testes genéticos do bebê Wilson.

Hino Cruz Azul Escudo Azul

Anthem Blue Cross Blue Shield é um provedor confiável de planos de saúde. Nas redes sociais, eles compartilham estatísticas significativas sobre o valor que oferecem aos seus membros, incluindo esta postagem sobre o retorno do investimento que os empregadores obtêm ao investir na recuperação e no apoio ao vício no local de trabalho.

Uma postagem no LinkedIn da Anthem Blue Cross e Blue Shield sobre os benefícios para os empregadores de investir em programas de saúde comportamental e recuperação.

Eles também compartilham prêmios e credenciamentos que demonstram seu compromisso com o atendimento e a excelência dos membros, como esta postagem sobre seu reconhecimento pelo NCQA.

Uma postagem no X da Anthem Blue Cross e Blue Shield que diz: Estamos honrados em ser mais uma vez uma planície bem avaliada em Connecticut pela NCQA. Nosso trabalho se concentra em aumentar o acesso a cuidados de saúde acessíveis e de alta qualidade e em melhorar os resultados de saúde.

Como um provedor de planos de seguro popular, eles recebem muitas perguntas sobre detalhes de apólices de membros nas redes sociais. A equipe de atendimento ilustra como encaminhar conversas de fóruns públicos para canais privados mais apropriados e seguros, como nesta resposta, em que pedem a um membro que envie um e-mail para sua central de ajuda.

Uma mensagem da Anthem Blue Cross e Blue Shield respondendo a um usuário de mídia social, pedindo-lhe que enviasse um e-mail para suporte ao cliente.

Navegue pela HIPAA e pelas mídias sociais com confiança

A conformidade com a HIPAA nas mídias sociais é um processo contínuo e de várias etapas que envolve o alinhamento estreito com suas equipes jurídicas e de segurança e o desenvolvimento de educação interdepartamental. Ao seguir as principais práticas recomendadas que protegem os dados dos pacientes e a saúde da marca da sua organização, você estará preparado para navegar pelos protocolos complexos da HIPAA e desenvolver sua presença social com confiança.

Próximas etapas: agora que você leu este artigo, marque uma reunião com suas equipes jurídica e de segurança na agenda para começar a planejar seus esforços educacionais em toda a organização e atualize os benchmarks de mídia social de saúde para entender melhor o papel das redes sociais em sua comunidade kit de ferramentas de engajamento.

Isenção de responsabilidade

As informações fornecidas neste artigo não constituem e não pretendem constituir aconselhamento jurídico formal; todas as informações, conteúdos, pontos e materiais são para fins informativos gerais. As informações neste site podem não constituir as informações legais ou outras informações mais atualizadas. A incorporação de quaisquer diretrizes fornecidas neste artigo não garante que o seu risco legal seja reduzido. Os leitores deste artigo devem entrar em contato com sua equipe jurídica ou advogado para obter aconselhamento com relação a qualquer questão jurídica específica e devem abster-se de agir com base nas informações deste artigo sem primeiro procurar aconselhamento jurídico independente. O uso e o acesso a este artigo ou a qualquer um dos links ou recursos contidos no site não criam uma relação advogado-cliente entre o leitor, usuário ou navegador e quaisquer colaboradores ou escritórios de advocacia contribuintes. As opiniões expressas por qualquer colaborador deste artigo são próprias e não refletem as opiniões do Sprout Social. Toda a responsabilidade com relação a ações tomadas ou não tomadas com base no conteúdo deste artigo é expressamente rejeitada.