Руководство для медицинских работников по соблюдению требований HIPAA в социальных сетях

Опубликовано: 2023-12-06

По словам Джилл Флоренс, директора по корпоративным продажам в Sprout Social, вам будет сложно найти маркетологов в сфере здравоохранения, которые не понимают ценность социальных сетей для здравоохранения.

Как объясняет Флоренс: «Социальные сети — это неотъемлемая часть повышения узнаваемости бренда и построения связей с пациентами, врачами и членами сообщества. Но для маркетинговых команд, работающих на переднем крае цифровых технологий, может оказаться непростой задачей преодолеть опасения команд по безопасности и конфиденциальности, особенно на стыке HIPAA и социальных сетей».

Многие организации сообщают, что меры по соблюдению требований HIPAA препятствуют их стратегии, поскольку некоторые из наиболее интересных материалов о здравоохранении, которые они создают, включают инновационные исследования, отзывы пациентов и медицинские открытия, которые требуют длительных процессов утверждения и тщательного исполнения. В этом руководстве мы рассказываем, что вам нужно знать, чтобы соблюдать требования HIPAA в социальных сетях, и делимся примерами брендов здравоохранения, которые демонстрируют успех в социальных сетях, несмотря на нормативные ограничения.

Обратите внимание: информация, представленная в этой статье, не представляет собой официальную юридическую консультацию и не предназначена для нее. Пожалуйста, ознакомьтесь с нашим полным отказом от ответственности, прежде чем читать дальше.

Влияние HIPAA на ваш контент в социальных сетях

Законы о конфиденциальности HIPAA защищают конфиденциальную информацию о пациентах от публичного раскрытия, в том числе в социальных сетях. Правило конфиденциальности HIPAA прямо защищает информацию о здоровье пациентов в том, что касается способа ее распространения, в том числе в маркетинговых и рекламных целях.

Конфиденциальная защищенная медицинская информация (ЗМИ) включает данные о прошлом, настоящем или будущем состоянии здоровья пациента, предоставлении ему медицинской помощи и прошлых, настоящих или будущих платежах за медицинские услуги. Учитывая, что платформы социальных сетей собирают информацию о пользователях, отслеживают их поведение и имеют лицензию на использование ваших визуальных ресурсов, легко понять, почему существуют эти правила.

В эпоху обмена фотографиями пациентов до и после, отзывами и другой конфиденциальной информацией поставщики медицинских услуг должны проявлять крайнюю осторожность при создании контента в социальных сетях. Правила HIPAA также обязывают медицинские компании тщательно управлять взаимодействием с клиентами в социальных сетях, что включает в себя предотвращение раскрытия пациентами закрытой медицинской информации и ее удаление, если они это делают. Несоблюдение правил HIPAA дорого обходится как финансово, так и для репутации вашего бренда.

Однако, как отмечает Кэтрин Ван Аллен, старший инженер по решениям в Sprout, преимущества социальных сетей перевешивают риски. «Социальные сети должны быть частью стратегии организаций здравоохранения. Люди, с которыми вам нужно связаться, находятся в социальных сетях — будь то потенциальные пациенты или сотрудники. Без присутствия в социальных сетях вы не участвуете в жизненно важных дискуссиях, происходящих о вашей системе. От разговоров о члене команды или местонахождении, канцелярских ошибках и судебных исках или быстром распространении дезинформации о заболевании или плане лечения. Настроившись на прослушивание социальных сетей, вы сможете определить ключевые области возможностей».

Как создать руководство по бренду для поддержки HIPAA и социальных сетей

Хотя вам всегда следует консультироваться со своим юрисконсультом и командой по соблюдению требований относительно соблюдения HIPAA в социальных сетях, вот общие рекомендации, которым следует следовать при создании руководящих принципов для своего бренда.

Изображение на белом фоне с заголовком: «Как создать руководство по бренду для поддержки HIPAA и социальных сетей». В темно-синих кружках перечислены следующие инструкции: 1) Разработайте политику и обучите свою команду, 2) Следуйте передовым практикам деидентификации, 3) Отслеживайте нарушения HIPAA, 4) Создайте процесс одобрения пациентов, 5) Не спите на сегодняшний день об изменениях в законодательстве.

Разрабатывайте политику и обучайте свою команду

Начните с консультаций со своими юридическими отделами и отделами по соблюдению нормативных требований и сделайте их ключевым партнером в проверке законности вашей стратегии, кампаний и контента. Работайте с ними над разработкой протокола соблюдения требований социальных сетей, который должен включать инструкции по переписке с людьми через социальные сети.

Познакомьте свою команду с этим протоколом, совместно создавая учебные программы по соблюдению требований HIPAA, включающие обучение в области социальных сетей. В ходе обучения уделите особое внимание правильному использованию данных клиентов в социальных сетях и распространенным нарушениям HIPAA.

Следуйте рекомендациям по деидентификации

При создании нового контента для социальных сетей удаляйте из своих публикаций всю закрытую медицинскую информацию. PHI включает медицинскую информацию, используемую вместе со следующими идентификаторами:

  • Имена (имя, отчество и фамилия)
  • Географические показатели меньше штата
  • Все элементы даты (кроме года)
  • Номера телефона и факса
  • Адрес электронной почты
  • Номера социального страхования
  • Медицинская карта, бенефициар плана медицинского страхования и номера счетов
  • Номера сертификатов или лицензий
  • Идентификаторы транспортных средств
  • Атрибуты устройства
  • URL-адреса и IP-адреса, связанные с пациентами
  • Биометрические идентификаторы
  • Фотографии анфас и другие уникальные физические идентификаторы.
  • Любые другие номера или коды, по которым можно идентифицировать человека.

Для более подробного контекста: хотя имя пациента в сочетании с его жизненными показателями считается PHI, сами по себе его жизненные показатели таковыми не являются.

Мониторинг нарушений HIPAA

Даже если вы примете все меры предосторожности, чтобы ограничить использование закрытой медицинской информации в вашем контенте, пациенты все равно могут поставить под угрозу ваше соблюдение требований, самостоятельно разглашая личную информацию. Чтобы предотвратить это, добавьте заявления об отказе от ответственности в свои прямые сообщения и профили брендов. Попросите пациентов воздержаться от раскрытия какой-либо закрытой медицинской информации и сообщите им, куда им следует направлять запросы.

Если пациент упомянет вас или отправит вам личное сообщение и скомпрометирует PHI, немедленно удалите сообщение и направьте его в более подходящий канал. Флоренс советует: «Даже если вы добавите заявление об отказе от ответственности в свой профиль или в личные сообщения, некоторые пациенты все равно будут обращаться за медицинской помощью. Чтобы бороться с этим, некоторые организации используют чат-ботов и инструменты сортировки, чтобы автоматически предупреждать их о потенциальной закрытой медицинской информации, а также реагировать на конфиденциальный контент или удалять его».

Используя такой инструмент, как «Сохраненные ответы» Sprout Social, вы можете использовать заранее написанные ответы, чтобы быстро отвечать клиентам и перенаправлять разговор в безопасный канал. Вы также можете использовать конструктор чат-ботов Sprout для автоматического перенаправления пользователей социальных сетей на адрес электронной почты или другой безопасный канал для разговоров, связанных со здравоохранением.

Скриншот конфигурации чат-бота в платформе управления социальными сетями Sprout Social. На скриншоте вы можете увидеть конструктор ботов, где вы вводите инструкции для ботов при получении сообщения от пользователей соцсетей, отправляющих сообщения вашему бренду.

С помощью Smart Inbox от Sprout вы можете использовать теги и фильтрацию, чтобы помечать сообщения, содержащие PHI, и создавать рабочие процессы для удаления этих сообщений.

Скриншот инструмента Smart Inbox от Sprout Social, отображающего сообщения из нескольких социальных платформ в одном канале.

Создайте процесс одобрения пациентов

Могут быть случаи, когда пациенты (или их семьи) заинтересованы поделиться своими историями с вашей аудиторией, как, например, этот очаровательный Хэллоуинский TikTok из отделения интенсивной терапии клиники Кливленда.

@clevelandclinic

Хэллоуин с нашими малышами в отделении интенсивной терапии был сплошным угощением! В этом году в костюмах представлены обезьяна, тигр, сова, Базз Лайтер, Вуди и пират. Их специальные шляпы — подарок ручной работы. Хэллоуин еще никогда не был слаще!

♬ Хэллоуин – Люкс-Инспира

Иметь оптимизированный и четко документированный процесс получения письменного согласия и разрешения HIPAA на раскрытие закрытой медицинской информации пациента, прежде чем делиться этими историями, фотографиями и/или видео.

Будьте в курсе изменений законодательства

Сделайте регулярной практикой оставаться в курсе изменений в законодательстве на федеральном уровне и уровне штата. Регулярно просматривайте такие ресурсы, как веб-сайт Министерства здравоохранения и социальных служб США (HHS). Вы также можете следить за HHS и National Law Review в социальных сетях, чтобы получать обновления в режиме реального времени, включая решения по делам, касающимся утечки данных HIPAA.

Сообщение на X (ранее известном как Twitter) из журнала National Law Review. В сообщении говорится: HHS-OCR объясняет, как требования правил безопасности HIPAA защищают от кибератак. Сообщение содержит ссылку на страницу на веб-сайте National Law Review.

Ищете больше ресурсов? Мы составили шпаргалку по соблюдению HIPAA в социальных сетях, которая поможет вам соблюдать требования, одновременно реализуя эффективную и творческую социальную стратегию.

Распространенные нарушения HIPAA и роль социальных сетей

Хотя соблюдение HIPAA в социальной сфере является сложным, финансовые, репутационные риски и, что наиболее важно, риски для благополучия пациентов слишком велики, чтобы ошибиться. Вот наиболее распространенные нарушения HIPAA, которых следует избегать.

Изображение на белом фоне и заголовок: Распространенные нарушения HIPAA в социальных сетях. В темно-синих и темно-синих кружках перечислены следующие нарушения: 1) Сокрытие сведений о пациенте на виду, 2) Проверка медицинской информации, 3) Ограничение обучения корпоративными каналами и платным персоналом.

Скрытие данных о пациенте на виду

Даже если вы явно не укажете лица, имена, даты или другие очевидные идентификаторы, некоторые ситуационные детали могут раскрыть личную информацию пациента. И Флоренс, и Ван Аллен советуют внимательно просматривать фотографии и видео перед публикацией. Убедитесь, что в фоновом режиме вашего медиафайла нет защищенной информации.

Ван Аллен предупреждает: «Что-то, что кажется таким безобидным, как фотография учительской, может оказаться нарушением. Кто-то может увеличить карту пациента, лежащую на столе, и узнать его имя или другую медицинскую информацию».

Проверка медицинской информации

«Многие пациенты отправляют сообщения медицинским брендам, думая, что их сообщение дойдет до их врачей, а это означает, что они включают конфиденциальную медицинскую информацию в свою работу», — говорит Флоренс. Как мы упоминали в предыдущем разделе, крайне важно удалять любую закрытую медицинскую информацию, даже если пациент предоставляет ее без запроса.

Но один важный нюанс, который многие организации упускают из виду, заключается в том, что вам также следует воздерживаться от проверки закрытой медицинской информации. Например, если пациент оставляет комментарий к вашему сообщению и сообщает, что у него заболевание, вам не следует признавать это заболевание в своем ответе. Это может быть нарушением HIPAA. Вот несколько примеров сценариев:

Пример сообщения пациента: @Hospital, недавно мне поставили диагноз диабет, и мне интересно, кто из ваших врачей специализируется на лечении диабета?

Не соответствует требованиям HIPAA: @Пациент, мы знаем, что сориентироваться в новом диагнозе диабета может быть непросто, и мы здесь, чтобы помочь. Позвоните непосредственно в офис доктора Смита, чтобы назначить консультацию.

Соответствие HIPAA: @Patient, мы удалили ваш комментарий, чтобы защитить вашу конфиденциальность. Пожалуйста, позвоните или свяжитесь с нашей командой по электронной почте для получения помощи.

Ограничение обучения корпоративными каналами и оплачиваемым персоналом

Ограничивая обучение корпоративными каналами и оплачиваемым персоналом, организации здравоохранения создают пробелы в знаниях, которые могут привести к серьезным последствиям. Например, взволнованный интерн может опубликовать селфи с пациентом. Или студент резидентуры может случайно раскрыть PHI в забавном TikTok.

Медицинские организации должны помнить, что HIPAA распространяется на всех, кто находится под контролем застрахованной организации, включая волонтеров, студентов и неоплачиваемый персонал. Он также инкапсулирует социальные профили за пределами корпоративной учетной записи, включая личные учетные записи сотрудников.

Что HIPAA означает для поставщиков социальных сетей

Соответствие HIPAA и безопасность должны быть в центре внимания при выборе поставщиков программного обеспечения и инструментов. Ожидайте, что во время оценки вашей платформы ваши команды по безопасности и конфиденциальности будут внимательно следить за тем, как используются данные, когда они интегрированы в более крупные технологические стеки.

Найдите решение для управления с уровнями разрешений и функцией утверждения сообщений, чтобы гарантировать, что только ответственные лица смогут публиковать сообщения. Убедитесь, что приняты меры кибербезопасности для защиты PHI на электронных устройствах, такие как шифрование или брандмауэры.

Сделайте еще один шаг вперед и найдите решение для управления социальными сетями, которое готово подписать соглашение о деловом партнерстве (BAA) — юридически обязывающий контракт, в котором указаны обязанности каждой стороны, когда речь идет о соблюдении PHI и HIPAA. Как уточняет Флоренс: «Вам следует работать с таким партнером, как Sprout Social, который может подписать BAA и взять на себя риски и ответственность вместе с вами».

Медицинские бренды, у которых есть чему поучиться

Эти четыре организации здравоохранения демонстрируют, что активное присутствие в социальных сетях по-прежнему возможно и важно даже в регулируемых отраслях.

Клиника Майо

Клиника Мэйо, ведущая больница в стране, использует социальные сети для создания своего бренда работодателя. Например, когда они поделились публикацией кафедры трансплантологии, которая отметила успешный месяц. Обратите внимание, что в посте не раскрывается никакой конфиденциальной информации о пациентах, а вместо этого основное внимание уделяется достижениям и высокому уровню команды трансплантологов.

Скриншот поста Башара Акеля в LinkedIn, который был повторно опубликован клиникой Майо. В посте объясняется, как клиника Мэйо в Аризоне успешно выполнила рекордное количество успешных процедур, и выражается благодарность всему персоналу за отличную работу и пациентам за доверие Мэйо. В посте есть фотография сотрудников клиники Мэйо в Аризоне, стоящих большой группой на улице.

Клиника Мэйо также делится профилями своих волонтеров, врачей и другого персонала, чтобы еще больше гуманизировать свою компанию, как это трогательное видео о человеке, пережившем Холокост, ставшим волонтером.

Скриншот поста клиники Мэйо на LinkedIn, в котором рассказывается история одного из их волонтеров, Курта, пережившего Холокост. Пост также включает видео, где Курт рассказывает свою историю своими словами.

Больничная система дополняет эти посты общими советами по здоровью и образу жизни, чтобы вдохновить своих последователей и способствовать благополучию, как в этой карусели о пользе ежедневного движения.

Посмотреть этот пост в Instagram

Сообщение опубликовано клиникой Майо (@mayoclinic)

Кливлендская клиника

Клиника Кливленда, ведущий академический медицинский центр, следит за актуальными тенденциями в области здравоохранения и использует свой опыт, чтобы информировать свое сообщество о новых отчетах в области общественного здравоохранения.

Как в этом ролике, где они исследуют преимущества последнего увлечения здоровьем в социальных сетях, холодного купания или холодного душа. В посте рассказывается, как пожинать плоды этой тенденции, сохраняя при этом безопасность и здоровье.

Посмотреть этот пост в Instagram

Сообщение, опубликованное клиникой Кливленда (@clevelandclinic)

Медицинский центр также делится самыми важными отчетами в области общественного здравоохранения, подготовленными их организацией. Обычно они кратко излагают основные выводы отчета, включая ссылку, чтобы люди могли прочитать больше, как они это сделали в этом посте.

Скриншот публикации Кливлендской клиники в Facebook о злоупотреблении алкоголем среди американцев. Сообщение содержит ссылку на статью о влиянии пьянства на здоровье.

Бостонская детская больница

В Бостонской детской больнице реализуется крупнейшая в мире программа педиатрических исследований на базе больниц. Организация использует свои социальные каналы, чтобы освещать новаторские исследования (и исследователей, стоящих за ними), как они это сделали в этом посте о ведущем клиническом генетике, улучшающем результаты здоровья детей.

Скриншот поста Бостонской детской больницы на LinkedIn о Майе Чопре, клиническом генетике, изучающем в больнице редкие заболевания. Сообщение ссылается на статью о педиатрических исследованиях.

Они также рассказывают о пациентах, которым помогают современные методы лечения, путем интервью с их семьями, как в этой статье на Facebook о пользе генетического тестирования для детей с эпилепсией.

Скриншот публикации Бостонской детской больницы в Facebook. В сообщении говорится: Генетическое тестирование дало ответы семье Уилсона, когда они справлялись с его детской эпилепсией. Пост ссылается на блог о путешествии генетического тестирования малыша Уилсона.

Гимн Синий Крест Синий Щит

Anthem Blue Cross Blue Shield — надежный поставщик планов медицинского страхования. В социальных сетях они делятся значимой статистикой о ценности, которую они предлагают своим участникам, включая этот пост о возврате инвестиций, которые работодатели получают от инвестиций в восстановление и поддержку зависимости на рабочем месте.

Сообщение LinkedIn от Anthem Blue Cross и Blue Shield о преимуществах для работодателя, инвестирующих в программы поведенческого здоровья и восстановления.

Они также делятся наградами и аккредитациями, которые демонстрируют их приверженность заботе о членах и совершенству, как, например, этот пост об их признании со стороны NCQA.

Пост на X от Anthem Blue Cross и Blue Shield, который гласит: «Для нас большая честь снова стать равниной в Коннектикуте с самым высоким рейтингом по версии NCQA. Наша работа сосредоточена на расширении доступа к высококачественному и доступному медицинскому обслуживанию и улучшении результатов в отношении здоровья.

Как популярный поставщик страховых планов, они получают много запросов о деталях полиса участника в социальных сетях. Их команда поддержки показывает, как направить разговоры с общедоступных форумов на более подходящие и безопасные частные каналы, как в этом ответе, где они просят участника отправить электронное письмо в их справочный центр.

Сообщение от Anthem Blue Cross и Blue Shield в ответ пользователю социальной сети с просьбой отправить электронное письмо в службу поддержки клиентов.

Уверенно пользуйтесь HIPAA и социальными сетями

Соблюдение HIPAA в социальных сетях — это многоэтапный непрерывный процесс, который предполагает тесное взаимодействие с вашими юридическими отделами и отделами безопасности, а также развитие межведомственного обучения. Следуя ключевым передовым практикам, которые защищают данные пациентов и здоровье бренда вашей организации, вы будете готовы ориентироваться в сложных протоколах HIPAA и уверенно развивать свое присутствие в социальных сетях.

Дальнейшие действия: теперь, когда вы прочитали эту статью, включите в календарь встречу с вашими юристами и специалистами по безопасности, чтобы начать планировать образовательные мероприятия в масштабах всей организации, а также освежить в памяти контрольные показатели социальных сетей в сфере здравоохранения, чтобы лучше понять роль социальных сетей в вашем сообществе. инструментарий взаимодействия.

Отказ от ответственности

Информация, представленная в этой статье, не представляет собой и не представляет собой формальную юридическую консультацию; вся информация, контент, пункты и материалы предназначены для общих информационных целей. Информация на этом веб-сайте может не представлять собой самую актуальную юридическую или другую информацию. Включение любых рекомендаций, изложенных в этой статье, не гарантирует снижения вашего юридического риска. Читателям этой статьи следует связаться со своей командой юристов или адвокатом для получения консультации по любому конкретному юридическому вопросу и воздерживаться от действий на основе информации из этой статьи без предварительного обращения за независимой юридической консультацией. Использование и доступ к этой статье или любым ссылкам или ресурсам, содержащимся на сайте, не создают отношений между адвокатом и клиентом между читателем, пользователем или браузером и любыми участниками или участвующими юридическими фирмами. Мнения, выраженные всеми участниками этой статьи, являются их собственными и не отражают точку зрения Sprout Social. Настоящим категорически отказываемся от любой ответственности в отношении действий, предпринятых или не предпринятых на основании содержания этой статьи.