Healthcare Services Growth
HIPAA準拠のMarketing:患者プライバシーを侵害せずに診療所を成長させる
HIPAAは、healthcare marketingを他のすべての業界とは根本的に異なるものにするcompliance frameworkを作成します。小売、レストラン、または専門serviceで完全に受け入れられるtacticsを単純にcopyすることはできません—それらの業界で完全に受け入れられるものは、healthcareで深刻なHIPAA違反を引き起こす可能性があります。
しかし、HIPAA complianceは効果的にmarketingできないという意味ではありません。それは、marketingで患者情報を使用することに関する特定の規則を理解し、境界がどこにあるかを知り、それらの境界の正しい側に留まるシステムを構築する必要があることを意味します。
HIPAA準拠のmarketingをマスターした診療所は競争上の優位性を獲得します。彼らは、競合他社が恐怖や無知から控えている間、自信を持ってmarketingします。彼らは、HIPAA違反に伴う莫大なコスト(財務的および評判的)を回避します。そして、プライバシー保護が単なる口先だけではないことを示すことで、患者の信頼を築きます。
HIPAA Marketing の定義
HIPAAはmarketingを禁止していません。それは、marketing活動でprotected health information (PHI)をいつどのように使用できるかを規制します。
HIPAAが「marketing」と見なすものを理解することは不可欠です。なぜなら、marketingと他のタイプの患者communicationには異なる規則が適用されるからです。
HIPAAの下でMarketingを構成するもの
HIPAA Privacy Ruleは、marketingを、製品またはserviceについてのcommunicationを行い、受信者にその製品またはserviceを購入または使用するよう促すものと定義しています。
特定のserviceを宣伝し、患者に新しい治療を試すよう促し、または競合他社よりもあなたの診療所を選択するよう説得している場合、あなたはHIPAAの定義の下でmarketingに従事している可能性があります。
しかし、この定義には、多くの状況で患者と自由にcommunicationできるようにする重要な除外が含まれています。marketingの要件をトリガーすることなく。
TreatmentとHealthcare Operations とMarketing
HIPAAは、患者communicationの3つのcategoryを作成し、それぞれがPHIの使用に関する異なる規則を持っています。
Treatment communicationsは、個々の患者のために治療を説明または推奨し、ケアを調整し、またはhealthcare serviceを管理します。これらは、encouragementの要素が含まれていても、HIPAAの下ではmarketingではありません。
予約リマインダー、処方箋refill notification、test結果follow-up、個々の患者の健康状態に基づく予防ケアの推奨—これらはすべてtreatment communicationsであり、marketingではありません。
糖尿病患者にA1Cテストが必要だと伝えることは、marketingとして扱わずに行うことができます。年齢と健康歴に基づいて、誰かにマンモグラフィーが遅れていることをリマインドできます。これらの個別化された、臨床的に推進されたcommunicationsはtreatmentに該当します。
Healthcare operationsには、quality assessment、case management、care coordination、およびhealthcareの提供と管理をサポートする他の活動が含まれます。
population health program、disease management outreach、health risk assessment、およびpatient satisfaction surveyは、収益生成ではなくケアの質に真に焦点を当てている限り、一般的にmarketingではなくhealthcare operationsに該当します。
Marketingには、特定のtreatmentまたはoperational目的なしにserviceを宣伝するcommunicationsが含まれます。患者baseに美容procedureを試すよう促すcampaign、wellness programのpromotion、および患者が問い合わせていないserviceの広告は、通常marketingを構成します。
重要な区別は、多くの場合、personalizationと臨床的relevanceに関するものです。寒さとインフルエンザの季節に患者にインフルエンザshotを推奨することはtreatmentです。新しい美容treatmentを患者list全体にmass-promotionすることはmarketingです。
Authorizationが必要な場合
あなたのcommunicationがHIPAAの下でmarketingを構成する場合、一般的に患者をtargetするためにPHIを使用する前に患者のauthorizationが必要です。
これは、各患者からの特定のauthorizationなしに、診断、年齢、または治療歴に基づいて患者listをpullし、そのlistをmarketing campaignsに使用することはできないことを意味します。
authorizationなしに、EHRで太りすぎとフラグが付けられたすべての患者に体重減少programに関するpromotional emailを送信することはできません。clinical care中に収集された電話番号を使用して、新しいaesthetic serviceについて患者にtextを送信することはできません。患者がmarketing communicationsをauthorizeしていない限り。
authorizationは、specific、informed、およびvoluntaryでなければなりません。患者は、どの情報が使用されるか、どのmarketing目的のために、そしてtreatmentに影響を与えずにauthorizationを拒否またはrevokeできることを理解する必要があります。
例外とCarve-Outs
HIPAAは、serviceを宣伝しても特定のcommunicationsがmarketingと見なされない例外を提供します。
face-to-face communicationsはHIPAAの下でmarketingとしてカウントされません。office visit中に追加のserviceについて議論するとき、その会話は、患者にserviceの購入を促している場合でも、別のmarketing authorizationを必要としません。
nominal valueのpromotional giftも例外を受けます。nominal amountsを下回る価値のあるbranded itemsを患者に提供する場合(HHSは特定のdollar thresholdを設定していませんが、一般的に$15~20未満)、そのgiftsがあなたの診療所を宣伝していても、その配布はHIPAA marketingではありません。
provider networkへのparticipation、government program、またはhealth-related製品とcurrentlyに提供されているserviceに関するcommunicationsも例外を受けますが、特定の制限があります。
Digital Marketing Compliance
digital marketingは、traditional advertisingが提示しない独特のHIPAA challengesを作成します。
Patient Communication Opt-Ins
最も安全なapproachは、clinical paperworkとは別のmarketing communicationsのためのexplicit opt-insを取得することです。
患者がregistrationまたはcare中にemailアドレスまたは電話番号を提供するとき、彼らはclinical目的のためにあなたに連絡先情報を提供しています。その情報をmarketingに使用するには、collectionの時点での別のauthorizationまたはclear opt-inが必要です。
多くの診療所は現在、registration formにexplicit marketing opt-in checkboxを含めています:「[Practice Name]からのservice、promotion、およびhealth情報に関するmarketing communicationsを受け取ることに同意します。」
このopt-inは、treatmentに必要なconsentとは別にして、genuinelyにoptionalにする必要があります。患者は、careのaccessに影響を与えずにmarketing communicationsを拒否できる必要があります。
Email とDigital Marketing Compliance
email newsletterは、serviceを宣伝するのではなく、genuinelyにeducationalなcontentを提供する場合、healthcare operationsではなくmarketingと見なされる可能性があります。しかし、newsletterにservice promotion、special offer、または特定のtreatmentを予約するencouragementが含まれている場合、それはauthorizationを必要とするmarketingです。
email listを慎重に管理して、authorization statusを追跡してください。患者databaseのすべての人がmarketing emailをauthorizeしたと仮定しないでください。marketing opt-inした患者とそうでない患者の間でlistを分類してください。
すべてのmarketing emailにclearなunsubscribe mechanismsを提供し、unsubscribe requestを迅速に尊重してください。CAN-SPAM Actの要件は関係なく適用されますが、HIPAA authorization revocationとemail unsubscribe functionalityを組み合わせることで、cleanなcompliance approachが作成されます。
Social Media HIPAA の考慮事項
social mediaは、public visibility、realtime interaction、およびcasual communication normsを組み合わせています—HIPAA complianceにとって challenging environmentです。
患者Commentへの応答
患者があなたのsocial media postsまたはreviewsにコメントするとき、応答には慎重な考慮が必要です。
public responseで誰かが患者であることを確認または否定することはできません。患者であることに感謝することさえ、patient-provider relationshipをpublicに確認することによりHIPAAを違反する可能性があります。
safeなresponse templateは、patient statusを確認せずにコメントを認めます:「あなたのfeedbackに感謝します!あなたがpositive experienceを持ったことを聞いて嬉しいです。何か質問があれば、当社のofficeに直接連絡してください。」
患者がconversationを開始した場合でも、患者のケアの詳細をpublicに議論しないでください。患者が自分のtreatmentについてpublicにpostしたからといって、あなたがprotected health informationで応答する許可を与えるわけではありません。
Implementation Guide
HIPAA marketing要件を理解することから、実際にcompliant practicesを実装することへの移行には、systematic approachesが必要です。
Policiesと Procedures
PHIを含む可能性のあるすべてのmarketing活動をカバーするclearなpolicyを文書化してください。
あなたのmarketing policyは以下をaddressする必要があります。
- どのタイプのmarketingが患者authorizationを必要とするか
- authorizationがどのように取得され、文書化されるか
- 誰がHIPAA complianceのためにmarketing materialsをreviewするか
- 患者連絡先情報をどのように使用できて、どのように使用できないか
- social media interaction protocol
- testimonial collectionとuse procedure
- email marketing list management
- marketing service providerのためのvendor management
policyをmarketingに関与するすべての人がaccessibleにし、HIPAA guidanceが進化するにつれて、またはあなたのmarketing活動が拡大するにつれて更新してください。
Training and Awareness
患者communicationsに関与するすべての人にbaseline HIPAA trainingが必要です。marketing team memberには、HIPAA marketing要件に関するより深い、より specific trainingが必要です。
trainingは以下をカバーする必要があります。
- HIPAAの下でmarketingを構成するもの
- 患者authorizationがいつ必要か
- authorizationを適切に取得する方法
- social media interaction protocol
- responseのtemplateとguideline
- 一般的なHIPAA marketing違反とそれらを回避する方法
チームが遭遇する現実的な状況にconceptsを適用するscenarioベースのtrainingを提供してください。「患者がtreatmentについて言及するpositive commentをFacebookにpostします。どのように応答しますか?」complianceの要件を具体的にします。
trainingを毎年、そして新しいmarketing channelsまたはtacticsを導入するときにrefreshしてください。HIPAA complianceは1回のtraining checkboxではありません;それは継続的なcommitmentです。
持続可能なComplianceの構築
HIPAA準拠のmarketingは、1回限りのfixesについてではありません。それは、permanent featureとしてmarketing operationsにcomplianceを構築することについてです。
まず、どのmarketing活動がPHIを含み、どの活動がそうでないかを理解することから始めてください。de-identified情報のみを使用する活動、または患者dataを全く使用しない活動は、患者clinical情報を使用するtargeted campaignsよりも少ないHIPAA riskを運びます。
complianceをsystematicにするstandard authorization form、review process、およびpolicyを開発してください。complianceがworkflowに組み込まれている場合、constant manual checksを必要とせずに一貫して発生します。
チームを徹底的にそして繰り返しtrainしてください。HIPAA違反は、多くの場合、intentional misconduct
ではなく無知から生じます。規則がなぜ存在し、どのように従うかを理解しているスタッフは、あなたの最高のcompliance assetです。
最後に、進化するHIPAA guidanceとenforcement prioritiesに対してcurrentに留まってください。今日受け入れられることは、規制が進化し、enforcementが新しいareaに焦点を当てるにつれて明日変わる可能性があります。
あなたのnew patient lead generationとgrowth strategiesは、afterthoughtとしてではなく、foundationにHIPAA complianceを構築するときに、compliantlyかつeffectivelyに実行できます。これを最もよく行う診療所は、HIPAA違反に伴う莫大なriskなしに持続可能な成長を達成します。
Tara Minh
Operation Enthusiast
On this page
- HIPAA Marketing の定義
- HIPAAの下でMarketingを構成するもの
- TreatmentとHealthcare Operations とMarketing
- Authorizationが必要な場合
- 例外とCarve-Outs
- Digital Marketing Compliance
- Patient Communication Opt-Ins
- Email とDigital Marketing Compliance
- Social Media HIPAA の考慮事項
- Implementation Guide
- Policiesと Procedures
- Training and Awareness
- 持続可能なComplianceの構築