营销数据触发HIPAA隐私吗？

Question

如果我是一家营销公司，对匿名会员的访问者统计数据进行分析，然后将其与CRM联系起来以跟踪转换情况，那么如果CRM数据库在我的门户上与他们的网站分开，那么我必须对数据做什么才能确保这些客户的信息根据HIPAA得到正确的处理？

该应用程序通过跟踪cookie跟踪访问者。该应用程序还使用跟踪电话号码将业务呼叫与在线访问者关联起来，以确定脱机转换。通过PBX路由的电话在CRM中创建一个新的联系人，并附加一个通话记录以及生成的文本传输。这些调用与匿名访问者与跟踪cookie相关联，以确定转换源。

所有这些信息都被收集、排序和存储在我们的API服务器上，这些信息可以通过客户端通过他们的帐户仪表板来获取和查看。我最近刚被介绍给HIPAA，我不熟悉什么需要保护，什么不需要保护。我被告知，医疗服务提供者的客户联系医疗服务提供商这一事实需要得到保护。

我很好奇这些数据是否需要被混淆，因为我们代表他们与他们的账户进行交互。

Answer 1

你走进了黑暗的领域，因为A/V内容(比如录音或转录的电话)是完全开放的，所以如果我是你的话，我会对你的CRM应用严格的安全/协议。如果你录了一个电话，开头是“嗨，我的名字是名字，我刚签约了病，并将接受操作步骤”.你刚刚捕获并保存了大量的PHI。也许这里的结局(如果适用的话)是在接电话之前拒绝：“请不要谈论个人或机密的健康问题”(就像你可能在医院电梯里看到的那样)。

您与HIPAA覆盖实体的客户的联系(如果您最终与PHI/PII进行交易)将使您成为“业务伙伴”(http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/businessassociates.html)。了解您与被覆盖实体之间的合同需求。

最后，做你的家庭作业，以确保你提供的访问/信息是真正匿名的，如果需要的话。电话号码、IP地址等都是HIPAA下的PII (个人可识别信息)的例子。NIST关于PII：http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf的指南(例如搜索电话号码)。不过，请记住，如果您是被覆盖实体的业务伙伴，则可以在预定义的基础上交换和/或使用PHI。

我不认为这是一个完整的答案，但以下是一些想法&基于你所描述/要求的链接，我认为这会有所帮助。

Answer 2

HIPAA只适用于健康信息，主要适用于保健提供者和健康保险机构之间的相互作用。

除非我误解了什么，否则听起来你并不是在对健康信息做任何事情，也不像你的机构是HIPAA下的一个“覆盖实体”。您可以在HIPAA网站上进行“是否我是一个被覆盖的实体”的测试，以了解更多有关它的信息，但听起来不像HIPAA适用于您正在做的事情。

(这并不意味着您无论如何都不应该保护数据，只是基于一般原则：)

Answer 3

HIPAA只适用于医疗保险公司、提供者等，但由于您是一家为其中一家受保实体提供资源的公司，它们可能对其数据具有遵从性的业务要求。(以及与其业务相关的任何日志文件或其他项目)。

尽管如此，就责任而言，这可能是一个棘手的情况，你不仅需要程序上的“遵守”，还需要你的律师研究任何违反或风险会对每一个参与的人产生什么影响。