Пронесшаяся со скоростью урагана пандемия запутала нас и оставила в неопределенности. Фармацевтику можно сравнить с большим кораблем, внезапно потерявшим навигацию в море перемен, которые принесла с собой новая волна цифровых технологий. Теперь вопросы информационной безопасности и управления согласием стали гораздо более актуальными и сложными.
Проблема того, как обезопасить фармацевтические компании в плане регулирования и управления персональными данными — одна из самых важных тем 2021 года. Читайте далее, чтобы узнать о лучших практиках и технических знаниях, которые обеспечивают надежную и защищенную экосистему, «обученную» соблюдать информационную безопасность.
Вступление
Практически все сферы фармацевтической промышленности полностью зависят от данных пациентов и врачей и получения их согласия на хранение и обработку персональных данных. Таким образом, фармацевтические компании, совершенствуя свои рабочие процессы, все чаще сталкиваются с проблемой безопасности хранения данных и управления доступом к ним.
Быстрый переход на цифровые технологии предоставляет множество возможностей для мультканального взаимодействия, но в то же время он содержит большой риск утечки информации — что всегда было одной из самых больших угроз для фармацевтических компаний. А законы и нормативные акты, которых с каждым годом становится все больше, накапливаются как снежный шар.
Когда речь заходит о сборе согласий на обработку персональных данных, важно понимать какими нормативно-правовыми документами это регулируется. В России основным законом описывающим порядок сбора, обработки и хранения персональных данных, является ФЗ-152, для европейских стран существует Общий регламент защиты данных (GDPR). Важным моментом здесь является управление персональными данными, которое включает в себя сбор и хранение согласий пользователей, использование систем, которые помогают нам их получить (веб-формы, CRM-системы и другие), поток данных, кибербезопасность и защиту данных — основные элементы соответствия, сбора согласий и других норм.
Этот процесс должен быть прозрачным, поскольку, согласно статистике, 95% клиентов говорят, что они с большей вероятностью будут лояльны к компании, которой доверяют. На уровне пользователя важно обеспечить возможности для сбора согласия (Opt-in, формы, уведомления), условий использования и политики конфиденциальности, потока данных, удаления данных (Opt-out, отписка, настройка уведомлений), права на забвение.
В такой среде, которая регулируется на высоком уровне, фармацевтическая компания должна использовать все цифровые возможности и инструменты для управления всеми процессами с точки зрения безопасности данных и комплаенса.
Как обеспечить безопасность хранения данных
Безопасность медицинской базы данных
Основные проблемы безопасности данных — хранение базы данных клиентов, обработка в ходе осуществления визитной и прочей активности, работа с данными в CRM, коммуникации через различные каналы, передача данных о любых взаимодействиях третьим лицам. Согласно отчету IntSights, около трети баз данных в сфере здравоохранения, хранящихся как локально, так и в облаке, в настоящее время раскрывают конфиденциальные данные пациентов. Такие факторы, как неправильно сконфигурированные базы данных, являются одними из самых рискованных, когда речь идет о безопасности данных пациентов и врачей. Проблема заключается в том, что многие поставщики медицинских услуг продолжают перемещать данные и другие активы в интернет, не уделяя должного внимания инвестициям в инструменты и процедуры кибербезопасности для предотвращения утечки конфиденциальной информации.
Одна из причин для беспокойства — желание расширить функциональность определенных инструментов без вмешательства сертифицированных разработчиков. В некоторых случаях ограниченность бюджета или неправильный выбор технических провайдеров может подтолкнуть к недопустимым действиям, таким как обратная инженерия или несанкционированные расширения, которые делают данные уязвимыми. Поэтому при работе с лицензионной системой настоятельно рекомендуется привлекать сертифицированных специалистов.
Что касается доступа, то когда все компании особенно озабочены безопасностью своих данных, такие вещи, как многофакторная аутентификация, являются само собой разумеющимися. Но компании, ориентированные на безопасность, могут также ограничить количество доступов к базе данных, свести их к определенным IP-адресам и разрешить только ручной просмотр или системы подтверждения, чтобы минимизировать вероятность утечки.
Безопасность контента
Вопрос безопасности в фармацевтической отрасли стоит остро, однако ожидания клиентов также включают последовательную коммуникацию и качественный контент. Безопасное производство и доставка фармацевтического контента требуют определенного протокола необходимых мер и регулирования. Именно поэтому лидеры отрасли в настоящее время ищут решение, способное автоматизировать эти процессы.
Когда у фармкомпании появляется идея нового проекта, ей необходимо агентство, которое воплотит ее в жизнь. Но это также сопряжено с рисками, поскольку многие данные, содержащиеся в маркетинговых и рекламных материалах, являются конфиденциальными для фармацевтических компаний.
Метатегирование (meta tagging) значительно упрощает поиск нужной информации, но гораздо лучшим решением с точки зрения безопасности данных является создание иерархии доступа, где каждая роль пользователя предусматривает определенный уровень доступа к определенной информации.
Кроме того, для обеспечения дополнительной безопасности при работе с контентом агентства могут подписать соглашение о неразглашении информации и контролировать его с помощью инструмента брифинга, который позволяет получить максимальную отдачу от партнерства «фарма-агентство». Комплексный бриф очень важен, но он не всегда передается в безопасном виде. Гораздо удобнее использовать инструменты, разработанные специально для брифинга и встроенные в платформу для работы с контентом.
Управление согласием
На сегодняшний день чаще всего процесс сбора согласия происходит на встречах с врачами. Это происходит следующим образом: представитель спрашивает врача о возможности использования его (врача) персональных данных для дальнейшего взаимодействия с ним по различным каналам, обработке этих данных и возможной передаче третьим лицам (например, маркетинговым агентствам). Если врач готов поделиться личной информацией — он подписывает это согласие. Если нет — в соответствии с 152-ФЗ фармацевтическая компания обязана удалить все персональные данные связанные с этим врачом, что зачастую влечет за собой невозможность в дальнейшем осуществлять к нему визиты, приглашать на мероприятия и рассылать какую либо информацию. Официальное подписанное согласие врача дает возможность в дальнейшем выстраивать с ним коммуникации в рамках общей маркетинговой стратегии.Процесс сбора согласий зачастую совмещается с выяснением у врача его персональных предпочтений по способам коммуникации с ним, интересующим тематикам и приемлемым форматам контента. Далее врачу поступает только та информация, которая будет ему релевантна, и только по тому каналу, который будет ему удобен.
Если врач выбирает получение email-рассылок, это дает возможность полной интеграции с системой автоматизации маркетинга. После этого врач может получать различную информацию от компании по предпочитаемому каналу. Для врача в этом случае важно понимать, что и каким способом он будет получать от компании, что в свою очередь обеспечит прозрачное и понятное взаимодействие между ним и компанией.
Однако другое железное правило заключается в том, что клиент в любую минуту имеет право отписаться от информации, которую он ранее согласился получать. Поэтому важность заключается в том, что при использовании этой модели клиент может решить прекратить общение по одному каналу, например, по email, но не перестанет получать информацию из других каналов, таких как порталы, мероприятия и так далее.
Таким образом, мы можем выработать золотое правило управления согласием: клиент всегда должен быть обеспечен прозрачностью в отношении того, для чего используются его данные, какие каналы будут задействованы, и видеть, что стоит за каждой галочкой, которую он ставит в чекбоксе.
Сертификация ISO
Фармацевтические компании управляют огромным количеством конфиденциальной информации, которую нельзя разглашать. Сегодня необходимость оставаться конкурентоспособными и обеспечивать безопасную среду для клиентов фармацевтических компаний побуждает нас пройти сертификацию по строго определенному и очерченному стандарту — ISO/IEC 27001.
Международная организация по стандартизации (ISO) означает, что компания внедрила ряд процедур, политик и руководств, которые позволили ей достичь полного контроля и защиты активов компании.
Решение для соблюдения законов
Важность внедрения надежной платформы обработки и хранения персональных данных не вызывает сомнения. Компаниям, которые работают с персональными данными в РФ важно убедиться, что все требования закона «О персональных данных» будут соблюдены. Именно такое решение предлагает компания CT Consulting.
DFG — это сертифицированное приложение, разработанное в соответствии с рекомендациями ФСТЭК и Роскомнадзора, которое обеспечивает возможность организации обработки персональных данных в полном соответствии требованиям Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных». Решение обезличивает персональные данные пользователей и позволяет хранить их на территории РФ.
Оставьте заявку на внедрение решения в вашу систему управления персональными данными, и эксперт CT Consulting проведет для вас демонстрацию продукта и ответит на ваши вопросы.
