I december 2022 utfärdade U.S. Department of Health and Human Services (HHS) Office for Civil Rights (OCR) vägledning för HIPAA-täckta organisationer angående onlinespårningsteknik. Den här bulletinen beskriver hälsovårdsföretags användning av tredjepartscookies, pixlar och andra spårningstekniker och beskriver HIPAA:s definition av skyddad hälsoinformation (PHI).
HHS-bulletinen kommer efter att många grupptalan har lämnats in mot stora hälsosystem och sjukhus med påstående om felaktigt avslöjande av patientinformation. Denna bulletin uppmanar HIPAA-täckta företag att utvärdera hur de använder onlinespårningsteknik.
Den här artikeln undersöker hur HIPAA-täckta företag kan följa HHS-vägledning och alternativ för en effektiv HIPAA-kompatibel analytisk metod.
Vägledning om spårningstekniker och deras inverkan på analys
HHS-vägledning definierar spårningsteknik som ”skript eller kod på en webbplats eller mobilapp som används för att samla in information när en användare interagerar med webbplatsen eller mobilappen.” Exempel inkluderar cookies, webbbeacons eller spårningspixlar, sessionsuppspelningsskript och fingeravtrycksskript.
Vägledningen förklarar att reglerade enheter kommer att avslöja olika information till leverantörer av spårningsteknik genom spårningstekniker som placeras på deras webbplatser och mobilappar. Vissa av dessa uppgifter kan inkludera personligt identifierbar hälsoinformation (IIHI) såsom:
- journalnummer
- hem eller e-postadress
- utlovat datum
- IP-adress eller geografisk plats
- Medicinsk apparat-ID
- Annan unik identifieringskod
Hälsoinformation som samlas in på en reglerad enhets webbplats eller app anses vara PHI även om:
- Individen har ingen redan existerande relation med den reglerade enheten, och
- Data som IP-adresser och geografisk plats inkluderar inte specifik behandling eller faktureringsinformation, såsom datum eller typer av medicinska tjänster.
Enligt HHS indikerar insamlingen av sådana uppgifter att en individ har fått eller kommer att få tjänster från en omfattad enhet. Som ett resultat avser det en individs tidigare, nuvarande eller framtida hälsa, behandling eller betalning därav.
OCR:s bulletin klargör också vilka delar av en webbplats eller app som kan innehålla PHI.
- Användarautentiserade sidor (sidor som kräver att en användare loggar in) kan innehålla PHI i form av en individs IP-adress, journalnummer, hem- eller e-postadress, mötesdatum, diagnos, behandling eller receptinformation etc. är vanligt. .
- Oautentiserade sidor kan vanligtvis inte komma åt PHI, och sådana sidor regleras inte av HIPAA. Det finns dock några undantag.
- Registreringssidor där en individ skapar en inloggning kommer att innehålla PHI när individen anger inloggningsuppgifter som namn och e-postadress.
- Sidor som adresserar ett specifikt symtom eller hälsotillstånd, som graviditet eller missfall, eller där en individ kan söka efter en läkare eller boka ett möte – Spårningsteknikleverantörer kan samla in en individs e-postadress eller IP-adress på sådana sidor.
- Mobilappar inkluderar PHI som tillhandahålls av appanvändare och deras enheter, såsom fingeravtryck, nätverksplats, geolokalisering, enhets-ID och reklam-ID. Undantag inkluderar information som du frivilligt laddar ner eller går in i en app som inte är utvecklad eller tillhandahållen av eller på uppdrag av en täckt enhet.
Hur sjukvårdsorganisationer kan följa HIPAA och HHS vägledning
Enheter som omfattas av HIPAA måste:
- Avslöja din användning av spårningsteknik i din webbplats eller apps sekretesspolicy, användarvillkor, etc. Leverans av PHI till en säljare får inte ske enbart på basis av ett sådant meddelande.
- Innan PHI vidarebefordras till en leverantör undertecknar vi ett Business Associate Agreement (BAA) med en leverantör av spårningsteknik som uppfyller definitionen av en affärspartner. Om en täckt enhet inte vill upprätta en affärsrelation med en säljare, eller om säljaren inte tillhandahåller en tillfredsställande BAA, måste enheten skaffa HIPAA-kompatibel auktorisation för individen innan PHI avslöjas för säljaren.
- Se till att alla avslöjande av PHI till leverantörer av spårningsteknik är tillåtna av HIPAA. Du bör bara dela den minsta mängd PHI som krävs för det avsedda syftet.
- Tar upp användningen av spårningsteknologier i riskanalys och riskhanteringsprocesser. När vi får åtkomst till ePHI lagrad på en spårningsteknikleverantörs infrastruktur kommer vi att implementera lämpliga administrativa, fysiska och tekniska skyddsåtgärder (t.ex. kryptering och åtkomst, autentisering och revisionskontroller). Dessa kontroller säkerställer att ePHI skyddas från obehörig åtkomst.
- Om PHI avslöjas till en leverantör av spårningsteknik i strid med HIPAA-kraven kommer vi att meddela berörda individer, sekreteraren och media (i tillämpliga fall).
slutsats
HHS-vägledning om spårningsteknik och annan ny HIPAA-utveckling ger sjukvårdsorganisationer lite utrymme för fel när det kommer till HIPAA-efterlevnad. När regelverk och teknik fortsätter att utvecklas måste vårdgivare vara medvetna om förändringar i den digitala hälsovårdsbranschen.
Framför allt måste du utvärdera din analysinställning och förstå dina alternativ för att uppnå HIPAA-efterlevnad. Om din valda leverantör inte uppfyller de krav som krävs bör du vara beredd att byta till en partner som uppfyller dina analysbehov, prioriterar efterlevnad och undviker skadliga överträdelser.
Bild av Tung Nguyen från Pixabay