HIPAA合规性和在线跟踪|先知互动

简报上有什么?

本具体公告，由光学字符识别而且美国卫生和公众服务部，侧重于跟踪技术以及使用这些技术的hipaa覆盖实体的义务。

根据公告，跟踪技术收集和分析有关用户如何与受监管实体的网站或移动应用程序(“应用程序”)交互的信息。当这些跟踪技术收集PHI时，适用HIPAA规则。该公告总结了网站跟踪技术，包括所有cookie、网络信标或跟踪像素、会话回放脚本和指纹脚本。它还可以识别应用跟踪技术，如设备ID或广告ID。

HIPAA规则适用于网站或应用程序用户提供的任何个人可识别健康信息(IIHI)。该信息可能包括个人的医疗记录号、家庭或电子邮件地址或预约日期，以及个人的IP地址或地理位置、医疗设备id或任何唯一识别代码。

虽然可以跟踪PHI并将其报告给业务伙伴的时间是值得注意的，但我们不建议尝试使用任何营销像素或类似的服务来这样做。

这些页面不是任何人都可以访问的，访问者需要输入用户名和密码才能查看。此类页面的一些示例包括患者门户、健康计划详细信息和远程医疗平台。一般来说，这些页面将包含与登录访问内容的访问者直接相关的信息——无论这些信息是在页面本身还是DOM上可用。因此，这些页面可能包含PII或PHI。

Seer建议只从经过身份验证的页面收集匿名数据，或者在最坏的情况下，这些页面可能无法跟踪。

这就是水变得浑浊的地方。当我们说未经验证的页面时，我们指的是任何访问网站甚至搜索引擎的人都很可能访问的页面。这些页面不太可能包含PHI，因此实体可以像往常一样进行跟踪，而不需要考虑HIPAA规则。

然而，当某些内容与PII相关联时，问题开始出现。例如，如果有人访问某个页面以了解有关特定疾病的更多信息或了解诊所的工作时间，而您知道他们的姓名或IP地址，那么您现在就在无意中收集了PHI。

公共网页通常是安全的。但如果你想确保自己是合规的，Seer建议不要在可以用来将任何健康信息与个人关联的页面上进行跟踪。这包括安排访问特定类型诊所的页面或包含PHI的表单。虽然表单提交事件不会构成PHI，但特定类型的表单或其中的字段可能包含此类信息。

由HIPAA监管实体拥有的移动应用程序也受同样的规则约束。这将扩展到任何管理应用程序的第三方开发人员和有权访问PHI的供应商(了解更多关于18个HIPAA标识符的信息）.

如果应用程序不属于受监管的实体，它就不受HIPAA的约束——即使有人最终将自己的健康信息添加到其中。不过，在这种情况下，可能会有其他法律法规适用。

由于移动应用程序和驱动它们的连接系统的复杂性，我们建议向我们伸出援手所以我们分析团队可以根据您的设置提供量身定制的建议。

简短的回答:不，不是开箱即用。谷歌非常重视隐私政策不得将谷歌可以使用或识别为个人身份信息(PII)的数据传递给谷歌。但是，谷歌已经明确表示，他们并不打算提供符合hipaa标准的分析产品。

如果你坚持谷歌的指导，你很可能在合规范围内。但是，您可以采取一些注意事项和步骤来保护您的组织免受潜在的侵犯。

以下建议不构成HIPAA合规性，而是为可以采取的步骤提供指导，以最大限度地减少PII和PHI的收集。

HIPAA的合规标准以及处理PII和PHI的定义和规则仍在不断发展。但有一点是明确的，维护用户数据的适当安全实践和避免跟踪工具捕获PHI是至关重要的。

免责声明:Seer Interactive不声称提供法律建议。对HIPAA法律合规性和PHI(受保护健康信息)的解释是复杂的。本文件概述了Seer的观点和行动，您应该针对您的业务、目标和法律风险进行审查。我们强烈建议您与自己的法律顾问和数据工程团队一起审查您的具体用例。

如果你担心你目前的分析和营销堆栈，今天就联系Seer了解我们如何帮助您保持数据合规和患者信息安全。