Den Office for Civil Rights (OCR) am US Department of Health and Human Services (HHS) huet Klärung iwwer Verpflichtungen fir HIPAA iwwerdeckten Entitéiten a Geschäftsassociatiounen (reguléiert Entitéiten) ënner den HIPAA Privatsphär, Sécherheet a Verstouss Notifikatiounsregelen (HIPAA) erausginn. Regelen) wann Dir Online Tracking Technologien benotzt. Per Definitioun sinn Tracking Technologien Apps benotzt fir Informatioun ze sammelen an ze analyséieren iwwer wéi d’Benotzer mat reglementéierten Entitéite Websäiten oder mobilen Apps interagéieren wann d’Informatioun, déi duerch Tracking Technologien gesammelt gëtt oder un Tracking Technologie Ubidder verëffentlecht gëtt, geschützt Gesondheetsinformatioun (PHI) enthält. “Reglementéiert Entitéite sinn net erlaabt Tracking Technologien op eng Manéier ze benotzen déi zu enger onerlaabter Verëffentlechung vum PHI fir Technologieverkeefer verfolgt oder all aner Verstouss géint d’HIPAA Regelen resultéieren.”
Reguléiert Entitéite sinn net erlaabt Tracking Technologien ze benotzen wou onerlaabt Verëffentlechunge vu PHI un Tracking Technologie Ubidder oder all aner Violatioune vun den HIPAA Reegele geschéien. “Reguléiert Entitéite kënnen PHI net benotzen oder verëffentlechen, ouni eng schrëftlech Autorisatioun vun engem Individuum, nëmme wéi ausdrécklech erlaabt oder erfuerderlech vun der HIPAA Privatsphär Regel. Kuckt 45 CFR 164.502(a).
Et gi verschidden Erausfuerderungen, ugefaange mat der Tatsaach, datt vill reglementéiert Entitéiten net iwwerluecht hunn wéi Servicer an Tools, dorënner Tracking Technologien, si benotze fir Webstatistiken, Web- an Appverbrauch ze moossen, an aner gutt geplangten Zwecker kënnen d’Benotzererfarung verbesseren.
Awer als éischt, loosst eis entdecken ob d’Verfolgungstechnologie eng Verbindung tëscht Benotzer an hirem PHI erstellt. Wéi perséinlech erkennbar Informatioun (PII) Reglementer, ass et wichteg Daten ze berücksichtegen, déi als individuell identifizéierend Gesondheetsinformatioun (IIHI) klasséiert sinn, inklusiv eng “D’individuell medizinesch Rekordnummer, Heem- oder E-Mailadress, oder Datume vu Rendez-vousen, souwéi eng IP Adress oder geographesch Positioun vun engem Individuum, medizinescht Apparat IDen oder all eenzegaartegen Identifikatiounscode.” De Kuerz klärt dëst, am Konzept, als zwee allgemeng Benotzungsfäll déi authentifizéiert Benotzer sinn (inklusiv Apps op PCs, mobilen Apparater a Smartphones) an net authentifizéiert Benotzer.
Benotzerauthentifizéiert Websäiten, mobil Apps déi d’Benotzeridentifikatioun späicheren an duerchginn, oder all Szenario dat verlaangt datt d’Benotzer sech aloggen oder hir Identitéiten ubidden ier se fäeg sinn op d’Websäit oder d’App ze kommen, erstellt typesch e Szenario wou all Daten mat engem Benotzer a gëtt vun HIPAA reglementéiert.
Ongeauthentifizéierten Zougang zu Daten ass typesch “Websäit(en) déi d’Benotzer net erfuerderen sech aloggen ier se fäeg sinn op d’Websäit ze kommen, sou wéi eng Websäit mat allgemengen Informatioun iwwer déi reglementéiert Entitéit wéi hir Plaz, Servicer déi se ubidden oder hir Politiken a Prozeduren. Tracking Technologien op reglementéiert Entitéite ‘onauthentifizéiert Websäiten hunn allgemeng keen Zougang zu Individuen’ PHI; an dësem Fall ass d’Benotzung vun enger reglementéierter Entitéit vun esou Tracking Technologien net vun den HIPAA Regelen reglementéiert.” Zwee primär Ausnahmen wou Tracking Technologien op Websäiten oder Apps benotzt ginn enthalen:
- Aschreiwung oder Soumissioun, och ouni Login, dat kann PHI enthalen an eng Verbindung mam Benotzer erstellen.
- Sammlung vun enger E-Mailadress an/oder IP Adress vun engem Individuum wann den Individuum d’Websäit vun enger reglementéierter Entitéit besicht fir no spezifesche Gesondheetsinformatioun ze sichen (zB Krankheet, Gesondheetsprobleem) oder verfügbare Rendez-vousen. Also verroden déi reglementéiert Entitéit PHI der lokaler Tracking Technologie. Dir kënnt an dësem Beispill gesinn, wéi mat der Zäit HIPAA erweidert ka ginn fir net reglementéiert Informatiounsanbieter mat Tracking Technologien ze decken, déi eng Verbindung tëscht engem medizinesche Zoustand a Benotzer erstellen kënnen, obwuel PII Staatsgesetzer dës Situatioun scho kënnen ofdecken.
Unzehuelen datt d’Technologie embedded oder néideg ass fir Geschäftszwecker, an authentifizéiert oder entsprécht der onauthentifizéierter Ausnahmsdefinitioun, ass e kritesche Schrëtt e Business Associate Agreement (BAA) mat all Tracking Technologie Ubidder opzebauen, déi d’Definitioun vun engem Geschäftspartner entspriechen. “D’BAA muss dem Verkeefer seng zulässlech an erfuerderlech Uwendungen a Verëffentlechunge vum PHI spezifizéieren a virzestellen datt de Verkeefer de PHI schützt an all Sécherheetsinfälle mellen, inklusiv Verstouss géint net geséchert PHI, un déi reglementéiert Entitéit, ënner anerem Ufuerderunge.
Konsequent mat der stänneger HIPAA BAA Leedung, wann eng reglementéiert Entitéit keng Geschäftsassociatioun mat dëse Verkeefer wëll kreéieren oder de gewielte Tracking Technologie Verkeefer wäert keng schrëftlech zefriddestellend Versécherungen a Form vun enger BAA ubidden datt et de PHI entspriechend wäert schützen, dann reglementéiert Entitéit kann PHI un d’Verkeefer verroden ouni d’Autorisatioune vun den Individuen.
Dësen Artikel ass nëmme fir Informatiounszwecker an ass keng legal Interpretatioun oder Leedung.