2022 年 12 月,美国卫生与公众服务部 (HHS) 民权办公室 (OCR) 向 HIPAA 覆盖的实体发布了有关在线跟踪技术的指南。该公告详细介绍了医疗保健公司对第三方 cookie、像素和其他跟踪技术的使用,并阐述了 HIPAA 所指的受保护健康信息 (PHI) 的定义。HHS
的公告是在针对主要医疗系统和医
院提起的众多集体诉讼之后发布的,这些诉 比利时电报数据 讼指控患者信息被不当披露。该公告敦促 HIPAA 覆盖的实体评估他们如何使用在线跟踪技术。
本文将探讨 HIPAA 覆盖的实体如何遵循 HHS 的指导以及他们选择符合 HIPAA 且有效的分析方法。
2023 年 11 月,美国医院协会 (AHA) 起诉 HHS 的公告。尽管美国地方法院裁定 AHA 胜诉,但在使用分析工具的同时保护 PHI 的问题仍未解决。
了解更多:针对
关于在线跟踪技术的 使您的分析符合 标准 您要鼓励客户实际购买或执行 指导提起的诉讼:这对受 HIPAA 保护的实体及其分析使用意味着什么
有关跟踪技术及其对分析的影响的指导
HHS 指南将跟踪技术定义为“网站或移动应用程序上的脚本或代码,用于在用户与网站或移动应用程序交互时收集有关用户的信息”。示例包括 Cookie、网络信标或跟踪像素、会话重放脚本和指纹脚本。
指南解释说,受监管实体通过放置在其网站或移动应用程序上的跟踪技术向跟踪技术供应商披露各种信息。其中一些数据可能包括个人可识别健康信息 (IIHI),例如某人的:
病历编号
家庭或电子邮件地址
预约日期
IP 地址或地理位置
医疗器械 ID
任何其他唯一识别码
了解更多信息:PHI 和 PII:它们 比特币数据库 如何影响 HIPAA 合规性和您的营销策略。
在受监管实体的网站或应用程序上收集的医疗保健信息通常被视为PHI,即使以下情况也是如此:
该个人与受监管实体不存在现有关系,并且
IP 地址或地理位置等数据不包括特定治疗或账单信息,例如医疗服务的日期和类型。
OCR 公告的原始版本假设访问受保医疗保健提供商网站的任何人都是、现在是或将是该提供商的患者。2024
年 3 月的公告更新指出
如果访问网页与个人过去、现在或未来的健康、医疗保健或医疗保健费用无关,那么仅仅将身份信息(例如用户的 IP 地址)与访问针对特定健康状况或列出医疗保健提供商的网页相匹配不足以构成个人可识别健康信息 (IIHI)。OCR
公告还澄清了网站或应用程序的哪些部分可以包含 PHI:
用户验证网页是需要用户登录的页面。它们通常包含个人 IP 地址、医疗记录号、家庭或电子邮件地址、预约日期、诊断、治疗或处方信息等形式的 PHI。
未经身份验证的网页是不需要用户登录 使您的分析符合 标准 的网页。它们包含有关受监管实体的一般信息,例如其位置、访问时间、就业机会或政策和程序。许多未经身份验证的网页上的跟踪技术无法访问个人的 PHI,在这种情况下,它们不受 HIPAA 监管。
不披露 PHI 的情况包括:
收集并向跟踪技术供应商传输用户的 IP 地址或与用户访问受监管实体的招聘信息或访问时间网页相关的其他识别信息。
收集并向跟踪技术供应商传输有关学生的识别信息,该学生访问了受监管实体的网页以查看其为研究论文提供的肿瘤学服务——此处,此类信息与学生的医疗保健无关。
另一方面,PHI 披露可能发生在以下场景:
收集并向跟踪技术供应商传输有关访问上述相同肿瘤学网页以寻求癌症诊断第二意见的个人的 IP 地址、地理位置或其他识别信息 – 这里,它与个人的过去、现在和/或未来的健康状况有关。
在预约安排页面和症状检查工具上收集并传输识别信息(例如电子邮件地址)给跟踪技术供应商。
OCR 提供的示例表明,受监管实体应考虑网站访问者的意图,以确定可识别信息是否属于 PHI 以及指定的披露是否属于 HIPAA。但是,更新后的指南并未明确受监管实体如何确定网页访问者的潜在意图。在其简报中,HHS 似乎持这样的立场:如果受监管实体无法确定意图,则受监管实体应谨慎对待这些信息,就好像它是 PHI 一样。
移动应用程序包含应用程序用户及其设备提供的 PHI,例如指纹、网络位置、地理位置、设备 ID 或广告 ID。更新后的指南提供了以下示例:
患者可能正在使用健康诊所的
糖尿病管理移动应用来跟踪健康信息,例如血糖水平。将此类患者信息传输给跟踪技术供应商将被视为 PHI 披露,因为患者对该应用的使用与健康状况有关,并且与 PII(例如姓名、IP 地址、设备 ID)相关联。
例外情况包括用户自愿下载或输入到非由或代表受保实体开发或提供的应用程序的信息。
AHA 对 HHS 公告的诉讼及其对医疗保健组织的影响
2023 年 11 月,美国医院协会 (AHA) 就 HHS的追踪技术指南向其提起诉讼
。AHA 质疑 OCR 对 HIPAA 的解释,尤其是其对 PHI 的定义过于宽泛。AHA 表示,通过限制网站上的追踪技术,分析平台等基本网站工具将不再出现在医院网站上。这最终会损害 OCR 规则试图保护的患者。AHA的诉讼得到了 17 个州立医院协会和 30 家医院和卫生系统的支持。为了应对诉讼,HHS 于 2024 年 3 月 18 日更新了其指南,旨在提高受监管实体和公众的清晰度。然而,AHA 称这些修改是“表面文章”,并表示“修改后的公告与原版公告存在相同的基本实质性和程序缺陷。” 2024 年 6 月,一名法官裁定支持 AHA,宣布 OCR 在发布指南时超越了其权限。8 月 29 日,OCR 决定不对地区法院的裁决提出上诉。
法院的裁决和 HHS 不上诉的
决定并不意味着在分析工具背景下保护 PHI 的问题已经一劳永逸地解决了。该裁决是针对一个特定案件做出的,表明 IP 地址与未经身份验证的网页的访问数据相结合并不构成 PHI。然而,裁决并没有撤销指南的其他部分,例如与患者门户等经过身份验证的页面相关的部分。虽然法院的裁决可以作为以后对可能违反 HIPAA 的裁决的基准,但 PHI 保护的复杂性和所涉及的背景的多样性要求特别谨慎。
医疗保健组织收集和使用 PHI 的基本问题保持不变。HIPAA 允许使用分析平台等跟踪技术的内容仍需解释。虽然 PHI 和 ePHI 的定义已经很明确,但现代 IT 系统的广泛使用和互操作性使得 PHI 很容易无意中泄露到您的网站或应用程序中。因此,明智的做法是保持安全,而不是依赖维持现状的灰色地带 PHI 解释。
为了保护患者隐私并降低巨额罚款和失去信任的风险,组织必须对他们收集并与分析供应商共享的数据保持警惕。值得注意的是,最大的网络分析提供商 Adobe 和 Google 尚未改变其有关使用其最受欢迎产品的指南:Adobe Analytics和Google Analytics 4。医疗服务提供商不应使用这些产品。相反,他们应该寻找优先考虑数据隐私和安全的替代解决方案。他们的重点可能会转向明确支持 HIPAA 合规性并为处理敏感健康信息提供适当保障的分析平台,例如签署业务伙伴协议 (BAA)。