Technologische Neuigkeiten, Bewertungen und Tipps!

HIPAA-Konformität und Online-Tracking

Hinweis: Der folgende Artikel hilft Ihnen weiter: HIPAA-Konformität und Online-Tracking

Was das neueste HSS-Bulletin für Ihren MarTech-Stack bedeutet

Vor einigen Monaten wurden Klagen dagegen eingereicht Meta und mehrere Krankenhäuser hat die Privatsphäre der Benutzer erneut in den Vordergrund gerückt. Um es kurz zusammenzufassen: Es wurde festgestellt, dass das Meta Pixel mehr Benutzerdaten erfasste als erwartet. Eine Untersuchung ergab, dass bei einigen Patienten gesundheitliche Probleme, Arzttermine und sogar Allergien gemeldet wurden Facebook.

Das US-Gesundheitsministerium später hat in den letzten Wochen des Jahres 2022 ein Bulletin herausgegeben nähere Erläuterung der Verantwortlichkeiten von HIPAA Abgedeckte Unternehmen und Geschäftspartner. Das Dokument befasst sich speziell mit Tracking-Technologien und deren Erfassung geschützter Gesundheitsinformationen (PHI) – dies umfasst alles von Website-Analysen bis hin zu Marketing-Pixeln, Sitzungswiedergabeskripten und mehr.

Wie können Gesundheitsdienstleister ihre Dienste vermarkten oder Erkenntnisse darüber gewinnen, wie Besucher mit ihren Inhalten interagieren? Glücklicherweise enthält das Bulletin einige Szenarien, die als Leitfaden für solche Bemühungen dienen.

Was steht im Bulletin?

Dieses spezielle Bulletin, gemeinsam herausgegeben von der OCR Und HHSkonzentriert sich auf Tracking-Technologien und die Verpflichtungen von HIPAA-gedeckten Unternehmen, die diese nutzen.

Dem Bulletin zufolge sammeln und analysieren Tracking-Technologien Informationen darüber, wie Benutzer mit den Websites oder mobilen Anwendungen („Apps“) regulierter Unternehmen interagieren. Wenn diese Tracking-Technologien PHI erfassen, gelten die HIPAA-Regeln. Das Bulletin fasst Website-Tracking-Technologien zusammen, zu denen alle Cookies, Web-Beacons oder Tracking-Pixel, Sitzungswiedergabeskripte und Fingerabdruckskripte gehören. Es identifiziert auch App-Tracking-Technologien wie eine Geräte-ID oder Werbe-ID.

HIPAA-Regeln gelten, wenn individuell identifizierbare Gesundheitsinformationen (IIHI) von einem Benutzer einer Website oder App bereitgestellt werden. Zu diesen Informationen können die Krankenaktennummer, die Privat- oder E-Mail-Adresse einer Person oder Termindaten sowie die IP-Adresse oder der geografische Standort einer Person, IDs medizinischer Geräte oder ein eindeutiger Identifizierungscode gehören.

Es wird zwar darauf hingewiesen, wann PHI verfolgt und an Geschäftspartner gemeldet werden können, wir empfehlen jedoch nicht, dies mit Marketing-Pixeln oder ähnlichen Diensten zu versuchen.

Sammlung nach Kontext

Vom Benutzer authentifizierte Webseiten

Dabei handelt es sich um Seiten, auf die nicht jeder zugreifen kann, der im Internet sucht, und für deren Anzeige der Besucher einen Benutzernamen und ein Passwort eingeben muss. Einige Beispiele für diese Art von Seiten sind Patientenportale, Details zu Gesundheitsplänen und Telegesundheitsplattformen. Im Allgemeinen enthalten diese Seiten Informationen, die sich direkt auf den Besucher beziehen, der sich angemeldet hat, um auf den Inhalt zuzugreifen – unabhängig davon, ob dieser auf der Seite selbst oder im DOM verfügbar ist. Aus diesem Grund können diese Seiten PII oder PHI enthalten.

Seer empfiehlt, nur anonyme Daten von authentifizierten Seiten zu sammeln, andernfalls können diese Seiten im schlimmsten Fall nicht verfolgt werden.

Nicht authentifizierte, öffentliche Webseiten

Hier wird das Wasser trübe. Wenn wir von nicht authentifizierten Seiten sprechen, meinen wir Seiten, die höchstwahrscheinlich für jeden Besucher der Website oder sogar für Suchmaschinen zugänglich sind. Es ist nicht sehr wahrscheinlich, dass diese Seiten PHI enthalten, sodass das Unternehmen wie gewohnt nachverfolgen kann, ohne sich um die HIPAA-Regeln kümmern zu müssen.

Es treten jedoch Probleme auf, wenn bestimmte Inhalte mit personenbezogenen Daten verknüpft werden. Wenn beispielsweise jemand eine Seite besucht, um mehr über eine bestimmte Krankheit zu erfahren oder die Öffnungszeiten einer Klinik herauszufinden, und Sie seinen Namen oder seine IP-Adresse kennen, erfassen Sie jetzt versehentlich PHI.

Öffentliche Webseiten können im Allgemeinen sicher verfolgt werden. Wenn Sie jedoch sicherstellen möchten, dass Sie die Vorschriften einhalten, empfiehlt Seer, das Tracking auf Seiten auszuschließen, die dazu verwendet werden könnten, Gesundheitsinformationen einer Person zuzuordnen. Dazu gehören Seiten zum Planen von Besuchen in einer bestimmten Art von Klinik oder Formulare, die PHI enthalten würden. Während ein Formularübermittlungsereignis kein PHI darstellen würde, könnte ein bestimmter Formulartyp oder die darin enthaltenen Felder solche Informationen enthalten.

Mobile Apps

Für mobile Anwendungen, die einem HIPAA-regulierten Unternehmen gehören, gelten dieselben Regeln. Dies erstreckt sich auf alle Drittentwickler, die die App verwalten, und auf alle Anbieter, die Zugriff auf PHI haben (Erfahren Sie mehr über die 18 HIPAA-Kennungen).

Wenn die App nicht Eigentum einer regulierten Einrichtung ist, unterliegt sie nicht dem HIPAA – selbst wenn jemand am Ende seine Gesundheitsinformationen hinzufügt. Es gibt jedoch wahrscheinlich andere Gesetze und Vorschriften, die in solchen Fällen gelten werden.

Aufgrund der Komplexität mobiler Apps und der damit verbundenen Systeme empfehlen wir Ihnen, sich an uns zu wenden, damit unser Analytics-Team Ihnen eine maßgeschneiderte Empfehlung basierend auf Ihrem Setup geben kann.

Ist Google Analytics HIPAA-konform?

Kurze Antwort: Nein, nicht sofort einsatzbereit. Google nimmt den Datenschutz sehr ernst und ist es auch Richtlinien verlangen, dass keine Daten an Google weitergegeben werden, die Google als personenbezogene Daten (PII) verwenden oder erkennen könnte. Google hat jedoch deutlich gemacht, dass das Unternehmen kein HIPAA-konformes Analyseprodukt anbieten möchte.

Wenn Sie sich an die Richtlinien von Google halten, liegen Sie wahrscheinlich innerhalb der Compliance-Grenzen. Dennoch gibt es mehrere Überlegungen und Schritte, die Sie ergreifen können, um Ihr Unternehmen vor möglichen Verstößen zu schützen.

Die folgenden Empfehlungen stellen keine HIPAA-Konformität dar, sondern dienen vielmehr als Orientierungshilfe für Schritte, die ergriffen werden können, um die Erfassung von PII und PHI zu minimieren.

Schritte, die Sie heute unternehmen können, um konform zu bleiben

  • Deaktivieren Sie die Erfassung detaillierter Standortdaten
  • Vom Benutzer bereitgestellte Daten werden nicht automatisch erkannt
  • IP-Adressen anonymisieren (nur UA)
  • Entfernen Sie alle URLs oder Seitentitel, die möglicherweise PHI enthalten
  • Stellen Sie sicher, dass die Formularverfolgung keine PHI erfasst
  • Überprüfen (oder entfernen) Sie Marketing-Pixel

Was bedeutet das für die Gesundheitsdienstleister in der Zukunft?

Die Compliance-Standards für HIPAA sowie die Definition und Regeln für den Umgang mit PII und PHI befinden sich noch in der Entwicklung. Eines ist jedoch klar: Die Einhaltung angemessener Sicherheitspraktiken für Benutzerdaten und die Vermeidung der Erfassung von PHI in Tracking-Tools sind von größter Bedeutung.

Haftungsausschluss: Seer Interactive erhebt keinen Anspruch auf Rechtsberatung. Die Interpretationen der Einhaltung von HIPAA-Gesetzen und PHI (Protected Health Information) sind komplex. In diesem Dokument werden der Standpunkt und die Maßnahmen von Seer dargelegt, die Sie im Hinblick auf Ihr Unternehmen, Ihre Ziele und rechtlichen Risiken prüfen sollten. Wir empfehlen Ihnen dringend, Ihre spezifischen Anwendungsfälle mit Ihren eigenen Rechtsberatern und Data-Engineering-Teams zu prüfen.

Wenn Sie sich Sorgen über Ihren aktuellen Analyse- und Marketing-Stack machen, wenden Sie sich noch heute an Seer, um zu erfahren, wie wir Ihnen dabei helfen können, die Konformität Ihrer Daten und die Sicherheit Ihrer Patienteninformationen zu gewährleisten.

Kontaktieren Sie Seer

Table of Contents