Sağlık, HIPAA/HITECH, Sektöre Özel
Mahkeme, 2022 HIPAA Rehberlik Belgesinin Bir Kısmının Ajansın Yetkisini Aştığını Söyledi
Marianne Kolbass McGee (SağlıkBilgiGüvenliği) •
4 Eylül 2024
Sağlık ve Sosyal Hizmetler Bakanlığı’nın, sağlık hizmeti sağlayıcılarını, kamuya açık web sitelerinde web izleme araçlarının kullanılmasının HIPAA Gizlilik Kuralı’nı ihlal edebileceği konusunda uyararak ilk kez tartışma yaratmasından yaklaşık iki yıl sonra, federal düzenleyiciler mücadeleyi bırakmaya hazır görünüyor.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve iyileştirilmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
HHS, 29 Ağustos’ta, kurumun 2022’de web izleyicileriyle ilgili rehber yayınlama yetkisini aştığına karar veren yakın tarihli bir Teksas federal mahkemesi kararına karşı yaptığı itirazın gönüllü olarak reddedilmesi için bir dilekçe verdi.
HHS, HIPAA tarafından düzenlenen kuruluşları, sağlık koşulları veya tıbbi bakım sağlayıcıları hakkında bilgi içeren kimliği doğrulanmamış, halka açık web sitelerine yapılan ziyaretlerde IP adreslerini yakalamak için çevrimiçi izleme araçlarının kullanılmasının yasadışı olduğu konusunda uyardı. Kurum, üçüncü tarafların izleme verilerinde hassas kişisel tanımlanabilir bilgileri elde edebileceğini savundu, ancak Amerikan Hastane Derneği ve diğer gruplar HHS’ye dava açtı.
ABD Teksas Kuzey Bölgesi Fort Worth Bölümü Bölge Mahkemesi’nin 20 Haziran tarihli kararında, HHS Sivil Haklar Ofisi’nin çevrimiçi izleme kılavuzunun belirli bölümlerinin “HIPAA kapsamındaki HHS yetkisini açıkça aşacak şekilde yayımlandığı” belirtiliyor.
AHA’nın genel danışmanı Chad Golder yaptığı açıklamada, “AHA’nın OCR’ye – hem OCR’nin AHA’yı dava açmaya zorlamasından önce hem de sonra – defalarca açıkladığı gibi, bu kural federal hükümetin sağlık hizmeti sağlayıcılarından veya halktan hiçbir görüş alınmadan dayattığı büyük bir yetki aşımıydı” dedi.
Mahkeme özellikle HHS OCR’nin, HIPAA yükümlülüklerinin, bir çevrimiçi teknolojinin bir bireyin IP adresini bir sağlayıcının kimliği doğrulanmamış genel web sayfasına yapılan ziyaretle ilişkilendirdiği durumlarda tetiklendiği konusunda düzenlenen kuruluşları uyaran kılavuzunun bir kısmını iptal etti.
HHS OCR, bir kullanıcının cihazının IP adresini yakalayan ve bunu belirli sağlık koşullarını ele alan veya sağlık hizmeti sağlayıcılarının bir listesini içeren bir web sayfasına yapılan ziyaretle eşleştiren izleme teknolojisinin “bireysel olarak tanımlanabilir sağlık bilgisi oluşturmak için yeterli bir bilgi kombinasyonu” olduğunu savundu. Federal yargıç buna katılmadı.
Mahkeme, “Yasaklanan birleşim, mevcut gizlilik korumalarını iyileştirmede başarısız olurken, önemli sağlık bilgilerinin kitlelere yayılmasını tehlikeye atıyor” dedi.
Ancak Teksas mahkemesi, HHS’nin web izleyicileri hakkındaki HIPAA rehberliğinin tamamının geçersiz olduğuna hükmetmedi. Karar yalnızca IP adreslerinin ve ilgili tanımlayıcıların web sitesi ziyaretçisinin amacıyla birleştirilmesine odaklandı.
HHS OCR, rehberliğini ilk olarak Aralık 2022’de yayınladı ve ardından Mart 2024’te biraz güncelledi (bkz: Tracker Backtrack? Federal Hükümet Web Araçlarına İlişkin HIPAA Rehberliğini Gözden Geçiriyor).
AHA, üç kuruluşla birlikte Kasım 2023’te kılavuza itiraz ederek HHS’nin belgeyi iptal etmesini talep eden bir dava açtı (bkz: AHA, Web İzleyici Kullanımıyla İlgili Gizlilik Uyarısı Nedeniyle Federal Hükümeti Dava Etti).
Golder, “Amerikan Hastane Derneği, Sivil Haklar Ofisi’nin, Çevrimiçi İzleme Teknolojileri Bülteni’nde kabul edilen yeni kuralı iptal eden bölge mahkemesinin kararına itiraz etmemeye karar vermesinden memnuniyet duymaktadır,” dedi. “Artık bültenin yasadışı kuralı bir kez ve herkes için iptal edildiğine göre, hastaneler, federal sivil ve cezai yaptırımlardan korkmadan, hizmet verdikleri topluluklarla güvenilir, doğru sağlık hizmeti bilgilerini güvenle paylaşabilirler.”
Sınırlı Ama Önemli Bir Karar
Anlaşmazlığa dahil olmayan Polsinelli hukuk firmasından gizlilik avukatı Iliana Peters, Teksas mahkemesinin kararının “son derece sınırlı” olduğunu ve yalnızca kamuya açık web sitelerine yapılan ziyaretlerle bağlantılı olarak IP adreslerinin toplanması ve ifşa edilmesine uygulandığını söyledi.
“Bu nedenle, randevu planlama, haritalama araçları, çeviriler, analizler, pikseller vb. kullanılarak ‘doktor bulma’ gibi yalnızca bir IP adresinden daha fazlasını içeren bu tür web sitelerindeki diğer tüm faaliyetlerin hala HHS OCR HIPAA’nın bu konulardaki rehberliğinin kapsamında olduğu iddia edilebilir” dedi.
HHS’nin itirazını geri çekme kararı nedeniyle, “HHS OCR’nin, gerektiğinde gelecekteki kural koyma süreçlerinde mahkemenin buradaki sınırlı kararını ele almayı planladığını varsayıyorum” dedi.
Diğer uzmanlar, Teksas mahkemesinin kararının HHS OCR’nin web izleyicilerine ilişkin kılavuzunun belirli bir hükmünü ele alması bakımından sınırlı olsa da yine de önemli bir karar olduğunu söyledi.
Sağlık Bilgi Yönetimi Yöneticileri ve Bilgi Güvenliği Yöneticileri derneği olan College of Healthcare Information Management Executive’in federal işler direktörü Chelsea Arnone, “Mahkeme, HHS OCR’nin rehberde benimsenen bu kuralın uygulanmasının büyük bir sorun olmadığını düşünse de, aslında HIPAA yasasını takip etmeye çalışan hastaneler için büyük bir sorun olduğuna karar verdi” dedi.
“Mahkeme, AHA ve davacıların görüşlerine katıldı ve HHS’nin kanun kapsamında kendilerine verilen yetkiyi aştığı için kuralın yasal olmadığını resmen açıkladı” dedi.
“Bunun üyelerimiz için hiçbir şeyi değiştireceğini düşünmüyorum; hasta mahremiyetini korumaya ve Meta/Facebook Pixel ve Google Analytics gibi herhangi bir çevrimiçi izleme teknolojisinin hastalarının mahremiyetini ihlal etmek için kullanılmasına izin verilmemesini veya kullanılmamasını aktif olarak sağlamaya kararlılar,” dedi. “Hasta mahremiyetini korumak, bakım sağlama misyonlarının merkezinde yer alıyor.”
HHS OCR’nin Aralık 2022’de rehberin ilk yinelemesi, ABD Yüksek Mahkemesi’nin Roe v. Wade’i ve ülke çapında kürtaja erişimi garanti eden onlarca yıllık emsalini bozmasından yaklaşık altı ay sonra geldi.
Yüksek Mahkeme’nin kararı, teknoloji şirketlerinin üreme sağlığı bilgileri de dahil olmak üzere bireylerin hassas sağlık verilerini takip edip üçüncü taraflara ifşa etmesi konusundaki endişeleri artırdı (bkz: Meta Mounts’ın Piksel Sağlık Verilerini Toplamasıyla İlgili Baskı).
Haziran 2022’de, kar amacı gütmeyen araştırmacı gazetecilik kuruluşları The Markup ve Reveal, Meta’nın kürtajla ilgili bilgiler de dahil olmak üzere kullanıcılar hakkında hassas sağlık bilgileri topladığını bildirdi. Facebook’un ana şirketi Meta, doktorlar, durumlar ve randevular hakkındaki veriler de dahil olmak üzere Pixel izleyicisi aracılığıyla hasta bilgilerini toplayarak gizlilik yasasını ihlal ettiği iddiasıyla önerilen birleştirilmiş toplu dava ile karşı karşıya (bkz: Hakim Meta Pixel Web Tracker Davasına Yeşil Işık Yaktı).
HHS OCR, kurumun Teksas mahkemesi kararına karşı yaptığı itirazı geri çekme kararına ilişkin Information Security Media Group’un yorum talebini reddetti.