HHS, Web Takip Kılavuzunda HIPAA Yetkisini Aştı

Sağlık Hizmetleri, HIPAA/HITECH, Sektöre Özel

Ajans, Belirli PHI ‘Kombinasyonlarına’ İlişkin Güncellenmiş Kılavuz Hükümlerini Kaldırmalı

Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
21 Haziran 2024

Teksas federal mahkemesi, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın, HIPAA tarafından düzenlenen kuruluşlara, hastalıklar hakkında bilgi içeren web sitelerine yapılan ziyaretlerde IP adreslerini yakalamak için çevrimiçi izleme araçlarını kullanmanın yasa dışı olduğu konusunda uyarıda bulunarak rehberlik yetkisini aştığı kararına vardı.

Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın

ABD’nin Texas Fort Worth Bölümü Kuzey Bölgesi Bölge Mahkemesi Perşembe günü, HHS’nin Sivil Haklar Ofisi’nin çevrimiçi izleyicilerin kullanımına ilişkin kılavuzunun bazı bölümlerinin “HHS’nin HIPAA kapsamındaki yetkisini açıkça aşarak yayımlandığına” hükmetti.

Mahkeme, bir kullanıcının cihazının IP adresini yakalayan ve bunu belirli sağlık koşullarını ele alan veya sağlık hizmeti sağlayıcılarını listeleyen bir web sayfasına yapılan ziyaretle eşleştiren izleme teknolojisinin “yeterli bir kombinasyon” olduğunu söylerken Sivil Haklar Dairesi’nin hatalı olduğuna hükmetti. bilgiler, bireysel olarak tanımlanabilir sağlık bilgisi teşkil eder.”

Mahkeme, “Yasaklı kombinasyon, önemli sağlık bilgilerinin kitlelere yayılmasını tehlikeye atarken mevcut gizlilik korumalarını iyileştirmede başarısız oluyor” dedi.

Amerikan Hastaneler Birliği, diğer üç kuruluşla birlikte Kasım ayında rehbere itiraz etti (bkz: AHA, Web Takipçisi Kullanımıyla İlgili Gizlilik Uyarısı Nedeniyle Federallere Dava Açtı).

Teksas mahkemesi, IP adresleri ve ilgili tanımlayıcıların web sitesi ziyaretçisinin amacı ile birleşimine odaklanarak, web izleyicileriyle ilgili tüm yeni rehberlerin geçersiz olduğuna hükmetmedi.

Mahkeme, yasaklanan birleşimin iptali emrinin “ilgili HHS belgesindeki diğer kılavuzların yasal olarak uygulanabilirliğini sınırlama amacı taşımadığını ve bu şekilde yorumlanmaması gerektiğini” söyledi.

Davaya dahil olmayan Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, mahkemenin “dar çözüm yolunun” “çok önemli” olduğunu söyledi.

“Bu yalnızca OCR’nin, bir hastanenin kimliği doğrulanmamış web sayfasında bir ziyaretçinin IP adresinin toplanmasının HIPAA’yı ihlal eden bir PHI ifşasına yol açabileceği yönündeki yönlendirmesini ortadan kaldırır. Kimliği doğrulanmamış bir web sayfası, ziyaretçinin oturum açmasını gerektirmez. OCR’nin geri kalan izleme teknolojisi kılavuzu tamamen bozulmadan kalır.”

“AHA galip geldi ancak istenen sonuca yaklaşamadı. OCR’nin yalnızca kimliği doğrulanmamış bir web sayfasından IP adresi edinilmesini HIPAA ihlali olarak değerlendirmesi engellendi” dedi.

Erken uyarı

HHS OCR, ilk olarak Aralık 2022’de, kapsam dahilindeki kuruluşları, bireylerin korunan sağlık bilgilerini (IP adresleri dahil) toplamak ve üçüncü taraflarla paylaşmak için web sitelerinde çevrimiçi izleyiciler kullanmanın potansiyel HIPAA ihlalleri oluşturduğu konusunda uyarmak için bir kılavuz yayınladı (bkz.: Hasta Portallarındaki HHS Web Takipçileri HIPAA’yı İhlal Ediyor).

AHA’nın dava açmasının ardından HHS OCR, Mart ayında bu kılavuzu revize ederek, bir IP adresinin veya diğer tanımlayıcıların toplanmasının IIHI olarak değerlendirilip değerlendirilmeyeceği belirlenirken web sitesi ziyaretçisinin niyetinin önemli olduğunu söyledi.

HHS OCR, bir kişinin bir sağlık kuruluşunun web sitesini ziyaret etme nedeninin, örneğin kuruluşta iş aramanın aksine, kişinin kişisel sağlık hizmetleriyle ilgili olması durumunda, o kişinin IP adresinin IIHI olabileceğini söyledi (bkz: Takipçi Geri İzleme? Fed, Web Araçlarına İlişkin HIPAA Kılavuzunu Revize Ediyor).

Ancak mahkeme, 18 Mart’ta güncellenen HHS OCR bülteninde belirtildiği gibi “yasaklı kombinasyonun”, “HHS’nin HIPAA kapsamındaki yetkisini açıkça aşarak ilan edildiği için yasa dışı olduğuna” karar verdi.

Davada yer almayan WilmerHale hukuk firmasının gizlilik avukatı Kirk Nahra, “Karar kesinlikle bir aşırılığı ortaya çıkarıyor” dedi.

“İlk kılavuzda açıkça doğru olamayacak unsurlar vardı; örneğin, bir iş başvurusunda bulunmak için bir hastanenin web sitesine giden biri hasta olmayı beklemiyor. Gözden geçirilmiş kılavuz, bir bireyin niyetiyle ilgili olarak bir hastanenin bunu yapabileceğine dair çizgiler çiziyordu. bilmem mümkün değil” dedi.

“Bu kılavuz her zaman bir kafa karışıklığı kaynağı olmuştur ve hastaneleri web sitelerini genel olarak incelemeye teşvik etmenin ötesinde özellikle yararlı olmamıştır” dedi. “Genel olarak hastaneler için bu konunun belirlenmesi adildi. Özellikle bu kadar geniş olmak üzere kesin bir kural koymak veya bu rehberden önceki herhangi bir eyleme dayanarak yaptırım uygulamak uygun görülmedi” dedi.

HHS OCR, Yüksek Mahkeme’nin Haziran 2022’de Roe v. Wade davasını bozmasının ardından Aralık 2022’de orijinal çevrimiçi izleme kılavuzunu yayınladı. Kılavuz, sağlıkla ilgili web siteleri ve mobil uygulamalardan hassas kişisel bilgiler ve sağlık bilgilerinin toplanması ve paylaşılmasıyla ilgili artan gizlilik endişelerinin ortasında geldi. Facebook Meta Pixel ve Google Analytics gibi çevrimiçi izleyicilerin kullanımı yoluyla üçüncü taraflarla.

Hassas sorunlar

Bazı uzmanlar, sağlıkla ilgili web sitelerinde web izleyicilerinin kullanımının hala tartışmalarla dolu olduğunu söyledi.

Üreme sağlığı ve mahremiyet uzmanları, diğer endişelerin yanı sıra, kolluk kuvvetlerinin internette ve akıllı telefonlarda bırakılan dijital ayak izleri aracılığıyla kürtaj hakkında bilgi toplamaya çalışabileceği konusunda uyardı.

Davaya dahil olmayan düzenleme avukatı Rachel Rose, “Bu, özellikle üreme sağlığı ve Roe sonrası çeşitli eyalet yasalarıyla ilgili olduğu için, çeşitli sonuçları olan zayıf bir alandır” dedi.

Rose, sağlıkla ilgili web sitelerinde çevrimiçi izleyici kullanmayı düşünen kuruluşların dikkatli davranması gerektiğini söyledi.

“PHI’nin veya tanımlanabilir bilgilerin önemli bileşenlerinin girişi ve çıkışı, risk analizinin bir parçası olarak gereklidir” dedi.

“Yani hangi bilgilerin çıkarıldığına, nasıl kullanıldığına ve satış ve pazarlama ya da başka bir yasa dışı kullanımın olup olmadığına bağlı olarak hayır, bu doğru değil. Dahili analizlere izin verilebilir, ancak bir iş ortağı Google veya başka bir veri izleme şirketi ile bir anlaşma yapılmış olmalıdır.”

Teknoloji devi Meta, Pixel’in sağlıkla ilgili web sitelerinde kullanılmasına ilişkin önerilen birleştirilmiş federal toplu davayla karşı karşıyadır (bkz.: Hakim Meta’nın Pixel Gizlilik Davasını İkinci Reddetme Girişimini Reddetti).

Ayrıca, son iki yılda, Advocate Aurora Health ve Community Health Network dahil olmak üzere birçok büyük sağlık kuruluşu, HHS OCR’ye daha önceki web izleyici kullanımlarıyla ilgili büyük HIPAA ihlallerini bildirdi.

Bu arada AHA, Teksas mahkemesinin kararını bir zafer olarak görüyor.

AHA genel danışmanı Chad Golder, Information Security Media’ya yaptığı açıklamada, “Bir yıldan fazla bir süredir AHA, Sivil Haklar Dairesi’ne ‘Çevrimiçi Takip Bülteni’nin hem yasa dışı hem de hastalar ve topluluklar için zararlı olduğunu söylüyor” dedi. Grup.

“OCR’yi dava etmek zorunda kaldığımız için üzgünüz, ancak mahkemenin AHA ile aynı fikirde olması ve OCR’nin ‘HIPAA metnine yönelik şiddete bakılmaksızın istediği her şeyi haklı çıkaracak yorumlayıcı tam yetkiye’ sahip olmadığına karar vermesinden memnunuz” dedi.

Golder, mahkemenin kararı sonucunda “hastaneler ve sağlık sistemleri, topluluklarına güvenilir, doğru sağlık bilgileri sağlamak için yeniden bu önemli teknolojilere güvenebilecek” dedi.

HHS OCR, ISMG’nin karara veya ajansın sonraki adımlarına ilişkin yorum talebine hemen yanıt vermedi. Rose, HHS OCR’nin karara itiraz edebileceğini söyledi.

AHA’nın yanı sıra HHS OCR’ye karşı ortak dava açan diğer davacılar Texas Hastane Birliği, Texas Health Resources ve United Regional Health Care System idi.