Polsinelli hukuk firmasından gizlilik avukatı Iliana Peters, sağlık gruplarının, Teksas federal mahkemesinin yakın zamanda verdiği bir karar ve bunun HIPAA tarafından düzenlenen kuruluşların sağlık web sitelerinde çevrimiçi izleme teknolojisinin kullanımı üzerindeki etkisiyle ilgili birkaç önemli noktayı göz önünde bulundurmaları gerektiğini söyledi.
Peters’a göre, Teksas federal mahkemesinin yakın zamanda verdiği ve Sağlık ve İnsan Hizmetleri Bakanlığı’nın sağlık hizmetleri web sitelerinde çevrimiçi izleme araçlarının kullanımıyla ilgili HIPAA kılavuzunun belirli hükümleri konusunda yetkisini aştığını belirten karar çok dar kapsamlı.
Mahkeme, HHS Sivil Haklar Ofisi’nin, bir kullanıcının cihazının IP adresini yakalayan ve bunu belirli sağlık koşullarını ele alan veya sağlık hizmeti sağlayıcılarını listeleyen bir web sayfasına yapılan ziyaretle eşleştiren izleme teknolojisinin “bireysel olarak tanımlanabilir sağlık bilgisi oluşturmak için yeterli bir bilgi kombinasyonu” olduğunu söylediğinde yanıldığını hükmetti (bkz: Mahkeme: HHS, Web İzleme Rehberinde HIPAA Yetkisini Aştı).
Mahkeme, “Yasaklanan birleşim, mevcut gizlilik korumalarını iyileştirmede başarısız olurken, önemli sağlık bilgilerinin kitlelere yayılmasını tehlikeye atıyor” dedi.
HHS OCR, Aralık 2022’de kılavuzu yayınladı ve Mart ayında güncelledi. 20 Haziran kararından bu yana HHS OCR, kılavuza bir not ekleyerek HHS’nin mahkemenin kararı ışığında “sonraki adımlarını değerlendirdiğini” söyledi.
“Düzenlenen kuruluşların, bunun kılavuzda çok az değişiklik yaptığını anlamaları gerçekten önemli. Başka bir deyişle, evet, kullanıcıların halka açık web sitelerini ziyaret etmesi konusunda daha az endişeli olabiliriz,” dedi Peters, “ancak bu halka açık web sitelerindeki etkinliklerin büyük çoğunluğu yalnızca web sitesine yapılan bir ziyaretten ibaret değil ve üçüncü taraf bir satıcıyla paylaşılan bilgiler yalnızca IP adresleri ve web sitesi adresi değil. Bu web sitelerinde başka birçok şey yapılıyor.”
Peters, “Bu o kadar sınırlı bir karar ki, çoğu durumda yaklaşımımızı gerçekten önemli bir şekilde değiştirmesi muhtemel değil” dedi.
Peters, Information Security Media Group ile yaptığı bu sesli röportajda (fotoğrafın altındaki ses bağlantısına bakın) ayrıca şunları da tartışıyor:
- Hasta portalları gibi kamuya açık kimliği doğrulanmamış web siteleri ile kimliği doğrulanmış web sitelerini ilgilendiren HIPAA hususları;
- IP adreslerinin ve diğer tanımlayıcıların gizliliğini ilgilendiren eyalet ve federal düzenleyici konular;
- Teksas federal mahkemesinin yakın tarihli kararının, sağlık hizmetleri web sitelerinde çevrimiçi izleme teknolojilerinin kullanımıyla ilgili daha önce bildirilen HIPAA ihlallerini etkilemesi muhtemel değil.
Peters, Polsinelli hukuk firmasının hissedarı ve ulusal sağlık hizmetleri operasyonları uygulamasında avukattır. Daha önce HHS OCR’de on yıldan fazla zaman geçirdi ve sağlık bilgisi gizliliğinin vekil müdür yardımcısı ve HIPAA uyumluluğu ve yaptırımı için kıdemli danışman olarak görev yaptı. Peters, Washington’daki OCR ekibine katılmadan önce OCR’nin Dallas bölge ofisinde araştırmacı olarak çalıştı.