Takipçi Geri İzleme? Fed, Web Araçlarına İlişkin HIPAA Kılavuzunu Revize Ediyor

Pazartesi günü Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi, düzenlenen kuruluşların izleme teknolojilerini, elektronik korumalı sağlık bilgilerinin izleme teknolojisi satıcılarına izin verilmeyen şekilde ifşa edilmesine veya HIPAA'nın diğer ihlallerine yol açacak şekilde kullanmasına izin verilmediğini yineledi. Tüzük.

Güncellenen kılavuz, HHS OCR'nin Aralık 2022'de yayınladığı ve HIPAA tarafından düzenlenen kuruluşlar tarafından, IP adresleri de dahil olmak üzere bireysel olarak tanımlanabilir belirli sağlık bilgilerini toplayan ve ileten çevrimiçi izleyicilerin (Meta Pixel gibi) kullanımının daha fazla sağlık sorununa yol açabileceği konusunda uyarıda bulunan tartışmalı kılavuzun yerini alıyor. genel olarak potansiyel HIPAA ihlallerini oluşturdu (bkz.: HHS: Hasta Portallarındaki Web Takipçileri HIPAA'yı İhlal Ediyor).

Avukat Phillip Davis, “OCR, ilk kılavuzuna ilişkin en önemli sorulardan birini ele aldı: düzenlemeye tabi bir kuruluşun web sitesinde izleme teknolojileri aracılığıyla herhangi bir IP adresinin toplanmasının, bağlamdan bağımsız olarak, PHI'nın toplanması ve paylaşılması anlamına gelip gelmediği” dedi. firma Hall Render.

“Artık her IP adresinin PHI olmadığını açıkladılar. Bir IP adresi, yalnızca bir kişinin geçmiş, mevcut veya gelecekteki sağlık hizmetleriyle ilgili olarak web sitesini ziyaret ettiği belirli durumlarda PHI olabilir” dedi.

Davis, HIPAA tarafından düzenlenen kuruluşların, OCR'nin bir IP adresinin PHI olarak kabul edilebileceği yönündeki pozisyonunu değiştirmediğini anlaması gerektiğini söyledi.

“Daha ziyade, bu kararı verirken önemli olanın web sitesi ziyaretçisinin niyeti olduğunu açıkladılar. Bir kişi, kendi cihazını kullanırken kendi sağlık ihtiyaçlarına ilişkin bilgi almak için bir siteye giriyorsa veya bir uygulamayı kullanıyorsa, o kişinin IP'sinin toplanması adres OCR'nin gözünde hâlâ PHI olarak kabul ediliyor.”

Geçtiğimiz Temmuz ayında, HHS OCR ve Federal Ticaret Komisyonu yaklaşık 130 hastaneye ve tele-sağlık firmasına, web sitelerinde ve mobil uygulamalarında web izleyici kullanımının HIPAA veya FTC düzenlemelerini potansiyel olarak ihlal ettiği konusunda uyarıda bulunan mektuplar gönderdi (bkz.: Fed, Web İzleyici Kullanan 130 Sağlık Firmasının Adını Açıkladı).

HHS OCR yetkilileri geçen yaz ayrıca kapsam dahilindeki kuruluşlar ve iş ortakları tarafından web izleyicilerinin kullanımını aktif olarak araştırdıklarını ve kurumun bu gibi durumlarda ilk HIPAA uygulama eylemlerini yakında yayınlamayı beklediğini söyledi. Şu ana kadar bu gerçekleşmedi (bkz: HHS OCR Lideri: Ajans, Web Sitesi Takipçilerine Karşı Çöküyor).

Değiştirilen HIPAA kılavuzu, HHS OCR'nin Kasım ayında Amerikan Hastaneler Birliği ve diğer üç kuruluş tarafından, hastaneler tarafından çevrimiçi izleyici kullanımının potansiyel olarak HIPAA'yı ihlal ettiği yönünde daha geniş bir uyarıda bulunan daha önceki kılavuzunu iptal etmesini veya değiştirmesini isteyen diğer üç kuruluş tarafından açılan federal bir davayla karşı karşıya olduğu bir dönemde geldi. kurallar (bkz: AHA, Web İzleyici Kullanımı Hakkında Gizlilik Uyarısı Nedeniyle Federallere Dava Açtı).

HHS OCR, Bilgi Güvenliği Medya Grubu'nun, kurumun güncellenmiş kılavuzuna ilişkin yorum yapma talebine hemen yanıt vermedi.

AHA genel müşaviri Chad Golder, ISMG'ye yaptığı açıklamada, grupların davasına yanıt olarak değiştirilen kılavuzun “orijinal bültenin hukuk ve politika meselesi olarak kusurlu olduğunu kabul ettiğini” söyledi.

Yine de Golder, HHS OCR'nin güncellenmiş kılavuzunun “orijinal kılavuzla aynı temel içerik ve usul kusurlarından muzdarip olduğunu ve kurumun adli incelemeden kaçınmak için bu yüzeysel değişikliklere güvenemeyeceğini” söyledi.

“Değiştirilen kural, hastanelerin ihtiyaç sahibi hastalara etkili bir şekilde ulaşmalarına olanak tanıyan sıradan teknolojilerin kullanımını kısıtlamaya devam edecek. Federal hükümetin artık hastanelerin elini kolunu bağlamaması için bu sorunu mahkemede kesin olarak çözmeyi sabırsızlıkla bekliyoruz.” güvenilir sağlık bilgilerinin güvenilir habercileri olarak.”

Web Takipçisi Senaryoları

HHS OCR'nin revize edilmiş kılavuzu, kullanıcıların oturum açması gereken hasta portalları gibi kimliği doğrulanmış web sitelerini ziyaret edenlerin ve oturum açmayı gerektirmeyen, denetlenen bir kuruluşun genel web sayfası gibi kimliği doğrulanmamış web sitelerini ziyaret edenlerin ne zaman olduğuna dair örnekler sağlar. hastane – izleyiciler tarafından toplanan kullanıcı bilgilerinin türüne bağlı olarak potansiyel HIPAA ihlallerine neden olabilir veya olmayabilir.

Örneğin, “bir kullanıcının yalnızca hastanenin iş ilanları veya ziyaret saatleri hakkında bilgi sağlayan bir hastanenin web sayfasını ziyaret etmesi durumunda, kullanıcının IP adresi, coğrafi konumu veya diğer bilgilerin yanı sıra web sayfasına bu tür bir ziyareti gösteren bilgilerin toplanması ve iletilmesi HHS OCR, söz konusu web sayfasına yapılan ziyaretleri gösteren tanımlayıcı bilgilerin, bir bireyin korunan sağlık bilgilerinin çevrimiçi bir takip satıcısına ifşa edilmesini içermediğini belirtti.

“Bilgilerin web sayfasını ziyaret eden kullanıcıyı tanımlamak için kullanılabileceğine inanmak için makul bir temel olsa bile bu doğrudur, çünkü bu örnekteki çevrimiçi izleme teknolojilerinin bir bireyin geçmişi, bugünü veya geleceği hakkındaki bilgilere erişimi yoktu.” HHS OCR, sağlık, sağlık hizmetleri veya sağlık hizmetleri için ödeme “diye yazdı.

“Ancak, eğer bir kişi, beyin tümörünün tedavi seçenekleri hakkında ikinci bir görüş almak için bir hastanenin onkoloji hizmetlerini listeleyen web sayfasına bakıyorsa, o kişinin IP adresinin, coğrafi konumunun veya o hastaneyi ziyaret ettiğini gösteren diğer tanımlayıcı bilgilerin toplanması ve iletilmesi web sayfası, bilgilerin hem tanımlanabilir olduğu hem de bireyin sağlığı veya gelecekteki sağlık hizmetleriyle ilgili olduğu ölçüde PHI'nın açıklanmasıdır.”

HHS OCR'nin güncellenmiş kılavuzu, takip cihazlarının hastaneler gibi bazı düzenlemeye tabi gruplar tarafından kullanımının, sağlayıcının bakımı veya hasta deneyimini iyileştirmesine yardımcı olmak, web sayfaları ve uygulamalarının kullanımı veya kaynakları tahsis edin.

“Örneğin hastaneler, belirli bir alandaki COVID-19 aşıları veya tedavisi hakkında bilgi sağlayan web sayfalarına kaç IP adresinin eriştiğini belirlemek için veri analitiğini kullanabilir ve bu da hastanelerin tıbbi ve diğer kaynaklarını nasıl tahsis edecekleri konusunda kararlar almasına yardımcı olabilir. “HHS OCR dedi.

“Ancak bu izleme bilgileri aynı zamanda yanlış bilgilendirmeyi, kimlik hırsızlığını, takip ve tacizi teşvik etmek için de kullanılabilir.”

Kafa karıştırıcı mesajlar

WilmerHale hukuk firmasından gizlilik avukatı Kirk Nahra, HHS OCR'nin güncellenmiş bülteninin “bugüne kadar oldukça belirsiz ve kafa karıştırıcı olan rehberlik” hakkında bazı açıklamalar sağladığını söyledi.

“Güncellenmiş kılavuzun kesinlikle bazı faydaları var; örneğin, kimliği doğrulanmamış web sitesindeki tüm etkinliklerin PHI içermediğinin açıklığa kavuşturulması. Aynı zamanda, kılavuz kafa karıştırıcı ve rahatsız edici olmaya devam ediyor” dedi.

Polsinelli hukuk firmasından gizlilik avukatı Iliana Peters, kılavuzda yapılan revizyonların bazı ek yararlı örnekler sunmasına rağmen, “HIPAA Gizlilik Kuralı ile ilgili yasal analizi veya HHS OCR'nin burada yer alan politika sorunlarına yaklaşımını değiştirmediğini” söyledi.

“Kimliği doğrulanmamış web siteleriyle ilgili bu politika yaklaşımına kişisel olarak katılmıyorum, çünkü HHS ile, FTC'nin yetki alanı kapsamındaki çevrimiçi gizlilik politikalarına ve kullanım şartlarına tabi olan, halka açık web sitelerinin kullanıcılarının gizlilik türlerini dikkate aldığına katılmıyorum. Bu kılavuzda OCR'nin gerektirdiği korumalar, özellikle OCR'nin randevu hatırlatma kartpostalları gibi diğer benzer durumlardaki yaklaşımı dikkate alındığında.”

Nahra, HHS OCR'nin ilk kılavuzunun “bir hizmet sağlayıcının ötesinde üçüncü bir tarafa fiili ifşa edilmesi ve/veya anlaşılabilir zarar nedeniyle değil, öncelikle kılavuzun kendisi nedeniyle pek çok toplu davanın temelini oluşturduğunu söyledi. Bu güncellenmiş kılavuzun bu konuda yeni bir netlik sağlayacağını düşünüyorum.”

Facebook'un ana şirketi Meta, doktorlar, koşullar ve randevular da dahil olmak üzere hasta bilgilerini Pixel takip aracı aracılığıyla toplayarak gizlilik yasasını ihlal ettiği iddiasıyla Kaliforniya federal mahkemesinde önerilen birleştirilmiş toplu davayla karşı karşıya (bkz.: Hakim Meta'nın Pixel Gizlilik Davasını İkinci Reddetme Girişimini Reddetti).

Meta'nın davasının yanı sıra, birçok ABD sağlık kuruluşu, web sitelerinde ve hasta portallarında mevcut veya önceki çevrimiçi izleyici kullanımlarına ilişkin gizlilik endişelerini içeren, önerilen benzer toplu davalarla karşı karşıyadır.

Ocak ayında, Kuzey Carolina merkezli sağlık sistemi Novant Health, web sitelerinde ve hasta portallarında izleme araçlarının kullanımını içeren birleştirilmiş toplu dava davasını sonuçlandırmak için 6,6 milyon dolar ödemeyi kabul etti (bkz: NC Sağlık Sistemi Web Takip Davasında 6,6 Milyon Dolar Ödemeyi Kabul Etti).

HHS OCR'nin güncellenmiş kılavuzu, ajansın çevrimiçi izleme teknolojilerinin kullanımına ilişkin soruşturmalarda hala HIPAA Güvenlik Kuralına uyuma öncelik verdiğini belirtiyor.

“OCR'nin bu alandaki temel ilgisi, düzenlenmiş kuruluşların çevrimiçi izleme teknolojilerini kullanırken ePHI'ye yönelik riskleri belirlemesini, değerlendirmesini ve azaltmasını ve ePHI'nin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için Güvenlik Kuralı gerekliliklerini uygulamasını sağlamaktır.”

Ajans, OCR soruşturmalarının gerçeğe özgü olduğunu ve düzenlemeye tabi bir kuruluşun herhangi bir izleme teknolojisi kullanımına ilişkin teknik bilgilerin incelenmesini içerebileceğini söyledi.