چهارشنبه 28 دسامبر 2022
استفاده از فناوریهای ردیابی آنلاین، که بینشهای ارزشمندی را در مورد رفتارهای کاربران وبسایت و اپلیکیشنهای موبایل ارائه میدهد، در ا،یستم آنلاین امروزی به یک امر عادی تبدیل شده است. شرکتها از فناوریهای ردیابی برای تعیین نحوه تعامل بازدیدکنندگان آنلاین با وبسایتها یا برنامههای این شرکتها، از جمله اینکه چه محتوا یا ویژگیهایی بازدیدکنندگان را جذب میکنند و چه صفحاتی را مرور میکنند، استفاده میکنند. بینشهای بهدستآمده از چنین ردیابی برای بهبود عملکرد وبسایتها و برنامهها و بهروزرس، رابطهای کاربری برای هماهنگی بهتر با نیازها و ترجیحات کاربر استفاده میشود.
صنعت مراقبت های بهداشتی از استفاده از این فناوری چشم پوشی نکرده است و اغلب از این ابزارها برای کمک به بهبود تجربه بیمار استفاده می کند. با این حال، بررسی های فزاینده توسط دفتر حقوق مدنی (OCR)، که قانون قابل حمل و پاسخگویی بیمه سلامت 1996 (HIPAA) را اجرا می کند، از نهادهای تحت پوشش و شرکای تجاری می خواهد که در استفاده از چنین فناوری هایی با احتیاط عمل کنند.
تنها در سال 2022، چندین سیستم بهداشتی بزرگ مجبور شدند به OCR و میلیونها بیمار فاش کنند که استفاده از فناوریهای ردیابی ممکن است منجر به افشای غیرمجاز اطلاعات بهداشتی محافظتشده (PHI) شده باشد. در میان تعداد فزاینده ای از این حوادث و دادخواست های دسته جمعی مرتبط، OCR در تاریخ 1 دسامبر 2022 بولتنی (“بولتن”) منتشر کرد و به نهادهای تحت پوشش و شرکای تجاری یادآوری کرد که آنها “مجاز نیستند از فناوری های ردیابی به روشی استفاده کنند که منجر شود. در افشای غیرمجاز PHI برای ردیابی فروشندگان فناوری یا هر گونه نقض دیگر قو،ن HIPAA.” [1] در بولتن، OCR روشن می کند که نهادهای تحت نظارت باید عمداً در نظر بگیرند و در صورت نیاز، اقدامات احتیاطی خاصی را در استفاده از چنین فناوری هایی انجام دهند.
1. تعریف فن آوری های ردیابی و زم، که آنها مجاز نیستند
در بولتن، OCR یک فناوری ردیابی را اینگونه تعریف میکند: «اسکریپت یا کدی در یک وبسایت یا برنامه تلفن همراه که برای جمعآوری اطلاعات در مورد کاربران هنگام تعامل با وبسایت یا برنامه تلفن همراه استفاده میشود». برای وبسایتها، این فناوریها میتوانند به شکل کوکیها، بیکنهای وب یا پی،لهای ردیابی، اسکریپتهای پخش مجدد جلسه و اسکریپتهای اثرانگشت باشند. از سوی دیگر، برنامه های تلفن همراه اغلب کد ردیابی را در برنامه جاسازی می کنند تا امکان جمع آوری اطلاعات مستقیماً ارائه شده توسط کاربر و اطلاعات مربوط به دستگاه تلفن همراه کاربر را فراهم کنند.
OCR همه استفاده از فناوریهای ردیابی توسط نهادهای تحت پوشش و شرکای تجاری را محدود نمیکند، مشروط بر اینکه جمعآوری و پردازش PHI برای اه، مجاز در پیشبرد عملیات مراقبتهای بهداشتی سازمان تحت HIPAA باشد. درعوض، راهنما به موقعیتهایی میپردازد که فناوری اطلاعات را مستقیماً به فروشندههای فناوری ردیابی شخص ثالث ارسال میکند که بر اساس اطلاعات جمعآوریشده از ردیابی، بینشهایی ارائه میدهند. برای مثال، گوگل و متا (فیسبوک سابق) هر کدام از ردیابی «پی،لها» یا کدهای تعبیهشده در یک وبسایت برای به دست آوردن این بینشها استفاده میکنند.
دعواها و مقالات خبری اخیر در مورد استفاده از این فناوریها نشان میدهد که فروشندگان ردیابی فناوری شخص ثالث که PHI دریافت میکنند، اغلب تحت قراردادهای همکاری تجاری (BAA) فعالیت نمیکنند. این ممکن است به این دلیل باشد که برخی از این فناوریها به صورت رایگان در اختیار کاربران قرار میگیرند، و فروشندگان در بیشتر موارد هرگونه نیاز به جمعآوری PHI را رد میکنند و بر این اساس به کاربران دستور میدهند از ارسال PHI یا سایر اطلاعات قابل شناسایی شخصی خودداری کنند.[2] در نهایت، نهادهای تحت پوشش و شرکای تجاری نمیتوانند PHI را به اشخاص ثالث افشا کنند، مگر اینکه چنین افشایی برای یک شریک تجاری طبق یک BAA باشد یا افشای آن بر اساس مجوز یک فرد مطابق با HIPAA انجام شده باشد. در این عرصه، معمولاً برای سازمانها غیرعملی است که BAA را با فروشندگان یا مجوزهای مطابق با HIPAA از افراد را ایمن کنند.
2. تفسیر گسترده از آنچه که PHI را برای اه، ردیابی تشکیل می دهد
HIPAA زم، اعمال میشود که اطلاعاتی را که نهادهای تحت پوشش و شرکای تجاری از طریق فناوریهای ردیابی جمعآوری میکنند یا به فروشندگان فناوری ردیابی فاش میکنند شامل PHI میشود. بولتن به طور کلی PHI را به گونهای تعریف میکند که شامل تمام اطلاعات سلامت فردی قابل شناسایی (IIHI) است که در وبسایت یک نهاد تحت نظارت یا برنامه تلفن همراه جمعآوری میشود. اطلاعاتی مانند شماره پرونده پزشکی، آدرس IP، تاریخ ملاقات، یا موقعیت جغرافیایی، در صورتی که به سلامت یا وضعیت جسمی یا رو، گذشته، حال یا آینده فرد، ارائه مراقبتهای بهداشتی، یا پرداخت هزینه مراقبت مربوط باشد، تحت HIPAA در نظر گرفته میشوند. .
بهطور قطعی، OCR ادعا میکند که IIHI جمعآوریشده در یک وبسایت یا برنامه تلفن همراه «به طور کلی، PHI است، حتی اگر فرد رابطهای موجود با نهاد نداشته باشد»، زیرا «اطلاعات فرد را به نهاد تنظیمشده مرتبط میکند». طبق OCR، این ارتباط “نشان دهنده این است که فرد خدمات یا مزایای مراقبت های بهداشتی را از نهاد تحت پوشش دریافت کرده یا خواهد گرفت” صرف نظر از اینکه IIHI محدود به آدرس IP یا موقعیت جغرافیایی باشد.[3] به عبارت دیگر، اگر استنباط هایی در مورد سلامت یا درمان یک فرد ممکن است از اطلاعات ردیابی به دست آید – خواه این استنباط ها دقیق باشند یا نه – OCR اطلاعات ردیابی را PHI در نظر می گیرد. اگر آن شناسههای فردی با فروشندههای شخص ثالث به اشتراک گذاشته میشوند، نهادهای تحت نظارت HIPAA باید اطمینان حاصل کنند که PHI به اشتراک گذاشته نمیشود، مگر اینکه BAA من، وجود داشته باشد یا مجوزهای بیمار دریافت شده باشد.
3. تفاوت های مهم بین سایت های احراز هویت شده توسط کاربر و سایت های احراز هویت نشده
بولتن خطر قابل توجه وب سایت های تأیید شده توسط کاربر را برجسته می کند (ی،ی جایی که فرد به نمایه آنلاین خود مانند از طریق پورتال بیمار وارد می شود)، زیرا فناوری های ردیابی دسترسی به اطلاعات دقیق درمان، از جمله تشخیصی و تشخیصی را افزایش می دهد. اطلاعات صورتحساب، در آن سایت ها. اگرچه وبسایتهای احراز هویت نشده معمولاً چنین دسترسی به PHI افراد را فراهم نمیکنند، اما افشای PHI همچنان ممکن است رخ دهد. به ،وان مثال، فنآوریهای ردیابی میتوانند آدرس ایمیل و/یا آدرس IP یک فرد را هنگام بازدید از صفحه وب بیمارستان برای جستجوی قرار ملاقاتهای موجود با ارائهدهنده مراقبتهای بهداشتی جمعآوری کنند، و چنین اطلاعاتی در این زمینه PHI است. برنامه تلفن همراه یک مطب پزشکی که موقعیت شبکه، موقعیت جغرافیایی، شناسههای دستگاه یا شناسههای تبلیغاتی را جمعآوری میکند، PHI را جمعآوری میکند.
4. دریافت مجوز فردی برای ردیابی مشکل است
OCR تأکید می کند که اگر یک فروشنده فناوری ردیابی یک شریک تجاری نباشد و افشای آن در غیر این صورت توسط قانون حفظ حریم خصوصی مجاز نباشد، مجوزهای افراد مورد نیاز است. قبل از ممکن است PHI به فروشنده افشا شود. اگرچه بنرهای وب سایت می توانند راه آس، برای ،ب رضایت (با کلیک افراد برای پذیرش یا رد استفاده از کوکی ها در وب سایت) فراهم کنند، بولتن تاکید می کند که استفاده از چنین بنرهایی مجوز HIPAA معتبر نیست، احتمالاً به این دلیل که یک مجوز معتبر باید شامل برخی اظهارات خاص همراه با امضای فرد باشد. در عوض، نهادهای تحت نظارت باید صراحتاً درخواست و مجوز کتبی یک فرد را برای به اشتراک گذاشتن PHI خود با اشخاص ثالثی که شریک تجاری نیستند برای اه، ردیابی دریافت کنند. قابل پیشبینی است که ا،ر افراد منطقی اجازه استفاده از PHI خود را برای چنین مقاصدی نخواهند داد، که منجر به مجموعه دادههای غیرقطعی و نتایج تجزیهوتحلیل نادرست برای نهاد تحت نظارت میشود. نه تنها به اشتراک گذاری PHI بدون مجوز تحت این شرایط با HIPAA مغایرت دارد، بلکه امکان شکایت بیشتر به کمیسیون تجارت فدرال نیز وجود دارد که جمع آوری و استفاده از داده های ردیابی افراد، شیوه های تجاری ناعادلانه و فریبنده است.
5. ارائه دهندگان مراقبت های بهداشتی باید اطمینان حاصل کنند که لیسانس های آنها به طور نادرست از فناوری های ردیابی استفاده نمی کنند
بولتن اشاره می کند که ارائه دهندگان مراقبت های بهداشتی نیز باید موضوع فناوری های ردیابی را با همکاران تجاری خود مطرح کنند. برای مثال، اگر ارائهدهندهای از یک سرویس نسخهنویسی الکترونیکی استفاده میکند و آن سرویس فناوریهای ردیابی شخص ثالث را در وبسایتهایش فعال کرده باشد، افشای PHI مجاز نیست مگر اینکه سرویس وبسایتها را به گونهای پیکربندی کرده باشد که PHI را با PHI به اشتراک نگذارند. ردیابی فروشندگان
ملاحظات استراتژی
اگرچه ایمنترین استراتژی، خودداری از استفاده از فناوریهای ردیابی شخص ثالث است، اما بینشهای بهدستآمده از چنین ردیابی، مزایای تجاری ارزشمندی را ارائه میکنند. برای ادامه استفاده از فناوریهای ردیابی به گونهای که خطرات قانونی و قانونی را کاهش دهد، نهادهای تحت پوشش و شرکای تجاری باید با فناوری اطلاعات، انطباق و تیمهای حقوقی خود برای ارزیابی کامل دامنه و میزان رفتارهای ردیابی خود همکاری کنند. اقداماتی که ممکن است برای کاهش ریسک انجام شود عبارتند از:
-
فهرستی از تمام فعالیتهای ردیابی شخص ثالث موجود در وبسایتها و/یا برنامههای نهاد تحت نظارت، و همچنین فهرستی از اینکه آیا شرکای تجاری یک نهاد از فناوریهای ردیابی استفاده میکنند یا خیر، ایجاد کنید.
-
اطمینان حاصل کنید که شرکای تجاری به طور غیرمجاز PHI را از طریق استفاده خودشان از فناوریهای ردیابی به اشتراک نمیگذارند.
-
تعیین کنید که آیا فعالیتهای ردیابی منجر به افشای PHI به شخص ثالث میشود و در صورت امکان، فناوری ردیابی را به گونهای پیکربندی کنید که PHI فاش نشود.
-
برای تمام فعالیتهای ردیابی که PHI را برای شخص ثالث افشا میکند، مطمئن شوید که (1) نهاد یک BAA را با شخص ثالث اجرا میکند، یا (2) نهاد مجوزهای من، را از بیماران قبل از افشای PHI دریافت میکند.
-
توسعه فناوری ردیابی داخلی را در نظر بگیرید که داده ها را با اشخاص ثالث به اشتراک نمی گذارد.
-
حذف یا محدود ، قرار دادن فناوری های ردیابی در صفحات وب تأیید شده توسط کاربر.
-
به دنبال نقض احتمالی PHI از طریق فناوریهای ردیابی، ارزیابی ریسک انجام دهید و هرگونه اعلانهای نقض مورد نیاز را ارائه دهید.
با انجام این نوع تجزیه و تحلیل ریسک، نهادهای تحت پوشش و شرکای تجاری می توانند در عین اجتناب از عدم انطباق با HIPAA، گام هایی برای بهره مندی از فناوری های ردیابی بردارند.
پانویسها و منابع
[1] دفتر مطبوعاتی HHS، دفتر HHS برای مسائل حقوق مدنی بولتن در مورد ا،امات تحت HIPAA برای فناوری های ردیابی آنلاین برای محافظت از حریم خصوصی و امنیت اطلاعات بهداشتی | HHS.gov (1 دسامبر 2022).
[2] ببینید مثلا بهترین روش ها برای جلوگیری از ارسال اطلاعات شناسایی شخصی (PII) – راهنمای Analytics (google.com).
[3] OCR نمی تواند به مواردی رسیدگی کند که یک بازدیدکننده از یک وب سایت ممکن است هرگز با سازمان ارتباط برقرار نکند.
حق چاپ ©2022 Nelson Mullins Riley & Scarborough LLPبررسی حقوق ملی، جلد دوازدهم، شماره 362
منبع: https://www.natlawreview.com/article/key-strategies-hipaa-compliant-use-online-tracking-technologies