چگونه ارائه دهندگان مراقبت های بهداشتی انطباق با فناوری ردیابی را تفسیر می کنند


چهارشنبه 28 دسامبر 2022

استفاده از فناوری‌های ردیابی آنلاین، که بینش‌های ارزشمندی را در مورد رفتارهای کاربران وب‌سایت و اپلیکیشن‌های موبایل ارائه می‌دهد، در ا،یستم آنلاین امروزی به یک امر عادی تبدیل شده است. شرکت‌ها از فناوری‌های ردیابی برای تعیین نحوه تعامل بازدیدکنندگان آنلاین با وب‌سایت‌ها یا برنامه‌های این شرکت‌ها، از جمله اینکه چه محتوا یا ویژگی‌هایی بازدیدکنندگان را جذب می‌کنند و چه صفحاتی را مرور می‌کنند، استفاده می‌کنند. بینش‌های به‌دست‌آمده از چنین ردیابی برای بهبود عملکرد وب‌سایت‌ها و برنامه‌ها و به‌روزرس، رابط‌های کاربری برای هماهنگی بهتر با نیازها و ترجیحات کاربر استفاده می‌شود.

صنعت مراقبت های بهداشتی از استفاده از این فناوری چشم پوشی نکرده است و اغلب از این ابزارها برای کمک به بهبود تجربه بیمار استفاده می کند. با این حال، بررسی های فزاینده توسط دفتر حقوق مدنی (OCR)، که قانون قابل حمل و پاسخگویی بیمه سلامت 1996 (HIPAA) را اجرا می کند، از نهادهای تحت پوشش و شرکای تجاری می خواهد که در استفاده از چنین فناوری هایی با احتیاط عمل کنند.

تنها در سال 2022، چندین سیستم بهداشتی بزرگ مجبور شدند به OCR و میلیون‌ها بیمار فاش کنند که استفاده از فناوری‌های ردیابی ممکن است منجر به افشای غیرمجاز اطلاعات بهداشتی محافظت‌شده (PHI) شده باشد. در میان تعداد فزاینده ای از این حوادث و دادخواست های دسته جمعی مرتبط، OCR در تاریخ 1 دسامبر 2022 بولتنی (“بولتن”) منتشر کرد و به نهادهای تحت پوشش و شرکای تجاری یادآوری کرد که آنها “مجاز نیستند از فناوری های ردیابی به روشی استفاده کنند که منجر شود. در افشای غیرمجاز PHI برای ردیابی فروشندگان فناوری یا هر گونه نقض دیگر قو،ن HIPAA.” [1] در بولتن، OCR روشن می کند که نهادهای تحت نظارت باید عمداً در نظر بگیرند و در صورت نیاز، اقدامات احتیاطی خاصی را در استفاده از چنین فناوری هایی انجام دهند.

1. تعریف فن آوری های ردیابی و زم، که آنها مجاز نیستند

در بولتن، OCR یک فناوری ردیابی را اینگونه تعریف می‌کند: «اسکریپت یا کدی در یک وب‌سایت یا برنامه تلفن همراه که برای جمع‌آوری اطلاعات در مورد کاربران هنگام تعامل با وب‌سایت یا برنامه تلفن همراه استفاده می‌شود». برای وب‌سایت‌ها، این فناوری‌ها می‌توانند به شکل کوکی‌ها، بیکن‌های وب یا پی،ل‌های ردیابی، اسکریپت‌های پخش مجدد جلسه و اسکریپت‌های اثرانگشت باشند. از سوی دیگر، برنامه های تلفن همراه اغلب کد ردیابی را در برنامه جاسازی می کنند تا امکان جمع آوری اطلاعات مستقیماً ارائه شده توسط کاربر و اطلاعات مربوط به دستگاه تلفن همراه کاربر را فراهم کنند.

OCR همه استفاده از فناوری‌های ردیابی توسط نهادهای تحت پوشش و شرکای تجاری را محدود نمی‌کند، مشروط بر اینکه جمع‌آوری و پردازش PHI برای اه، مجاز در پیشبرد عملیات مراقبت‌های بهداشتی سازمان تحت HIPAA باشد. درعوض، راهنما به موقعیت‌هایی می‌پردازد که فناوری اطلاعات را مستقیماً به فروشنده‌های فناوری ردیابی شخص ثالث ارسال می‌کند که بر اساس اطلاعات جمع‌آوری‌شده از ردیابی، بینش‌هایی ارائه می‌دهند. برای مثال، گوگل و متا (فیسبوک سابق) هر کدام از ردیابی «پی،ل‌ها» یا کدهای تعبیه‌شده در یک وب‌سایت برای به دست آوردن این بینش‌ها استفاده می‌کنند.

دعواها و مقالات خبری اخیر در مورد استفاده از این فناوری‌ها نشان می‌دهد که فروشندگان ردیابی فناوری شخص ثالث که PHI دریافت می‌کنند، اغلب تحت قراردادهای همکاری تجاری (BAA) فعالیت نمی‌کنند. این ممکن است به این دلیل باشد که برخی از این فناوری‌ها به صورت رایگان در اختیار کاربران قرار می‌گیرند، و فروشندگان در بیشتر موارد هرگونه نیاز به جمع‌آوری PHI را رد می‌کنند و بر این اساس به کاربران دستور می‌دهند از ارسال PHI یا سایر اطلاعات قابل شناسایی شخصی خودداری کنند.[2] در نهایت، نهادهای تحت پوشش و شرکای تجاری نمی‌توانند PHI را به اشخاص ثالث افشا کنند، مگر اینکه چنین افشایی برای یک شریک تجاری طبق یک BAA باشد یا افشای آن بر اساس مجوز یک فرد مطابق با HIPAA انجام شده باشد. در این عرصه، معمولاً برای سازمان‌ها غیرعملی است که BAA را با فروشندگان یا مجوزهای مطابق با HIPAA از افراد را ایمن کنند.

2. تفسیر گسترده از آنچه که PHI را برای اه، ردیابی تشکیل می دهد

HIPAA زم، اعمال می‌شود که اطلاعاتی را که نهادهای تحت پوشش و شرکای تجاری از طریق فناوری‌های ردیابی جمع‌آوری می‌کنند یا به فروشندگان فناوری ردیابی فاش می‌کنند شامل PHI می‌شود. بولتن به طور کلی PHI را به گونه‌ای تعریف می‌کند که شامل تمام اطلاعات سلامت فردی قابل شناسایی (IIHI) است که در وب‌سایت یک نهاد تحت نظارت یا برنامه تلفن همراه جمع‌آوری می‌شود. اطلاعاتی مانند شماره پرونده پزشکی، آدرس IP، تاریخ ملاقات، یا موقعیت جغرافیایی، در صورتی که به سلامت یا وضعیت جسمی یا رو، گذشته، حال یا آینده فرد، ارائه مراقبت‌های بهداشتی، یا پرداخت هزینه مراقبت مربوط باشد، تحت HIPAA در نظر گرفته می‌شوند. .

به‌طور قطعی، OCR ادعا می‌کند که IIHI جمع‌آوری‌شده در یک وب‌سایت یا برنامه تلفن همراه «به طور کلی، PHI است، حتی اگر فرد رابطه‌ای موجود با نهاد نداشته باشد»، زیرا «اطلاعات فرد را به نهاد تنظیم‌شده مرتبط می‌کند». طبق OCR، این ارتباط “نشان دهنده این است که فرد خدمات یا مزایای مراقبت های بهداشتی را از نهاد تحت پوشش دریافت کرده یا خواهد گرفت” صرف نظر از اینکه IIHI محدود به آدرس IP یا موقعیت جغرافیایی باشد.[3] به عبارت دیگر، اگر استنباط هایی در مورد سلامت یا درمان یک فرد ممکن است از اطلاعات ردیابی به دست آید – خواه این استنباط ها دقیق باشند یا نه – OCR اطلاعات ردیابی را PHI در نظر می گیرد. اگر آن شناسه‌های فردی با فروشنده‌های شخص ثالث به اشتراک گذاشته می‌شوند، نهادهای تحت نظارت HIPAA باید اطمینان حاصل کنند که PHI به اشتراک گذاشته نمی‌شود، مگر اینکه BAA من، وجود داشته باشد یا مجوزهای بیمار دریافت شده باشد.

3. تفاوت های مهم بین سایت های احراز هویت شده توسط کاربر و سایت های احراز هویت نشده

بولتن خطر قابل توجه وب سایت های تأیید شده توسط کاربر را برجسته می کند (ی،ی جایی که فرد به نمایه آنلاین خود مانند از طریق پورتال بیمار وارد می شود)، زیرا فناوری های ردیابی دسترسی به اطلاعات دقیق درمان، از جمله تشخیصی و تشخیصی را افزایش می دهد. اطلاعات صورتحساب، در آن سایت ها. اگرچه وب‌سایت‌های احراز هویت نشده معمولاً چنین دسترسی به PHI افراد را فراهم نمی‌کنند، اما افشای PHI همچنان ممکن است رخ دهد. به ،وان مثال، فن‌آوری‌های ردیابی می‌توانند آدرس ایمیل و/یا آدرس IP یک فرد را هنگام بازدید از صفحه وب بیمارستان برای جستجوی قرار ملاقات‌های موجود با ارائه‌دهنده مراقبت‌های بهداشتی جمع‌آوری کنند، و چنین اطلاعاتی در این زمینه PHI است. برنامه تلفن همراه یک مطب پزشکی که موقعیت شبکه، موقعیت جغرافیایی، شناسه‌های دستگاه یا شناسه‌های تبلیغاتی را جمع‌آوری می‌کند، PHI را جمع‌آوری می‌کند.

4. دریافت مجوز فردی برای ردیابی مشکل است

OCR تأکید می کند که اگر یک فروشنده فناوری ردیابی یک شریک تجاری نباشد و افشای آن در غیر این صورت توسط قانون حفظ حریم خصوصی مجاز نباشد، مجوزهای افراد مورد نیاز است. قبل از ممکن است PHI به فروشنده افشا شود. اگرچه بنرهای وب سایت می توانند راه آس، برای ،ب رضایت (با کلیک افراد برای پذیرش یا رد استفاده از کوکی ها در وب سایت) فراهم کنند، بولتن تاکید می کند که استفاده از چنین بنرهایی مجوز HIPAA معتبر نیست، احتمالاً به این دلیل که یک مجوز معتبر باید شامل برخی اظهارات خاص همراه با امضای فرد باشد. در عوض، نهادهای تحت نظارت باید صراحتاً درخواست و مجوز کتبی یک فرد را برای به اشتراک گذاشتن PHI خود با اشخاص ثالثی که شریک تجاری نیستند برای اه، ردیابی دریافت کنند. قابل پیش‌بینی است که ا،ر افراد منطقی اجازه استفاده از PHI خود را برای چنین مقاصدی نخواهند داد، که منجر به مجموعه داده‌های غیرقطعی و نتایج تجزیه‌وتحلیل نادرست برای نهاد تحت نظارت می‌شود. نه تنها به اشتراک گذاری PHI بدون مجوز تحت این شرایط با HIPAA مغایرت دارد، بلکه امکان شکایت بیشتر به کمیسیون تجارت فدرال نیز وجود دارد که جمع آوری و استفاده از داده های ردیابی افراد، شیوه های تجاری ناعادلانه و فریبنده است.

5. ارائه دهندگان مراقبت های بهداشتی باید اطمینان حاصل کنند که لیسانس های آنها به طور نادرست از فناوری های ردیابی استفاده نمی کنند

بولتن اشاره می کند که ارائه دهندگان مراقبت های بهداشتی نیز باید موضوع فناوری های ردیابی را با همکاران تجاری خود مطرح کنند. برای مثال، اگر ارائه‌دهنده‌ای از یک سرویس نسخه‌نویسی الکترونیکی استفاده می‌کند و آن سرویس فناوری‌های ردیابی شخص ثالث را در وب‌سایت‌هایش فعال کرده باشد، افشای PHI مجاز نیست مگر اینکه سرویس وب‌سایت‌ها را به گونه‌ای پیکربندی کرده باشد که PHI را با PHI به اشتراک نگذارند. ردیابی فروشندگان

ملاحظات استراتژی

اگرچه ایمن‌ترین استراتژی، خودداری از استفاده از فناوری‌های ردیابی شخص ثالث است، اما بینش‌های به‌دست‌آمده از چنین ردیابی، مزایای تجاری ارزشمندی را ارائه می‌کنند. برای ادامه استفاده از فناوری‌های ردیابی به گونه‌ای که خطرات قانونی و قانونی را کاهش دهد، نهادهای تحت پوشش و شرکای تجاری باید با فناوری اطلاعات، انطباق و تیم‌های حقوقی خود برای ارزیابی کامل دامنه و میزان رفتارهای ردیابی خود همکاری کنند. اقداماتی که ممکن است برای کاهش ریسک انجام شود عبارتند از:

  • فهرستی از تمام فعالیت‌های ردیابی شخص ثالث موجود در وب‌سایت‌ها و/یا برنامه‌های نهاد تحت نظارت، و همچنین فهرستی از اینکه آیا شرکای تجاری یک نهاد از فناوری‌های ردیابی استفاده می‌کنند یا خیر، ایجاد کنید.

  • اطمینان حاصل کنید که شرکای تجاری به طور غیرمجاز PHI را از طریق استفاده خودشان از فناوری‌های ردیابی به اشتراک نمی‌گذارند.

  • تعیین کنید که آیا فعالیت‌های ردیابی منجر به افشای PHI به شخص ثالث می‌شود و در صورت امکان، فناوری ردیابی را به گونه‌ای پیکربندی کنید که PHI فاش نشود.

  • برای تمام فعالیت‌های ردیابی که PHI را برای شخص ثالث افشا می‌کند، مطمئن شوید که (1) نهاد یک BAA را با شخص ثالث اجرا می‌کند، یا (2) نهاد مجوزهای من، را از بیماران قبل از افشای PHI دریافت می‌کند.

  • توسعه فناوری ردیابی داخلی را در نظر بگیرید که داده ها را با اشخاص ثالث به اشتراک نمی گذارد.

  • حذف یا محدود ، قرار دادن فناوری های ردیابی در صفحات وب تأیید شده توسط کاربر.

  • به دنبال نقض احتمالی PHI از طریق فناوری‌های ردیابی، ارزیابی ریسک انجام دهید و هرگونه اعلان‌های نقض مورد نیاز را ارائه دهید.

با انجام این نوع تجزیه و تحلیل ریسک، نهادهای تحت پوشش و شرکای تجاری می توانند در عین اجتناب از عدم انطباق با HIPAA، گام هایی برای بهره مندی از فناوری های ردیابی بردارند.

پانویسها و منابع

[1] دفتر مطبوعاتی HHS، دفتر HHS برای مسائل حقوق مدنی بولتن در مورد ا،امات تحت HIPAA برای فناوری های ردیابی آنلاین برای محافظت از حریم خصوصی و امنیت اطلاعات بهداشتی | HHS.gov (1 دسامبر 2022).

[2] ببینید مثلا بهترین روش ها برای جلوگیری از ارسال اطلاعات شناسایی شخصی (PII) – راهنمای Analytics (google.com).

[3] OCR نمی تواند به مواردی رسیدگی کند که یک بازدیدکننده از یک وب سایت ممکن است هرگز با سازمان ارتباط برقرار نکند.

حق چاپ ©2022 Nelson Mullins Riley & Scarborough LLPبررسی حقوق ملی، جلد دوازدهم، شماره 362


منبع: https://www.natlawreview.com/article/key-strategies-hipaa-compliant-use-online-tracking-technologies