کوکی‌های وب‌سایت و سایر ردیاب‌ها می‌توانند انطباق با HIPAA را به خطر بیندازند


ماه گذشته، دفتر حقوق مدنی و، بهداشت و خدمات انس، (HHS) ایالات متحده (OCR) یک بولتن با راهنمایی در مورد استفاده از فناوری های ردیابی آنلاین توسط نهادهای تحت پوشش و شرکای تجاری تحت قانون قابلیت حمل و پاسخگویی بیمه سلامت (HIPAA). بولتن OCR به دنبال افزایش قابل توجهی در دعاوی مربوط به این فناوری ها در صنایع از جمله مراقبت های بهداشتی است. برای نهادهای مراقبت های بهداشتی، این اتهامات به اشتراک گذاری داده های بیمار به دست آمده از پورتال ها و وب سایت های بیماران مربوط می شود.

OCR بولتن

چند یادآوری

قبل از بررسی بولتن OCR، اجازه دهید چند قانون اساسی HIPAA را به خاطر بسپاریم:

  • به طور کلی، مقررات امنیت و حریم خصوصی HIPAA (“قو،ن HIPAA”) فقط برای “موسسات تحت پوشش” و “شرکت های تجاری” اعمال می شود (ما آنها را “موسسات تنظیم شده” می نامیم).

  • قو،ن HIPAA در مورد “اطلاعات بهداشتی محافظت شده” (PHI) اعمال می شود که به طور کلی شامل اطلاعات بهداشتی قابل شناسایی جداگانه است. ی،ی اطلاعات سلامتی که به سلامتی، مراقبت های بهداشتی یا پرداخت هزینه مراقبت، از جمله اطلاعات جمعیت شناختی، در گذشته، حال یا آینده فرد مربوط می شود. 45 CFR 160.103 را ببینید.

  • نهادهای تحت نظارت می توانند از PHI بدون مجوز کتبی یک فرد استفاده کنند یا آن را افشا کنند، تنها در صورتی که صراحتاً توسط قو،ن HIPAA مجاز یا مورد نیاز است. به 45 CFR 164.502 (a) مراجعه کنید.

تعریف فناوری های ردیابی و کاربرد آنها

همانطور که در بولتن OCR بحث شد، یک فناوری ردیابی آنلاین است

یک اسکریپت یا کد در یک وب سایت یا برنامه تلفن همراه که برای جمع آوری اطلاعات در مورد کاربران هنگام تعامل با وب سایت یا برنامه تلفن همراه استفاده می شود

نمونه‌هایی از این فناوری‌های ردیابی در وب‌سایت‌ها شامل کوکی‌ها، چراغ‌های وب یا پی،ل‌های ردیابی است. برنامه‌های تلفن همراه ممکن است از فناوری‌های ردیابی مانند کدهای ردیابی درون برنامه و همچنین ضبط اطلاعات مربوط به دستگاه استفاده کنند. همانطور که در بولتن ذکر شده است،

به ،وان مثال، برنامه های تلفن همراه ممکن است از یک شناسه منحصر به فرد از دستگاه تلفن همراه کاربر برنامه، مانند شناسه دستگاه یا شناسه تبلیغاتی استفاده کنند. این شناسه‌های منحصربه‌فرد، همراه با سایر اطلاعات جمع‌آوری‌شده توسط برنامه، به صاحب یا فروشنده برنامه تلفن همراه یا هر شخص ثالث دیگری که چنین اطلاعاتی را دریافت می‌کند، این امکان را می‌دهد تا نمایه‌های فردی درباره هر کاربر برنامه ایجاد کند.

فن‌آوری‌های ردیابی، چه در داخل یا توسط اشخاص ثالث توسعه یافته باشند، توسط صاحبان وب‌سایت یا برنامه‌های تلفن همراه به دلایل مختلفی از جمله برای درک بهتر تجربه کاربر در سایت یا برنامه‌شان استفاده می‌شوند. فناوری‌های توسعه‌یافته توسط اشخاص ثالث ممکن است بتوانند کاربران را پس از دور شدن از سایت اصلی ردیابی و اطلاعات جمع‌آوری کنند. OCR Bulletin بر فناوری های ردیابی شخص ثالث تمرکز دارد.

چرا فناوری‌های ردیابی HIPAA را تحریک می‌کنند؟

وقتی یک نهاد تحت نظارت از فناوری‌های ردیابی توسعه‌یافته توسط فروشنده شخص ثالث در برنامه تلفن همراه یا وب‌سایت خود استفاده می‌کند، چنین استفاده‌ای ممکن است منجر به جمع‌آوری و/یا افشای PHI به شخص ثالث شود.

در بولتن آمده است:

همه این IIHI جمع‌آوری‌شده در وب‌سایت یک نهاد تحت نظارت یا برنامه تلفن همراه معمولاً PHI هستند، حتی اگر فرد رابطه ای موجود با نهاد تنظیم شده نداشته باشد و حتی اگر IIHI، مانند آدرس IP یا موقعیت جغرافیایی، شامل اطلاعات درمان یا صورت‌حساب خاصی مانند تاریخ‌ها و انواع خدمات مراقبت‌های بهداشتی نباشد.

(تاکید شده است.) بنابراین، طبق OCR، افراد با یا بدون رابطه بیمار موجود با نهاد تنظیم‌شده، می‌توانند PHI را با آن نهاد (یا شخص ثالث) از طریق فناوری‌های ردیابی وب‌سایت آن به اشتراک بگذارند. این اطلاعات ممکن است شامل شماره پرونده پزشکی فرد، آدرس منزل یا ایمیل، یا تاریخ ملاقات، و همچنین آدرس IP یا موقعیت جغرافیایی فرد، شناسه های دستگاه پزشکی و غیره باشد.

قابل ذکر است، همه این فناوری‌ها اطلاعات قابل شناسایی را جمع‌آوری نمی‌کنند. بولتن تمایز بین تایید شده توسط کاربر و بدون احراز هویت صفحات وب. صفحات احراز هویت شده توسط کاربر نیاز به ورود کاربر قبل از دسترسی به صفحه نهاد تحت نظارت دارند. طبق بولتن، اطلاعات جمع‌آوری‌شده در یک صفحه وب تأیید شده توسط کاربر، PHI فرض می‌شود و مشمول HIPAA است.

بسیاری از نهادهای تحت نظارت، صفحات وب بدون احراز هویت را حفظ می کنند – آنهایی که برای دسترسی به ورود به سیستم نیاز ندارند. به طور معمول، اینها سایت‌هایی هستند که فقط اطلاعات عمومی را ارائه می‌دهند – مکان‌ها، شرح خدمات، خط‌مشی‌ها و رویه‌ها و غیره، و عموماً به PHI دسترسی ندارند. برای صفحات وب احراز هویت نشده، تعیین دقیق تر است زیرا فناوری های ردیابی در چنین صفحات وب معمولاً به PHI دسترسی ندارند. با این حال، نهادهای تحت نظارت باید بدانند که ردیابی در چنین صفحاتی می تواند PHI را جذب کند. سایت‌هایی که علائم یا شرایط سلامت خاصی را نشان می‌دهند، یا به بازدیدکننده اجازه می‌دهند به دنبال پزشک بگردند یا قرار ملاقاتی را تعیین کنند، ممکن است به ،وان PHI واجد شرایط باشند، به ،وان مثال، آدرس ایمیل یا آدرس IP بازدیدکننده نیز ثبت می‌شود.

نکته مهم این است که بولتن توضیح می‌دهد که قو،ن HIPAA برای وب‌سایت‌ها یا برنامه‌های تلفن همراه که توسط نهادهایی که نهادهای نظارتی نیستند، توسعه یا ارائه می‌شوند اعمال نمی‌شود. به ،وان مثال، یک ارائه‌دهنده برنامه تلفن همراه ممکن است به افراد یک م،ن آنلاین یا ویژگی ردیابی برای اطلاعات حساس سلامتی آنها ارائه دهد. اگر آن ارائه‌دهنده یک نهاد تنظیم‌شده نباشد، قو،ن HIPAA اعمال نمی‌شود، اگرچه سایر قو،ن فدرال و/یا ایالتی ممکن است، مانند قانون کمیسیون تجارت فدرال (FTC) یا قو،ن جامع حفظ حریم خصوصی ایالتی، مانند قانون حفظ حریم خصوصی مصرف‌کننده کالیفرنیا. قابل ذکر است، در سپتامبر 2021، FTC یک را صادر کرد بی،ه سیاست تأیید می کند که شرکت های تحت پوشش (به ،وان مثال، برنامه های بهداشتی خاص) که باروری، سلامت قلب، سطح گلوکز و سایر داده های بهداشتی را در اختیار دارند، باید در صورت نقض به مصرف کنندگان اطلاع دهند.

تعهدات HIPAA هنگام استفاده از فناوری های ردیابی

هنگامی که یک نهاد تحت نظارت از فناوری‌های ردیابی در وب‌سایت(های) یا برنامه(های) تلفن همراه خود استفاده می‌کند، ممکن است تحت قو،ن HIPAA تعهداتی داشته باشد. در حالی که نمی‌تو،م همه این ا،امات را در اینجا پوشش دهیم، برخی از تعهدات کلیدی را خلاصه می‌کنیم:

  • بررسی کنید که آیا سایت یا برنامه به PHI دسترسی دارد یا خیر. همانطور که در بالا ذکر شد، تصور نکنید که چون سایت احراز هویت نشده است یا فقط آدرس های ایمیل را جمع آوری می کند، PHI را جمع آوری نمی کند.

  • اطمینان حاصل کنید که همه افشای PHI برای فروشندگان فناوری ردیابی به طور خاص توسط قانون حفظ حریم خصوصی مجاز است و مگر اینکه استثنایی اعمال شود، فقط حداقل PHI لازم برای دستیابی به هدف مورد نظر افشا شود.

    • به یاد داشته باشید که اگر افشای PHI مست،م مجوز تحت HIPAA باشد، سیاست‌های حفظ حریم خصوصی وب‌سایت و بنرهای وب‌سایتی که از کاربران می‌خواهند به تنهایی استفاده از فعالیت‌های ردیابی را بپذیرند یا رد کنند، بعید است مجوز معتبری را ایجاد کنند.

    • اگر یک فروشنده فناوری ردیابی در حال ایجاد، دریافت، نگهداری یا انتقال PHI از طرف یک نهاد تحت نظارت برای یک عملکرد تحت پوشش باشد، احتمالاً یک شریک تجاری در نظر گرفته می شود. در آن صورت، ممکن است نیاز باشد که یک قرارداد شریک تجاری بین نهاد تحت نظارت و فروشنده برقرار شود.

  • استفاده از فناوری‌های ردیابی را در فرآیندهای تجزیه و تحلیل ریسک و مدیریت ریسک بررسی کنید و اقدامات حفاظتی را مطابق با مقررات امنیتی HIPAA اجرا کنید.

  • اگر افشای غیرمجاز PHI از طریق فناوری ردیابی رخ دهد، اعلان‌های نقض را به افراد آسیب‌دیده و OCR ارائه دهید.

دعوی قضایی

در طول سال 2022، دادخواهی در مورد استفاده از فناوری های ردیابی وب سایت به طور قابل توجهی افزایش یافت. در یک گزارش، یک سیستم بهداشتی ادعاهای 18 میلیون دلاری را حل و فصل کرد، در حالی که در پرونده دیگری، شاکیان ادعا ،د که بیش از 650 وب سایت سیستم بیمارست، یا ارائه دهنده پزشکی از ابزار ردیابی Meta Pixel استفاده می کنند و داده هایی را از آن سایت ها ارسال کرده اند.

این روند فقط شامل نهادهای تحت نظارت HIPAA یا HIPAA نمی شود. بر اساس تحلیل قانون بلومبرگبین فوریه و اکتبر 2022، حداقل 47 دعوای دسته جمعی پیشنهادی مبنی بر انتقال «داده‌های مصرف ویدیوی شخصی از پلت‌فرم‌های آنلاین به فیس‌بوک بدون رضایت آن‌ها» که نقض قانون فدرال حفاظت از حریم خصوصی ویدیویی است، تشکیل شد.

برای نهادهای تحت نظارت HIPAA، راحت نیست که HIPAA حق اقدام خصوصی برای افراد نداشته باشد. شاکیان از مسیرهای دیگری تحت قو،ن فدرال و ایالتی مشابه برای پیشبرد ادعاهای خود استفاده می کنند. این روند رو به رشد است، اما اقداماتی وجود دارد که نهادهای نظارتی می توانند برای رسیدگی به این خطرات انجام دهند.

گام های بعدی

نهادهای تحت پوشش و شرکای تجاری باید هر فناوری ردیابی مورد استفاده در وب‌سایت‌ها، برنامه‌های کاربردی وب یا برنامه‌های تلفن همراه خود را ممیزی انجام دهند و تعیین کنند که آیا آنها به روشی مطابق با HIPPA استفاده می‌شوند یا خیر. چنین فناوری های ردیابی باید در یک فرآیند تجزیه و تحلیل ریسک و مدیریت ریسک HIPAA گنجانده شود.

نهادهای تحت پوشش باید قراردادهای فروشندگان فناوری ردیابی را بازبینی کنند و از برقراری توافقنامه همکار تجاری اطمینان حاصل کنند تا از افشای غیرمجاز احتمالی اطلاعات بهداشت خصوصی جلوگیری شود.

اگر از طریق ممیزی مشخص شود که فناوری‌های ردیابی به روشی غیرمنطبق با HIPAA استفاده می‌شوند، ممکن است طبق HIPAA و قانون قابل اجرا ایالت، اطلاع رس، لازم باشد.

،ون لوئیس کامپیوتر © 2023بررسی حقوق ملی، جلد سیزدهم، شماره 2


منبع: https://www.natlawreview.com/article/hipaa-regulated-en،ies-website-or-app-tracking-technologies-pixels-can-create