ماه گذشته، دفتر حقوق مدنی و، بهداشت و خدمات انس، (HHS) ایالات متحده (OCR) یک بولتن با راهنمایی در مورد استفاده از فناوری های ردیابی آنلاین توسط نهادهای تحت پوشش و شرکای تجاری تحت قانون قابلیت حمل و پاسخگویی بیمه سلامت (HIPAA). بولتن OCR به دنبال افزایش قابل توجهی در دعاوی مربوط به این فناوری ها در صنایع از جمله مراقبت های بهداشتی است. برای نهادهای مراقبت های بهداشتی، این اتهامات به اشتراک گذاری داده های بیمار به دست آمده از پورتال ها و وب سایت های بیماران مربوط می شود.
OCR بولتن
چند یادآوری
قبل از بررسی بولتن OCR، اجازه دهید چند قانون اساسی HIPAA را به خاطر بسپاریم:
-
به طور کلی، مقررات امنیت و حریم خصوصی HIPAA (“قو،ن HIPAA”) فقط برای “موسسات تحت پوشش” و “شرکت های تجاری” اعمال می شود (ما آنها را “موسسات تنظیم شده” می نامیم).
-
قو،ن HIPAA در مورد “اطلاعات بهداشتی محافظت شده” (PHI) اعمال می شود که به طور کلی شامل اطلاعات بهداشتی قابل شناسایی جداگانه است. ی،ی اطلاعات سلامتی که به سلامتی، مراقبت های بهداشتی یا پرداخت هزینه مراقبت، از جمله اطلاعات جمعیت شناختی، در گذشته، حال یا آینده فرد مربوط می شود. 45 CFR 160.103 را ببینید.
-
نهادهای تحت نظارت می توانند از PHI بدون مجوز کتبی یک فرد استفاده کنند یا آن را افشا کنند، تنها در صورتی که صراحتاً توسط قو،ن HIPAA مجاز یا مورد نیاز است. به 45 CFR 164.502 (a) مراجعه کنید.
تعریف فناوری های ردیابی و کاربرد آنها
همانطور که در بولتن OCR بحث شد، یک فناوری ردیابی آنلاین است
“یک اسکریپت یا کد در یک وب سایت یا برنامه تلفن همراه که برای جمع آوری اطلاعات در مورد کاربران هنگام تعامل با وب سایت یا برنامه تلفن همراه استفاده می شود“
نمونههایی از این فناوریهای ردیابی در وبسایتها شامل کوکیها، چراغهای وب یا پی،لهای ردیابی است. برنامههای تلفن همراه ممکن است از فناوریهای ردیابی مانند کدهای ردیابی درون برنامه و همچنین ضبط اطلاعات مربوط به دستگاه استفاده کنند. همانطور که در بولتن ذکر شده است،
“به ،وان مثال، برنامه های تلفن همراه ممکن است از یک شناسه منحصر به فرد از دستگاه تلفن همراه کاربر برنامه، مانند شناسه دستگاه یا شناسه تبلیغاتی استفاده کنند. این شناسههای منحصربهفرد، همراه با سایر اطلاعات جمعآوریشده توسط برنامه، به صاحب یا فروشنده برنامه تلفن همراه یا هر شخص ثالث دیگری که چنین اطلاعاتی را دریافت میکند، این امکان را میدهد تا نمایههای فردی درباره هر کاربر برنامه ایجاد کند.“
فنآوریهای ردیابی، چه در داخل یا توسط اشخاص ثالث توسعه یافته باشند، توسط صاحبان وبسایت یا برنامههای تلفن همراه به دلایل مختلفی از جمله برای درک بهتر تجربه کاربر در سایت یا برنامهشان استفاده میشوند. فناوریهای توسعهیافته توسط اشخاص ثالث ممکن است بتوانند کاربران را پس از دور شدن از سایت اصلی ردیابی و اطلاعات جمعآوری کنند. OCR Bulletin بر فناوری های ردیابی شخص ثالث تمرکز دارد.
چرا فناوریهای ردیابی HIPAA را تحریک میکنند؟
وقتی یک نهاد تحت نظارت از فناوریهای ردیابی توسعهیافته توسط فروشنده شخص ثالث در برنامه تلفن همراه یا وبسایت خود استفاده میکند، چنین استفادهای ممکن است منجر به جمعآوری و/یا افشای PHI به شخص ثالث شود.
در بولتن آمده است:
همه این IIHI جمعآوریشده در وبسایت یک نهاد تحت نظارت یا برنامه تلفن همراه معمولاً PHI هستند، حتی اگر فرد رابطه ای موجود با نهاد تنظیم شده نداشته باشد و حتی اگر IIHI، مانند آدرس IP یا موقعیت جغرافیایی، شامل اطلاعات درمان یا صورتحساب خاصی مانند تاریخها و انواع خدمات مراقبتهای بهداشتی نباشد.
(تاکید شده است.) بنابراین، طبق OCR، افراد با یا بدون رابطه بیمار موجود با نهاد تنظیمشده، میتوانند PHI را با آن نهاد (یا شخص ثالث) از طریق فناوریهای ردیابی وبسایت آن به اشتراک بگذارند. این اطلاعات ممکن است شامل شماره پرونده پزشکی فرد، آدرس منزل یا ایمیل، یا تاریخ ملاقات، و همچنین آدرس IP یا موقعیت جغرافیایی فرد، شناسه های دستگاه پزشکی و غیره باشد.
قابل ذکر است، همه این فناوریها اطلاعات قابل شناسایی را جمعآوری نمیکنند. بولتن تمایز بین تایید شده توسط کاربر و بدون احراز هویت صفحات وب. صفحات احراز هویت شده توسط کاربر نیاز به ورود کاربر قبل از دسترسی به صفحه نهاد تحت نظارت دارند. طبق بولتن، اطلاعات جمعآوریشده در یک صفحه وب تأیید شده توسط کاربر، PHI فرض میشود و مشمول HIPAA است.
بسیاری از نهادهای تحت نظارت، صفحات وب بدون احراز هویت را حفظ می کنند – آنهایی که برای دسترسی به ورود به سیستم نیاز ندارند. به طور معمول، اینها سایتهایی هستند که فقط اطلاعات عمومی را ارائه میدهند – مکانها، شرح خدمات، خطمشیها و رویهها و غیره، و عموماً به PHI دسترسی ندارند. برای صفحات وب احراز هویت نشده، تعیین دقیق تر است زیرا فناوری های ردیابی در چنین صفحات وب معمولاً به PHI دسترسی ندارند. با این حال، نهادهای تحت نظارت باید بدانند که ردیابی در چنین صفحاتی می تواند PHI را جذب کند. سایتهایی که علائم یا شرایط سلامت خاصی را نشان میدهند، یا به بازدیدکننده اجازه میدهند به دنبال پزشک بگردند یا قرار ملاقاتی را تعیین کنند، ممکن است به ،وان PHI واجد شرایط باشند، به ،وان مثال، آدرس ایمیل یا آدرس IP بازدیدکننده نیز ثبت میشود.
نکته مهم این است که بولتن توضیح میدهد که قو،ن HIPAA برای وبسایتها یا برنامههای تلفن همراه که توسط نهادهایی که نهادهای نظارتی نیستند، توسعه یا ارائه میشوند اعمال نمیشود. به ،وان مثال، یک ارائهدهنده برنامه تلفن همراه ممکن است به افراد یک م،ن آنلاین یا ویژگی ردیابی برای اطلاعات حساس سلامتی آنها ارائه دهد. اگر آن ارائهدهنده یک نهاد تنظیمشده نباشد، قو،ن HIPAA اعمال نمیشود، اگرچه سایر قو،ن فدرال و/یا ایالتی ممکن است، مانند قانون کمیسیون تجارت فدرال (FTC) یا قو،ن جامع حفظ حریم خصوصی ایالتی، مانند قانون حفظ حریم خصوصی مصرفکننده کالیفرنیا. قابل ذکر است، در سپتامبر 2021، FTC یک را صادر کرد بی،ه سیاست تأیید می کند که شرکت های تحت پوشش (به ،وان مثال، برنامه های بهداشتی خاص) که باروری، سلامت قلب، سطح گلوکز و سایر داده های بهداشتی را در اختیار دارند، باید در صورت نقض به مصرف کنندگان اطلاع دهند.
تعهدات HIPAA هنگام استفاده از فناوری های ردیابی
هنگامی که یک نهاد تحت نظارت از فناوریهای ردیابی در وبسایت(های) یا برنامه(های) تلفن همراه خود استفاده میکند، ممکن است تحت قو،ن HIPAA تعهداتی داشته باشد. در حالی که نمیتو،م همه این ا،امات را در اینجا پوشش دهیم، برخی از تعهدات کلیدی را خلاصه میکنیم:
-
بررسی کنید که آیا سایت یا برنامه به PHI دسترسی دارد یا خیر. همانطور که در بالا ذکر شد، تصور نکنید که چون سایت احراز هویت نشده است یا فقط آدرس های ایمیل را جمع آوری می کند، PHI را جمع آوری نمی کند.
-
اطمینان حاصل کنید که همه افشای PHI برای فروشندگان فناوری ردیابی به طور خاص توسط قانون حفظ حریم خصوصی مجاز است و مگر اینکه استثنایی اعمال شود، فقط حداقل PHI لازم برای دستیابی به هدف مورد نظر افشا شود.
-
به یاد داشته باشید که اگر افشای PHI مست،م مجوز تحت HIPAA باشد، سیاستهای حفظ حریم خصوصی وبسایت و بنرهای وبسایتی که از کاربران میخواهند به تنهایی استفاده از فعالیتهای ردیابی را بپذیرند یا رد کنند، بعید است مجوز معتبری را ایجاد کنند.
-
اگر یک فروشنده فناوری ردیابی در حال ایجاد، دریافت، نگهداری یا انتقال PHI از طرف یک نهاد تحت نظارت برای یک عملکرد تحت پوشش باشد، احتمالاً یک شریک تجاری در نظر گرفته می شود. در آن صورت، ممکن است نیاز باشد که یک قرارداد شریک تجاری بین نهاد تحت نظارت و فروشنده برقرار شود.
-
-
استفاده از فناوریهای ردیابی را در فرآیندهای تجزیه و تحلیل ریسک و مدیریت ریسک بررسی کنید و اقدامات حفاظتی را مطابق با مقررات امنیتی HIPAA اجرا کنید.
-
اگر افشای غیرمجاز PHI از طریق فناوری ردیابی رخ دهد، اعلانهای نقض را به افراد آسیبدیده و OCR ارائه دهید.
دعوی قضایی
در طول سال 2022، دادخواهی در مورد استفاده از فناوری های ردیابی وب سایت به طور قابل توجهی افزایش یافت. در یک گزارش، یک سیستم بهداشتی ادعاهای 18 میلیون دلاری را حل و فصل کرد، در حالی که در پرونده دیگری، شاکیان ادعا ،د که بیش از 650 وب سایت سیستم بیمارست، یا ارائه دهنده پزشکی از ابزار ردیابی Meta Pixel استفاده می کنند و داده هایی را از آن سایت ها ارسال کرده اند.
این روند فقط شامل نهادهای تحت نظارت HIPAA یا HIPAA نمی شود. بر اساس تحلیل قانون بلومبرگبین فوریه و اکتبر 2022، حداقل 47 دعوای دسته جمعی پیشنهادی مبنی بر انتقال «دادههای مصرف ویدیوی شخصی از پلتفرمهای آنلاین به فیسبوک بدون رضایت آنها» که نقض قانون فدرال حفاظت از حریم خصوصی ویدیویی است، تشکیل شد.
برای نهادهای تحت نظارت HIPAA، راحت نیست که HIPAA حق اقدام خصوصی برای افراد نداشته باشد. شاکیان از مسیرهای دیگری تحت قو،ن فدرال و ایالتی مشابه برای پیشبرد ادعاهای خود استفاده می کنند. این روند رو به رشد است، اما اقداماتی وجود دارد که نهادهای نظارتی می توانند برای رسیدگی به این خطرات انجام دهند.
گام های بعدی
نهادهای تحت پوشش و شرکای تجاری باید هر فناوری ردیابی مورد استفاده در وبسایتها، برنامههای کاربردی وب یا برنامههای تلفن همراه خود را ممیزی انجام دهند و تعیین کنند که آیا آنها به روشی مطابق با HIPPA استفاده میشوند یا خیر. چنین فناوری های ردیابی باید در یک فرآیند تجزیه و تحلیل ریسک و مدیریت ریسک HIPAA گنجانده شود.
نهادهای تحت پوشش باید قراردادهای فروشندگان فناوری ردیابی را بازبینی کنند و از برقراری توافقنامه همکار تجاری اطمینان حاصل کنند تا از افشای غیرمجاز احتمالی اطلاعات بهداشت خصوصی جلوگیری شود.
اگر از طریق ممیزی مشخص شود که فناوریهای ردیابی به روشی غیرمنطبق با HIPAA استفاده میشوند، ممکن است طبق HIPAA و قانون قابل اجرا ایالت، اطلاع رس، لازم باشد.
،ون لوئیس کامپیوتر © 2023بررسی حقوق ملی، جلد سیزدهم، شماره 2
منبع: https://www.natlawreview.com/article/hipaa-regulated-en،ies-website-or-app-tracking-technologies-pixels-can-create