پنجشنبه 29 دسامبر 2022
غذای آماده کلیدی: سازمانها باید تجزیه و تحلیل مبتنی بر واقعیت را انجام دهند تا تعیین کنند که آیا فناوری جمعآوری و ردیابی دادههای سلامتی که در وبسایتها و برنامههای تلفن همراه آنها مستقر شده است با قانون حملونقل و مسئولیتپذیری بیمه سلامت فدرال («HIPAA») و سایر قو،ن و دستورالعملهای قابل اجرا مطابقت دارد یا خیر.
کوکیها، چراغهای وب و فناوریهای مشابه برای جمعآوری و تجزیه و تحلیل دادهها درباره نحوه تعامل کاربران، مرورگرها و دستگاهها با وبسایتها و برنامههای تلفن همراه در سراسر اینترنت («فناوری ردیابی») استفاده میشوند. فناوری ردیابی موضوع اقدامات نظارتی متعددی است، از جمله توسط تنظیمکنندهها در اتحادیه اروپا و کالیفرنیا، و از طریق دعاوی خصوصی (همچنین در اتحادیه اروپا و ایالات متحده.). این اقدامات و شکایات معمولاً بر عدم شفافیت در مورد نحوه جمعآوری دادههای فناوری ردیابی در مورد افراد در حین عبور از اینترنت و عدم انتخاب فردی در مورد نحوه اشتراکگذاری آن دادهها با اشخاص ثالث و استفاده برای ساختن نمایههایی برای تبلیغات هدفمند متمرکز است. در 1 دسامبر 2022، تنظیمکننده دیگری به مبارزه پیوست: دفتر حقوق مدنی و، بهداشت و خدمات انس، ایالات متحده (“OCR”). OCR، مرجع اصلی اجرای قانون فدرال استطاعت و حسابدهی بیمه سلامت (“HIPAA”)، یک بولتن به نهادهای تحت نظارت HIPAA هشدار می دهد که استفاده از فناوری ردیابی ممکن است منجر به افشا و استفاده از اطلاعات بهداشتی محافظت شده (“PHI”) شود که HIPAA را نقض می کند.[1]
بسیاری از مصرف کنندگان ایالات متحده به اشتباه معتقدند که تمام اطلاعات بهداشتی آنها – از جمله اطلاعات بهداشتی جمع آوری شده توسط فناوری ردیابی آنلاین – توسط HIPAA محافظت می شود. با این حال، ا،امات HIPAA فقط برای “موسسات تحت پوشش” (به ،وان مثال، برنامه های بهداشتی، ا،ر ارائه دهندگان مراقبت های بهداشتی و دفاتر خدمات بهداشتی و درم،) و “همکاران تجاری(به ،وان مثال، ارائه دهندگان خدمات و سایر اشخاص ثالث که از نهادهای تحت پوشش حمایت می کنند) که اطلاعات بهداشتی قابل شناسایی فردی (“IIHI”) را دریافت یا ایجاد می کنند و در موارد خاصی مشارکت دارند. معاملات تحت پوشش (مثلاً ارجاعات و مجوزها، هماهنگی مزایا و غیره). IIHI در دست نهادهای تحت پوشش و شرکای تجاری به PHI تبدیل می شود، اما همان اطلاعات زم، که در دست هر سازمان دیگری باشد یا برای اه،ی که به درمان، یا پرداخت یا عملیات مربوط به سلامتی مربوط نمی شود، PHI نیست. بولتن OCR به پر ، این شکاف کمک می کند، اما با انجام این کار، چالش های عملیاتی جدیدی را برای نهادهای تحت نظارت HIPAA اضافه می کند.
بولتن بیان میکند که IIHI جمعآوریشده توسط Tracking Technology که روی یک وبسایت یا برنامه تلفن همراه اجرا میشود که توسط یک نهاد تحت پوشش یا شریک تجاری اداره میشود، «به طور کلی PHI است، حتی اگر فرد رابطهای با نهاد تنظیمشده نداشته باشد و حتی اگر IIHI، مانند آدرس IP یا موقعیت جغرافیایی، شامل اطلاعات درمان یا صورتحساب خاصی مانند تاریخ ها و انواع خدمات مراقبت های بهداشتی نمی شود. بولتن بیان می کند که این IIHI PHI است زیرا “فرد را به نهاد تحت نظارت متصل می کند” و “نشان دهنده این است که فرد خدمات مراقبت بهداشتی یا مزایایی را از نهاد تحت پوشش دریافت کرده یا خواهد گرفت”.
سپس بولتن سه مورد استفاده از فناوری ردیابی را ارائه می کند که موقعیت آن را نشان می دهد: (1) استفاده در صفحات وب تایید شده توسط کاربربه ،وان مثال، «صفحات وب که کاربران فقط می توانند به آنها دسترسی داشته باشند بعد از آنها وارد صفحه وب می شوند، مثلاً با وارد ، یک شناسه کاربری و رمز عبور منحصر به فرد یا سایر اطلاعات اعتباری». (2) استفاده در صفحات وب تایید نشده، که عبارتند از “صفحات وب که بدون نیاز به ورود کاربر به این صفحه وب، برای عموم قابل دسترسی هستند”؛ و (3) استفاده با برنامه های موبایل «از طرف نهادهای تحت نظارت به افراد پیشنهاد میشود تا به افراد اجازه دهند، برای مثال، ارائهدهندگان را بیابند، به اطلاعات بهداشتی یا مراقبتهای بهداشتی خود دسترسی یا مدیریت کنند، یا قبضها را پرداخت کنند». (به ترتیب به پاورقی های بولتن 11، 12 و 13 مراجعه کنید.)
دومین مورد استفاده بولتن (تکنولوژی ردیابی که در صفحات وب احراز هویت نشده استفاده می شود) دشوارترین چالش عملیاتی را ارائه می دهد. بسیاری از این نهادهای تحت نظارت HIPAA در طول تاریخ بر این اساس کار کردهاند که اطلاعات جمعآوریشده از بازدیدکنندگان ناشناس وبسایتهایشان PHI نیست، زیرا نهاد تحت نظارت ،وماً نمیتواند آن را به فرد شناسایی شده یا قابل شناسایی یا حتی اگر فرد قابل شناسایی باشد، به سلامت ارائه مرتبط کند. خدمات مراقبتی به آن فرد
با این حال، طبق دومین مورد استفاده بولتن، دادههای جمعآوریشده در طول جستجوی فهرست ارائهدهنده در یک صفحه وب عمومی – مانند «آدرس ایمیل و/یا آدرس IP یک فرد زم، که فرد از صفحه وب یک نهاد تحت نظارت بازدید میکند تا قرار ملاقاتهای موجود را جستجو کند. ارائهدهنده مراقبتهای بهداشتی» – افشای PHI هنگامی که از فناوری ردیابی شخص ثالث در وبسایت استفاده میشود. از آنجا که افشای PHI به فروشنده فناوری ردیابی خارج از محدوده عملیات درمان، پرداخت یا مراقبت های بهداشتی است، مجوز معتبر HIPAA مورد نیاز است.[2] با این حال، دریافت مجوز HIPAA قبل از اجازه دسترسی به یک صفحه وب تایید نشده، اغلب غیرعملی است. به ،وان مثال، یک فرد احتمالاً جستجوی نام ارائه دهنده خود را به ،وان ارائه مراقبت های بهداشتی نمی بیند و بر این اساس ممکن است تا زمان انتخاب ارائه دهنده و برنامه ریزی قرار ملاقات، از اعطای مجوز HIPAA خودداری کند.
با توجه به نگر، های دیگر در مورد حفاظت از اطلاعات بهداشتی که توسط سایر تنظیم کننده ها بیان شده است، موضع OCR به ویژه تعجب آور نیست. در طول تابستان، کمیسیون تجارت فدرال در مورد آنچه که دادههای جمعآوریشده از دستگاههای تن، اندام پوشیدنی میتواند درباره انتخابهای سلامت باروری شخصی نشان دهد، نوشت.مرز جدیدی از آسیب های احتمالی برای مصرف کنندگان” به ویژه در دوران پس از روئه. در اوایل ماه دسامبر، FTC خود را به روز کرد ابزار تعاملی در نظر گرفته شده برای کمک به ،ب و کارها در ایجاد و بازاریابی برنامه های سلامت تلفن همراه برای تعیین اینکه کدام قو،ن مربوط به حریم خصوصی و امنیت فدرال اعمال می شود و همچنین به روز رس، آن راهنمای بهترین شیوه ها برای توسعه دهندگان برنامه های سلامت تلفن همراه. توافقنامه تسویه حساب دادستان کل کالیفرنیا با اپلیکیشن سلامت، Glow, Inc. تحقیقاتی را دنبال کرد که در آن Glow با عدم حفظ محرمانه بودن اطلاعات پزشکی، از جمله با افشای اطلاعات مربوط به سلامتی کاربران برنامه بدون دریافت مجوز اولیه از کاربر، قو،ن حفظ حریم خصوصی مصرف کنندگان و سلامت کالیفرنیا را نقض کرده است.
ردیابی اطلاعات بهداشتی نیز موضوع دعاوی دسته جمعی است که تحت قو،ن حمایت از مصرف کننده ایالتی مطرح می شود. در 16 ژوئن 2022، اتاق خبر غیرانتفاعی، The Markup، این را منتشر کرد یافته ها بررسی استفاده از فناوری ردیابی توسط 100 بیمارستان برتر آمریکا، که نشان میدهد حداقل 33 از 100 بیمارستان برتر، فناوری ردیابی را در وبسایت و برنامههای تلفن همراه خود، عمدتاً در صفحات زمانبندی و پورتالهای بیماران خود تعبیه کردهاند. روز بعد، Doe v. Meta Platforms, Inc. ادعا کرد که متا با همکاری نهادهای تحت پوشش، آگاهانه دادههای بیمار را از طریق استقرار فیسبوک پی،ل در پورتالهای بیماران مختلف نهادهای تحت پوشش که توسط بیماران برای برقراری ارتباط با ارائهدهندگان مراقبتهای بهداشتی استفاده میشود، دریافت کرده است و این دادهها متعاقباً برای مقاصد تبلیغاتی بدون رضایت یا مجوز من، استفاده شده است. . متعاقبا، چندین شکایت دیگر علیه نهادهای تحت پوشش، به اتهام سوء استفاده از پی،ل فیس بوک، از جمله Smidga v. Meta Platforms, Inc. (25 اوت 2022)؛ کوروسکی در مقابل سیستم راش برای سلامت d/b/a سیستم دانشگاه راش برای سلامت (30 سپتامبر 2022)؛ کراکنبرگر علیه بیمارستان یادبود نورث وسترن و همکاران. (13 اکتبر 2022)؛ و در دعوای م،ع Aurora Health Pixel (29 نوامبر 2022).
مراحل بعدی
اینکه فناوری ردیابی PHI را برخلاف قو،ن HIPAA یا حمایت از مصرفکننده جمعآوری و افشا میکند یا خیر، نیازمند تحلیل مبتنی بر واقعیت است.
تمام فناوری ردیابی مورد استفاده برای وبسایتها و برنامههای تلفن همراه که اطلاعات سلامتی را مدیریت میکنند را مستند کنید. فروشنده فناوری ردیابی، دستههای دادههای جمعآوریشده، اطلاعات از چه ،، جمعآوری شدهاند، محل جمعآوری در وبسایت یا برنامه تلفن همراه، اینکه آیا و چگونه دادهها به اشتراک گذاشته میشوند و آیا دادههای جمعآوریشده و به اشتراکگذاشتهشده شامل PHI در محدوده محدوده ا،امات بولتن
یک قرارداد همکاری تجاری (“BAA”) با فروشندگان فناوری ردیابی اجرا کنید. اینکه فروشنده، شریک تجاری یک نهاد تحت پوشش است، به وجود یک BAA بین طرفین بستگی ندارد یا اینکه واحد تحت پوشش، فروشنده را شریک تجاری خود می داند. HIPAA کارکردهایی را برمیشمارد که یک فروشنده را به ،وان یک شریک تجاری واجد شرایط میکند، از جمله ارائه خدمات تجزیه و تحلیل دادهها.[3] در بولتن، OCR توضیح داد که وقتی یک فروشنده فناوری ردیابی شریک تجاری یک نهاد تحت پوشش است، مجوز معتبر HIPAA لازم نیست. بر این اساس، یک BAA کمک میکند نشان دهد که فروشنده فناوری ردیابی مجاز به استفاده و افشای PHI تا حد مجاز توسط HIPAA است.
تعهدات تحت حمایت از مصرف کننده و قو،ن حفظ حریم خصوصی ایالتی را ارزیابی کنید. حتی زم، که داده های افشا شده توسط یک نهاد تحت پوشش یا شریک تجاری به یک فناوری ردیابی PHI نیست، یک نهاد تحت پوشش ممکن است تعهداتی تحت قو،ن حمایت از مصرف کننده داشته باشد و قو،ن حفظ حریم خصوصی ایالتی (از جمله) افشای عمومی خاصی در مورد اقدامات حفظ حریم خصوصی (به ،وان مثال، در یک خط مشی حفظ حریم خصوصی) و اجرای مک،سم هایی که به افراد تحت پوشش اجازه می دهد تا از حقوق حریم خصوصی خود علاوه بر موارد موجود تحت HIPAA استفاده کنند. عدم انطباق با قو،ن حفظ حریم خصوصی و حقوق مصرف کننده ممکن است منجر به مجازات های مدنی و در برخی موارد کیفری شود که جدا از جریمه های پول مدنی HIPAA است.
پانویسها و منابع
[2] 45 CFR § 164.508
[3] 45 CFR 160.103
© Copyright 2022 Squire Patton Boggs (US) LLPبررسی حقوق ملی، جلد دوازدهم، شماره 363
منبع: https://www.natlawreview.com/article/ocr-joins-c،rus-regulators-warning-about-health-data-tracking-technology