OCR بولتنی را منتشر کرد که به نهادهای تحت نظارت HIPAA هشدار می داد

غذای آماده کلیدی: سازمان‌ها باید تجزیه و تحلیل مبتنی بر واقعیت را انجام دهند تا تعیین کنند که آیا فناوری جمع‌آوری و ردیابی داده‌های سلامتی که در وب‌سایت‌ها و برنامه‌های تلفن همراه آن‌ها مستقر شده است با قانون حمل‌ونقل و مسئولیت‌پذیری بیمه سلامت فدرال («HIPAA») و سایر قو،ن و دستورالعمل‌های قابل اجرا مطابقت دارد یا خیر.

کوکی‌ها، چراغ‌های وب و فناوری‌های مشابه برای جمع‌آوری و تجزیه و تحلیل داده‌ها درباره نحوه تعامل کاربران، مرورگرها و دستگاه‌ها با وب‌سایت‌ها و برنامه‌های تلفن همراه در سراسر اینترنت («فناوری ردیابی») استفاده می‌شوند. فناوری ردیابی موضوع اقدامات نظارتی متعددی است، از جمله توسط تنظیم‌کننده‌ها در اتحادیه اروپا و کالیفرنیا، و از طریق دعاوی خصوصی (همچنین در اتحادیه اروپا و ایالات متحده.). این اقدامات و شکایات معمولاً بر عدم شفافیت در مورد نحوه جمع‌آوری داده‌های فناوری ردیابی در مورد افراد در حین عبور از اینترنت و عدم انتخاب فردی در مورد نحوه اشتراک‌گذاری آن داده‌ها با اشخاص ثالث و استفاده برای ساختن نمایه‌هایی برای تبلیغات هدفمند متمرکز است. در 1 دسامبر 2022، تنظیم‌کننده دیگری به مبارزه پیوست: دفتر حقوق مدنی و، بهداشت و خدمات انس، ایالات متحده (“OCR”). OCR، مرجع اصلی اجرای قانون فدرال استطاعت و حسابدهی بیمه سلامت (“HIPAA”)، یک بولتن به نهادهای تحت نظارت HIPAA هشدار می دهد که استفاده از فناوری ردیابی ممکن است منجر به افشا و استفاده از اطلاعات بهداشتی محافظت شده (“PHI”) شود که HIPAA را نقض می کند.^[1]

بسیاری از مصرف کنندگان ایالات متحده به اشتباه معتقدند که تمام اطلاعات بهداشتی آنها – از جمله اطلاعات بهداشتی جمع آوری شده توسط فناوری ردیابی آنلاین – توسط HIPAA محافظت می شود. با این حال، ا،امات HIPAA فقط برای “موسسات تحت پوشش” (به ،وان مثال، برنامه های بهداشتی، ا،ر ارائه دهندگان مراقبت های بهداشتی و دفاتر خدمات بهداشتی و درم،) و “همکاران تجاری(به ،وان مثال، ارائه دهندگان خدمات و سایر اشخاص ثالث که از نهادهای تحت پوشش حمایت می کنند) که اطلاعات بهداشتی قابل شناسایی فردی (“IIHI”) را دریافت یا ایجاد می کنند و در موارد خاصی مشارکت دارند. معاملات تحت پوشش (مثلاً ارجاعات و مجوزها، هماهنگی مزایا و غیره). IIHI در دست نهادهای تحت پوشش و شرکای تجاری به PHI تبدیل می شود، اما همان اطلاعات زم، که در دست هر سازمان دیگری باشد یا برای اه،ی که به درمان، یا پرداخت یا عملیات مربوط به سلامتی مربوط نمی شود، PHI نیست. بولتن OCR به پر ، این شکاف کمک می کند، اما با انجام این کار، چالش های عملیاتی جدیدی را برای نهادهای تحت نظارت HIPAA اضافه می کند.

بولتن بیان می‌کند که IIHI جمع‌آوری‌شده توسط Tracking Technology که روی یک وب‌سایت یا برنامه تلفن همراه اجرا می‌شود که توسط یک نهاد تحت پوشش یا شریک تجاری اداره می‌شود، «به طور کلی PHI است، حتی اگر فرد رابطه‌ای با نهاد تنظیم‌شده نداشته باشد و حتی اگر IIHI، مانند آدرس IP یا موقعیت جغرافیایی، شامل اطلاعات درمان یا صورتحساب خاصی مانند تاریخ ها و انواع خدمات مراقبت های بهداشتی نمی شود. بولتن بیان می کند که این IIHI PHI است زیرا “فرد را به نهاد تحت نظارت متصل می کند” و “نشان دهنده این است که فرد خدمات مراقبت بهداشتی یا مزایایی را از نهاد تحت پوشش دریافت کرده یا خواهد گرفت”.

سپس بولتن سه مورد استفاده از فناوری ردیابی را ارائه می کند که موقعیت آن را نشان می دهد: (1) استفاده در صفحات وب تایید شده توسط کاربربه ،وان مثال، «صفحات وب که کاربران فقط می توانند به آنها دسترسی داشته باشند بعد از آنها وارد صفحه وب می شوند، مثلاً با وارد ، یک شناسه کاربری و رمز عبور منحصر به فرد یا سایر اطلاعات اعتباری». (2) استفاده در صفحات وب تایید نشده، که عبارتند از “صفحات وب که بدون نیاز به ورود کاربر به این صفحه وب، برای عموم قابل دسترسی هستند”؛ و (3) استفاده با برنامه های موبایل «از طرف نهادهای تحت نظارت به افراد پیشنهاد می‌شود تا به افراد اجازه دهند، برای مثال، ارائه‌دهندگان را بیابند، به اطلاعات بهداشتی یا مراقبت‌های بهداشتی خود دسترسی یا مدیریت کنند، یا قبض‌ها را پرداخت کنند». (به ترتیب به پاورقی های بولتن 11، 12 و 13 مراجعه کنید.)

دومین مورد استفاده بولتن (تکنولوژی ردیابی که در صفحات وب احراز هویت نشده استفاده می شود) دشوارترین چالش عملیاتی را ارائه می دهد. بسیاری از این نهادهای تحت نظارت HIPAA در طول تاریخ بر این اساس کار کرده‌اند که اطلاعات جمع‌آوری‌شده از بازدیدکنندگان ناشناس وب‌سایت‌هایشان PHI نیست، زیرا نهاد تحت نظارت ،وماً نمی‌تواند آن را به فرد شناسایی شده یا قابل شناسایی یا حتی اگر فرد قابل شناسایی باشد، به سلامت ارائه مرتبط کند. خدمات مراقبتی به آن فرد

با این حال، طبق دومین مورد استفاده بولتن، داده‌های جمع‌آوری‌شده در طول جستجوی فهرست ارائه‌دهنده در یک صفحه وب عمومی – مانند «آدرس ایمیل و/یا آدرس IP یک فرد زم، که فرد از صفحه وب یک نهاد تحت نظارت بازدید می‌کند تا قرار ملاقات‌های موجود را جستجو کند. ارائه‌دهنده مراقبت‌های بهداشتی» – افشای PHI هنگامی که از فناوری ردیابی شخص ثالث در وب‌سایت استفاده می‌شود. از آنجا که افشای PHI به فروشنده فناوری ردیابی خارج از محدوده عملیات درمان، پرداخت یا مراقبت های بهداشتی است، مجوز معتبر HIPAA مورد نیاز است.^[2] با این حال، دریافت مجوز HIPAA قبل از اجازه دسترسی به یک صفحه وب تایید نشده، اغلب غیرعملی است. به ،وان مثال، یک فرد احتمالاً جستجوی نام ارائه دهنده خود را به ،وان ارائه مراقبت های بهداشتی نمی بیند و بر این اساس ممکن است تا زمان انتخاب ارائه دهنده و برنامه ریزی قرار ملاقات، از اعطای مجوز HIPAA خودداری کند.

با توجه به نگر، های دیگر در مورد حفاظت از اطلاعات بهداشتی که توسط سایر تنظیم کننده ها بیان شده است، موضع OCR به ویژه تعجب آور نیست. در طول تابستان، کمیسیون تجارت فدرال در مورد آنچه که داده‌های جمع‌آوری‌شده از دستگاه‌های تن، اندام پوشیدنی می‌تواند درباره انتخاب‌های سلامت باروری شخصی نشان دهد، نوشت.مرز جدیدی از آسیب های احتمالی برای مصرف کنندگان” به ویژه در دوران پس از روئه. در اوایل ماه دسامبر، FTC خود را به روز کرد ابزار تعاملی در نظر گرفته شده برای کمک به ،ب و کارها در ایجاد و بازاریابی برنامه های سلامت تلفن همراه برای تعیین اینکه کدام قو،ن مربوط به حریم خصوصی و امنیت فدرال اعمال می شود و همچنین به روز رس، آن راهنمای بهترین شیوه ها برای توسعه دهندگان برنامه های سلامت تلفن همراه. توافقنامه تسویه حساب دادستان کل کالیفرنیا با اپلیکیشن سلامت، Glow, Inc. تحقیقاتی را دنبال کرد که در آن Glow با عدم حفظ محرمانه بودن اطلاعات پزشکی، از جمله با افشای اطلاعات مربوط به سلامتی کاربران برنامه بدون دریافت مجوز اولیه از کاربر، قو،ن حفظ حریم خصوصی مصرف کنندگان و سلامت کالیفرنیا را نقض کرده است.

ردیابی اطلاعات بهداشتی نیز موضوع دعاوی دسته جمعی است که تحت قو،ن حمایت از مصرف کننده ایالتی مطرح می شود. در 16 ژوئن 2022، اتاق خبر غیرانتفاعی، The Markup، این را منتشر کرد یافته ها بررسی استفاده از فناوری ردیابی توسط 100 بیمارستان برتر آمریکا، که نشان می‌دهد حداقل 33 از 100 بیمارستان برتر، فناوری ردیابی را در وب‌سایت و برنامه‌های تلفن همراه خود، عمدتاً در صفحات زمان‌بندی و پورتال‌های بیماران خود تعبیه کرده‌اند. روز بعد، Doe v. Meta Platforms, Inc. ادعا کرد که متا با همکاری نهادهای تحت پوشش، آگاهانه داده‌های بیمار را از طریق استقرار فیس‌بوک پی،ل در پورتال‌های بیماران مختلف نهادهای تحت پوشش که توسط بیماران برای برقراری ارتباط با ارائه‌دهندگان مراقبت‌های بهداشتی استفاده می‌شود، دریافت کرده است و این داده‌ها متعاقباً برای مقاصد تبلیغاتی بدون رضایت یا مجوز من، استفاده شده است. . متعاقبا، چندین شکایت دیگر علیه نهادهای تحت پوشش، به اتهام سوء استفاده از پی،ل فیس بوک، از جمله Smidga v. Meta Platforms, Inc. (25 اوت 2022)؛ کوروسکی در مقابل سیستم راش برای سلامت d/b/a سیستم دانشگاه راش برای سلامت (30 سپتامبر 2022)؛ کراکنبرگر علیه بیمارستان یادبود نورث وسترن و همکاران. (13 اکتبر 2022)؛ و در دعوای م،ع Aurora Health Pixel (29 نوامبر 2022).

مراحل بعدی

اینکه فناوری ردیابی PHI را برخلاف قو،ن HIPAA یا حمایت از مصرف‌کننده جمع‌آوری و افشا می‌کند یا خیر، نیازمند تحلیل مبتنی بر واقعیت است.

تمام فناوری ردیابی مورد استفاده برای وب‌سایت‌ها و برنامه‌های تلفن همراه که اطلاعات سلامتی را مدیریت می‌کنند را مستند کنید. فروشنده فناوری ردیابی، دسته‌های داده‌های جمع‌آوری‌شده، اطلاعات از چه ،، جمع‌آوری شده‌اند، محل جمع‌آوری در وب‌سایت یا برنامه تلفن همراه، اینکه آیا و چگونه داده‌ها به اشتراک گذاشته می‌شوند و آیا داده‌های جمع‌آوری‌شده و به اشتراک‌گذاشته‌شده شامل PHI در محدوده محدوده ا،امات بولتن

یک قرارداد همکاری تجاری (“BAA”) با فروشندگان فناوری ردیابی اجرا کنید. اینکه فروشنده، شریک تجاری یک نهاد تحت پوشش است، به وجود یک BAA بین طرفین بستگی ندارد یا اینکه واحد تحت پوشش، فروشنده را شریک تجاری خود می داند. HIPAA کارکردهایی را برمی‌شمارد که یک فروشنده را به ،وان یک شریک تجاری واجد شرایط می‌کند، از جمله ارائه خدمات تجزیه و تحلیل داده‌ها.^[3] در بولتن، OCR توضیح داد که وقتی یک فروشنده فناوری ردیابی شریک تجاری یک نهاد تحت پوشش است، مجوز معتبر HIPAA لازم نیست. بر این اساس، یک BAA کمک می‌کند نشان دهد که فروشنده فناوری ردیابی مجاز به استفاده و افشای PHI تا حد مجاز توسط HIPAA است.

تعهدات تحت حمایت از مصرف کننده و قو،ن حفظ حریم خصوصی ایالتی را ارزیابی کنید. حتی زم، که داده های افشا شده توسط یک نهاد تحت پوشش یا شریک تجاری به یک فناوری ردیابی PHI نیست، یک نهاد تحت پوشش ممکن است تعهداتی تحت قو،ن حمایت از مصرف کننده داشته باشد و قو،ن حفظ حریم خصوصی ایالتی (از جمله) افشای عمومی خاصی در مورد اقدامات حفظ حریم خصوصی (به ،وان مثال، در یک خط مشی حفظ حریم خصوصی) و اجرای مک،سم هایی که به افراد تحت پوشش اجازه می دهد تا از حقوق حریم خصوصی خود علاوه بر موارد موجود تحت HIPAA استفاده کنند. عدم انطباق با قو،ن حفظ حریم خصوصی و حقوق مصرف کننده ممکن است منجر به مجازات های مدنی و در برخی موارد کیفری شود که جدا از جریمه های پول مدنی HIPAA است.

---

پانویسها و منابع

[1] حقوق عمومی 104-191

[2] 45 CFR § 164.508

[3] 45 CFR 160.103