OCR Bulletin تعریف PHI را گسترش می دهد

نهادهای تحت پوشش و همکاران تجاری باید فورا و با دقت استفاده خود از فناوری‌های ردیابی آنلاین را در وب‌سایت‌ها و برنامه‌های تلفن همراه خود بررسی کنند. بولتن (بولتن) منتشر شده توسط دفتر حقوق مدنی و، بهداشت و خدمات انس، ایالات متحده (OCR) در 1 دسامبر 2022. این بولتن به جنبه های متعددی از انطباق با HIPAA در هنگام استفاده از فناوری های ردیابی شخص ثالث آنلاین (تکنولوژی های ردیابی) می پردازد. با انجام این کار، OCR به طور قابل توجهی تفسیر خود را از تعریف اطلاعات بهداشتی محافظت شده (PHI) گسترش می دهد تا در برخی موارد، اطلاعات قابل شناسایی جمع آوری شده توسط Tracking Technologies را که در آن کاربر از یک وب سایت بازدید می کند و به هیچ طریق دیگری با نهاد تعامل نمی کند، شامل شود. OCR در بولتن خود، عمل فردی را که از یک وب سایت بازدید می کند، به ،وان شواهدی از یک رابطه یا رابطه آینده پیش بینی شده بین بازدید کننده و نهاد تفسیر می کند.

به نظر می رسد که بولتن به دلیل مقالات خبری اخیر است که نهادهای مشمول HIPAA (نهادهای تنظیم شده) را که اطلاعات قرار ملاقات بیمار (از جمله اطلاعات مربوط به خدمات سلامت باروری) را با استفاده از پی،ل های ردیابی و سایر فناوری ها به اشتراک می گذارند، با شرکت های رسانه های اجتماعی به اشتراک می گذارند. همچنین به نظر می رسد OCR به نگر، ها در مورد حفظ حریم خصوصی اطلاعات سلامت باروری پاسخ می دهد. دابز در مقابل سازمان بهداشت ،ن ،ون تصمیم (به پوشش قبلی ما در مورد مسائل حریم خصوصی بعد ازدابز اینجا و اینجا). در بولتن، چندین نمونه ارائه شده به طور خاص به اطلاعات سلامت باروری می پردازد.

گزارش‌های مربوط به اشتراک‌گذاری اطلاعات قرار ملاقات با بیمار با استفاده از پی،ل‌های ردیابی، استفاده از فناوری‌های ردیابی توسط تعدادی از بیمارستان‌ها را دخیل می‌دانند، که منجر به چندین اعلان نقض برای بیمار، می‌شود که فناوری‌های ردیابی اطلاعات آنها ممکن است به خطر بیفتد و متعاقباً به دعاوی حقوقی دسته‌جمعی منجر شود. در حالی که این رویدادها مربوط به استفاده از فناوری‌های ردیابی در پورتال‌های بیماران محافظت‌شده با رمز عبور است، بولتن نشان می‌دهد که یک نهاد تحت نظارت ممکن است زم، که از فناوری‌های ردیابی در وب‌سایت‌هایی استفاده می‌کند که نیازی به احراز هویت کاربر ندارند، PHI را جمع‌آوری کند. OCR این موضع را اتخاذ می کند که این می تواند بدون توجه به اینکه آیا یک رابطه ثابت بین نهاد تنظیم شده و افرادی که از یک وب سایت یا برنامه تلفن همراه استفاده می کنند وجود دارد یا خیر. این تفسیر گسترده از دامنه PHI پیامدهای مهمی برای رعایت ا،امات حریم خصوصی، امنیت و اعلان نقض HIPAA دارد. شایان ذکر است بولتن دارای قوت و اثر قانونی نبوده و مشمول اخطار و قاعده‌سازی اظهارنظر نشده است. با این حال، نهادهای تحت نظارت باید آگاه باشند که بولتن بیانگر موضع فعلی OCR در مورد موضوع فناوری‌های ردیابی است.

فن آوری های ردیابی و تعریف PHI

فن‌آوری‌های ردیابی شامل استفاده از یک اسکریپت یا کد (به ،وان مثال، کوکی‌ها، پی،ل‌ها و کدهای ردیابی، اسکریپت‌های اثرانگشت، بیکن‌های وب) در یک وب‌سایت یا برنامه تلفن همراه برای جمع‌آوری اطلاعات در مورد کاربران هنگام تعامل با وب‌سایت یا برنامه تلفن همراه است. این فناوری‌های ردیابی همه جا در صفحات وب وجود دارند و به ایجاد تبلیغات هدفمند (از جمله تبلیغات بنر و رسانه‌های اجتماعی)، از جمله تبلیغات برای محصولات و خدمات ،ب‌وکاری که کاربر با آن تعامل داشته است، و همچنین محصولات و خدمات ،ب‌وکارهای مشابه، کمک می‌کند.

در بولتن، OCR این موضع را اتخاذ می‌کند که تمام اطلاعات بهداشتی قابل شناسایی فردی (IIHI) جمع‌آوری‌شده در وب‌سایت یک نهاد تحت نظارت یا برنامه تلفن همراه آن «به طور کلی PHI است، حتی اگر فرد رابطه‌ای با نهاد تنظیم‌شده نداشته باشد و حتی اگر IIHI، مانند آدرس IP یا موقعیت جغرافیایی، شامل اطلاعات درمان یا صورت‌حساب خاصی مانند تاریخ‌ها و انواع خدمات مراقبت‌های بهداشتی نمی‌شود.» در اتخاذ این موضع، OCR اطلاعاتی را که بسیاری تصور می‌،د اطلاعات شخصی هستند و مشمول کنترل‌های عمومی حریم خصوصی (از جمله خط‌مشی حفظ حریم خصوصی وب‌سایت) هستند را به اطلاعات سلامتی قابل شناسایی فردی تبدیل می‌کند. طبق مقررات HIPAA، IIHI باید «به سلامت یا وضعیت جسم، یا رو، گذشته، حال یا آینده یک فرد مربوط باشد. ارائه مراقبت های بهداشتی به یک فرد؛ یا پرداخت گذشته، حال یا آینده برای ارائه مراقبت های بهداشتی به یک فرد.» OCR معتقد است که در جمع‌آوری اطلاعات از طریق وب‌سایت خود، یک نهاد تنظیم‌شده، بازدیدکننده وب‌سایت را به نهاد تنظیم‌شده «ارتباط» می‌دهد و بنابراین «نشان دهنده این است که فرد خدمات یا مزایای مراقبت‌های بهداشتی را از نهاد تحت پوشش دریافت کرده یا خواهد گرفت». در حالی که این تفسیر با توجه به نگر،‌های حفظ حریم خصوصی ناشی از ردیابی فعالیت وب‌سایت پس از Dobbs با نیت خوبی انجام می‌شود، در عمل تعریف PHI را به گونه‌ای گسترش می‌دهد که ممکن است در واقع به هیچ‌یک از نیازهای مراقبت بهداشتی فردی که از یک وب‌سایت بازدید می‌کند مربوط نباشد.

فناوری‌های ردیابی در صفحات تأیید شده توسط کاربر

جای تعجب نیست که OCR در بولتن این موضع را اتخاذ می کند که فناوری های ردیابی در صفحات وب تأیید شده توسط کاربر (صفحات احراز هویت شده) از نهاد تنظیم شده و هر فروشنده فناوری ردیابی می خواهد که در مدیریت اطلاعات جمع آوری شده توسط فناوری ردیابی از HIPAA پیروی کند. صفحه تأیید شده صفحه‌ای است که کاربر را م،م می‌کند قبل از دسترسی به محتوا وارد سیستم شود و شامل پورتال‌های بیماران ارائه‌دهنده، پورتال‌های ذینفع طرح سلامت و پلت‌فرم‌های بهداشت از راه دور است. OCR بیان می‌کند که عموماً فناوری‌های ردیابی در صفحات تأیید شده به PHI دسترسی دارند، مانند آدرس IP فرد، شماره پرونده پزشکی، آدرس خانه یا ایمیل، تاریخ‌های قرار ملاقات، یا سایر اطلاعات شناسایی که فرد ممکن است هنگام تعامل با صفحه وب ارائه کند. که در برخی موارد ممکن است شامل اطلاعات تشخیص و درمان افراد، اطلاعات نسخه، اطلاعات صورتحساب یا سایر اطلاعات داخل پورتال باشد). OCR در مورد استثنائات این قاعده کلی بحث نمی کند و بولتن هیچ راهنمایی عملی در مورد پیکربندی صحیح صفحات تأیید شده با استفاده از فناوری های ردیابی ارائه نمی دهد.

فناوری های ردیابی در صفحات تایید نشده

برخلاف تصور بسیاری، OCR این موضع را اتخاذ می‌کند که فناوری‌های ردیابی در صفحات وب تأیید نشده نهادهای تحت نظارت (صفحات احراز هویت نشده) در موارد خاصی PHI را جمع‌آوری می‌کنند و این اطلاعات تابع ا،امات HIPAA است. یک صفحه تایید نشده یک صفحه وب است که کاربر نیازی به ورود به سیستم قبل از دسترسی به محتوا ندارد و ممکن است شامل برخی از صفحات فرود وب سایت ارائه دهنده و صفحات جستجوی ارائه دهنده پلت فرم بهداشت از راه دور باشد. OCR نمونه‌های زیر را از صفحات تأیید نشده ارائه می‌کند که در آن‌ها یک فناوری ردیابی PHI را به واسطه جمع‌آوری اطلاعات قابل شناسایی به‌صورت جداگانه ضبط می‌کند:

• صفحات ورود به سیستم یک پورتال بیمار یا یک صفحه وب ثبت نام کاربر که در آن فردی یک ورود برای پورتال بیمار ایجاد می کند. اگر فرد اطلاعات اعتبار را در آن صفحه وب ورود وارد کند یا اطلاعات ثبت نام (به ،وان مثال، نام، آدرس ایمیل) را در صفحه ثبت نام وارد کند، چنین اطلاعاتی PHI است که می تواند توسط Tracking Technologies جمع آوری شود.

• صفحات وب نهادهای تحت نظارت که به علائم یا شرایط سلامت خاص، مانند بارداری یا سقط جنین می پردازند.

• صفحات وب نهادهای تحت نظارت که در آن کاربران می توانند یک ارائه دهنده را جستجو کنند یا قرار ملاقاتی را تعیین کنند، حتی اگر صفحه برای انجام جستجو نیازی به ورود به سیستم نداشته باشد.

در حالی که به نظر می رسد OCR یک صفحه اصلی عمومی را برای یک ارائه دهنده چندتخصصی ارائه می دهد که اطلاعاتی را در مورد مکان و خدمات ارائه دهنده ارائه می دهد (که در آن ردیابی آدرس های IP بازدید کننده از سایت به م،ای جمع آوری و اشتراک گذاری PHI نیست) و صفحه های شرایط یا علائم خاص ( در جایی که OCR نشان می‌دهد که ردیابی آدرس‌های IP بازدیدکننده از سایت، جمع‌آوری و به اشتراک‌گذاری PHI را تشکیل می‌دهد، هیچ راهنمایی مربوط به صفحه‌های اصلی ارائه‌دهندگان یا ارائه‌دهندگان تخصصی تک‌تخصصی ارائه نمی‌دهد که تنها یک (یا تعداد انگشت شماری از شرایط مرتبط) را درمان می‌کنند. . همچنین OCR راهنمایی نمی کند که به تعبیر OCR، اطلاعات یک صفحه وب آنقدر مختص یک علامت یا وضعیت سلامتی است که اطلاعات جمع آوری شده توسط فناوری ردیابی در آن صفحه PHI باشد.

اطلاعات اپلیکیشن موبایل

همچنین، بولتن به فناوری‌های ردیابی مورد استفاده در برنامه‌های تلفن همراه می‌پردازد، اما زمینه جدیدی در این زمینه ایجاد نمی‌کند. OCR مجدداً تأکید می کند که اطلاعات ارائه شده توسط کاربر برنامه یا جمع آوری شده توسط برنامه (از جمله اثر انگشت، مکان شبکه، شناسه دستگاه یا شناسه تبلیغاتی) PHI است و مشمول HIPAA است.

تعهدات رعایت

همانطور که در بالا بحث شد، مقدار قابل توجهی از اطلاعات جمع‌آوری‌شده توسط نهادهای تحت نظارت از طریق فناوری‌های ردیابی ممکن است مشمول HIPAA باشد، به‌ویژه با توجه به دیدگاه گسترده OCR درباره زم، که داده‌های کاربر وب‌سایت PHI را تشکیل می‌دهند. تا جایی که فناوری ردیابی در یک صفحه وب یا برنامه تلفن همراه به PHI دسترسی دارد، استفاده از فناوری ردیابی باید با HIPAA مطابقت داشته باشد. افشای PHI که ناشی از استفاده از فناوری‌های ردیابی، از جمله فروشندگان است، باید با قانون حفظ حریم خصوصی مطابقت داشته باشد. فروشندگان فناوری ردیابی در صورتی که PHI را از طرف نهادهای تحت نظارت در ارتباط با خدماتی که ارائه می‌دهند ایجاد، دریافت، نگهداری یا انتقال دهند، شرکای تجاری هستند و باید با چنین فروشندگ، قرارداد همکاری تجاری (BAA) منعقد شود. قابل ذکر است، بولتن همچنین توضیحات و یادآوری های زیر را ارائه می دهد:

• توصیف استفاده از فناوری‌های ردیابی در خط‌مشی رازداری، اطلاعیه یا شرایط و ضوابط استفاده وب‌سایت یا برنامه تلفن همراه برای انجام تعهدات HIPAA کافی نیست.

• استفاده‌های بازاریابی از PHI جمع‌آوری‌شده از طریق فناوری‌های ردیابی باید مطابق با HIPAA مجاز باشد (یا در یک استثنا قرار می‌گیرد) و بنرهای وب‌سایتی که از کاربران می‌خواهند استفاده وب‌سایتی از فناوری‌های ردیابی مانند کوکی‌ها را بپذیرند یا رد کنند، مجوز معتبر HIPAA را تشکیل نمی‌دهند. برای اه، بازاریابی

• عدم شناسایی PHI توسط فروشنده فناوری ردیابی قبل از ذخیره آن، وضعیت فروشنده را به ،وان یک شریک تجاری تغییر نمی دهد.

• مگر اینکه استثنایی اعمال شود، فقط حداقل مقدار PHI لازم برای دستیابی به هدف مورد نظر (که باید طبق قانون حفظ حریم خصوصی مجاز باشد) ممکن است برای فروشندگان فناوری افشا شود.

• هنگام انجام ارزیابی ریسک امنیتی HIPAA، استفاده از فناوری‌های ردیابی باید ارزیابی شود و نهاد تنظیم‌شده باید اطمینان حاصل کند که پادمان‌های من، برای رسیدگی به خطرات امنیتی ناشی از فناوری‌های ردیابی وجود دارد.

• افشای PHI برای فروشندگان فناوری ردیابی بدون وجود BAA ممکن است نقض بر اساس HIPAA باشد و هر گونه افشاگری باید تحت استاندارد چهار عاملی “احتمال آسیب کم” تجزیه و تحلیل شود.

گام های بعدی توصیه شده

توصیه می‌کنیم که همه نهادهای تحت نظارت نقشه‌برداری داده‌ها را برای درک داده‌های جمع‌آوری‌شده از وب‌سایت‌ها و برنامه‌ها و شناسایی PHI (همانطور که در بولتن توضیح داده شده) از طریق Tracking Technologies جمع‌آوری شده انجام دهند. نهادهای تحت نظارت باید استفاده، افشا و امنیت چنین PHI را برای انطباق با HIPAA ارزیابی کنند و باید هرگونه شکاف انطباق را برطرف کنند. به ،وان بخشی از این فرآیند، نهادهای تحت نظارت باید به دقت به موارد زیر توجه کنند:

• این که آیا شناسایی اطلاعات جمع‌آوری‌شده از افراد از طریق وب‌سایت‌ها و برنامه‌های تلفن همراه PHI است، با در نظر گرفتن موقعیت OCR در بولتن مبنی بر اینکه ،وماً یک رابطه موجود با فرد مورد نیاز نیست.

• با توجه به اینکه انواع اطلاعات مشاهده شده می توانند استنتاج های مرتبط با سلامتی را ایجاد کنند که OCR می تواند PHI را در نظر بگیرد، چه اطلاعات بهداشتی قابل شناسایی را می توان از طریق داده های جمع آوری شده با استفاده از فناوری های ردیابی استنباط کرد، و اینکه آیا این اطلاعات با اشخاص ثالث (مثلاً فروشندگان) به اشتراک گذاشته خواهد شد.

• چه اطلاعاتی با فروشندگان فناوری ردیابی به اشتراک گذاشته می‌شود و آیا برای ارائه چنین افشاگری‌هایی به انطباق با HIPAA نیاز است یا خیر. تا جایی که استفاده از فناوری‌های ردیابی ممکن است منجر به افشای غیرمجاز PHI برای اشخاص ثالث شده باشد، نهادهای تحت نظارت باید به منظور ارزیابی تعهدات گزارش تخلف با مشاور مشورت کنند.

• اینکه آیا هرگونه اطلاعاتی که توسط Tracking Technologies جمع‌آوری می‌شود برای اه، بازاریابی استفاده می‌شود یا به اشخاص ثالث فروخته می‌شود و تا چه حد این اطلاعات PHI به مجوز HIPAA برای چنین فعالیت‌هایی نیاز دارد.

• اینکه آیا BAA با فروشندگان فناوری ردیابی مورد نیاز است یا خیر.

• اینکه آیا استفاده از فناوری‌های ردیابی شامل PHI به ،وان بخشی از ارزیابی ریسک امنیتی HIPAA نهاد تنظیم‌شده ارزیابی شده است یا خیر.

دیدگاه گسترده OCR در مورد PHI، همانطور که در بولتن بیان شده است، ممکن است در هنگام انجام هر یک از اقدامات ذکر شده در بالا، تشخیص تعهدات واقعی مطابق با HIPAA را برای برخی از نهادهای تحت نظارت دشوار کند. ما به نظارت برای هرگونه راهنمایی اضافی از OCR ادامه خواهیم داد.