Што HIPAA насамрэч кажа пра адсочванне

Сам HIPAA не згадвае cookie, пікселі або вэб-адсочванне — закон быў напісаны ў 1996 годзе і дапоўнены Законам HITECH у 2009 годзе. Адпаведныя правілы для анлайн-адсочвання паходзяць з двух месцаў: вызначэння PHI ў Правіле пра прыватнасць і патрабаванняў Правіла бяспекі па ахове электроннай PHI (ePHI). Разам яны кажуць, што любая індывідуальна ідэнтыфікаваная медыцынская інфармацыя, якая ўтрымліваецца пакрытай арганізацыяй або бізнес-партнёрам, павінна быць абаронена, і што раскрыццё трэцім бакам без аўтарызацыі або Пагаднення пра бізнес-партнёрства з'яўляецца недапушчальным выкарыстаннем.

Бюлетэнь OCR пра тэхналогіі адсочвання

Ключавы рэгулятарны дакумент для выдаўцоў — гэта бюлетэнь OCR пад назвай Выкарыстанне анлайн-тэхналогій адсочвання пакрытымі HIPAA арганізацыямі і бізнес-партнёрамі. Арыгінальная версія ад снежня 2022 года заняла агрэсіўную пазіцыю — што любы IP-адрас, сабраны на вэб-старонцы, патэнцыйна з'яўляецца PHI, калі старонка тычыцца канкрэтнага стану здароўя. Пасля пастановы федэральнага суда ў 2024 годзе, якая адмяніла часткі бюлетэня як перавышаючыя паўнамоцтвы OCR, OCR перагледзеў дакумент, каб правесці больш выразную мяжу паміж неаўтэнтыфікаванымі маркетынгавымі старонкамі і аўтэнтыфікаванымі старонкамі пацыенцкага партала. Рэдакцыя 2024 года з'яўляецца кантралюючым тэкстам у 2026 годзе, і гэта дакумент, які юрыдычныя каманды выдаўцоў павінны трымаць адкрытым на другім маніторы пры наладзе CMP.

Што лічыцца PHI ў кантэксце адсочвання

OCR разглядае спалучэнне ідэнтыфікатара (IP-адрас, ID прылады, адбітак браўзера, хэшаваны email) з інфармацыяй пра здароўе канкрэтнага чалавека (пошук стану, клік на старонцы лячэння, адпраўка формы з сімптомамі) як PHI, калі спалучэнне адносіцца да вядомага пацыента або чалавека, які можа быць ідэнтыфікаваны. Ідэнтыфікатар сам па сабе не PHI; медыцынская інфармацыя сама па сабе не PHI; спалучэнне — так. Гэта аналітычны ход, які застае выдаўцоў знянацку, таму што стандартны ad-tech піксель спраектаваны перадаваць менавіта гэта спалучэнне трэцяму боку для мэт вымярэння і персаналізацыі.

Адрозненне аўтэнтыфікаваных і неаўтэнтыфікаваных

Самае важнае паняцце ў бюлетэні OCR — гэта мяжа паміж аўтэнтыфікаванай старонкай — той, якую карыстальнік дасягае, уваходзячы ў пацыенцкі партал, сістэму запісу, падключаную да EHR, кансоль выстаўлення рахункаў — і неаўтэнтыфікаванай старонкай — публічнымі маркетынгавымі старонкамі, артыкуламі з інфармацыяй пра стан, пошукам урача. Пазіцыя адпаведнасці рэзка адрозніваецца паміж імі.

Аўтэнтыфікаваныя старонкі

Аўтэнтыфікаваныя старонкі — гэта высокарызыкоўная паверхня. Як толькі карыстальнік увайшоў, пакрытая арганізацыя ведае, хто ён, і любая тэхналогія адсочвання, якая спрацоўвае на гэтых старонках, патэнцыйна раскрывае PHI любому пастаўшчыку, які атрымлівае запыт. Іншапартыйныя пікселі, маркетынгавыя пікселі і любы аналітычны тэг, які працуе па-за Пагадненнем пра бізнес-партнёрства, наогул не павінны працаваць на аўтэнтыфікаваных старонках. Пазіцыя OCR тут адназначная, і ўрэгуляванні па справах былі істотнымі.

Неаўтэнтыфікаваныя старонкі

Неаўтэнтыфікаваныя старонкі больш нюансаваныя. Рэдакцыя OCR 2024 года прызнала, што не кожнае наведванне публічнай маркетынгавай старонкі вырабляе PHI — карыстальнік, які чытае агульны артыкул пра дыябет, не абавязкова раскрывае, што ў яго дыябет. Але мяжа змяшчаецца, калі старонка спалучае ідэнтыфікатар з яўным кантэкстам здароўя: правяральнік сімптомаў, які прымае свабодны ўвод тэксту і запускае піксель з прымацаваным уводам, спецыфічная для стану мэтавая старонка, якая выкарыстоўвае URL як параметр адсочвання, інструмент пошуку спецыяліста, які перадае спецыяльнасць і паштовы індэкс аналітычнаму пастаўшчыку. Гэтыя патокі ператвараюць неаўтэнтыфікаваную старонку ў паверхню PHI.

Практычны тэст

Практычны тэст, які выдаўцы праводзяць у 2026 годзе, — гэта тэст разумнага чакання. Ці чакаў бы разумны чалавек, які наведвае гэту старонку, што яго візіт указвае на канкрэтную праблему здароўя? Калі так, старонка разглядаецца як нясучая PHI для мэт адсочвання незалежна ад стану аўтэнтыфікацыі. Тэст кансерватыўны па задуме — памылка ў бок дазволу вырабляе рызыку праваўжывання, у той час як памылка ў бок абмежавання вырабляе толькі страчаны рэкламны даход.

Пагадненні пра бізнес-партнёрства і стэк пастаўшчыкоў

HIPAA дазваляе пакрытай арганізацыі дзяліцца PHI з пастаўшчыком толькі калі пастаўшчык падпісаў Пагадненне пра бізнес-партнёрства (BAA), якое абавязвае яго да HIPAA-эквівалентнай абароны. Сярод буйных ad-tech і аналітычных пастаўшчыкоў гісторыя BAA нераўнамерная і значная.

Пастаўшчыкі, якія падпісваюць BAA

Google прапануе HIPAA BAA для Google Workspace, Google Cloud Platform і абмежаванага падмноства разгортванняў Google Analytics 4 пры пэўных канфігурацыях. Microsoft падпісвае BAA для Azure і абмежаванай налады Microsoft Clarity. Жменька спецыялізаваных на ахове здароўя аналітычных платформ — Freshpaint, Heap з дапаўненнем HIPAA, канфігурацыя FullStory для аховы здароўя — падпісваюць BAA. Гэта пастаўшчыкі, якіх пакрыты HIPAA выдавец можа выкарыстоўваць на аўтэнтыфікаваных або нясучых PHI паверхнях.

Пастаўшчыкі, якія не падпісваюць BAA

Meta не падпісвае BAA для Meta Pixel або Conversions API ні ў якой стандартнай канфігурацыі. TikTok не падпісвае BAA для TikTok Pixel. Большасць праграматычных SSP і DSP не падпісваюць BAA. Стандартны Google Analytics, стандартныя шаблоны Google Tag Manager і тэгі канверсій Google Ads па змаўчанні не пакрыты BAA Google. Запуск любога з іх на нясучай PHI паверхні з'яўляецца парушэннем HIPAA незалежна ад канфігурацыі банера згоды — згода не замяняе BAA, калі задзейнічана PHI.

Стэк «згода-плюс-BAA»

Адпаведны патэрн для маркетынгавых старонак медыцынскага выдаўца — гэта стэк «згода-плюс-BAA». Неаўтэнтыфікаваныя маркетынгавыя старонкі запускаюць CMP з гейтамі згоды для любога неістотнага адсочвання, аналітычны слой наладжаны пад BAA з HIPAA-дасведчаным пастаўшчыком, а слой маркетынгавага пікселя альбо працуе толькі на старонках, якія праходзяць тэст разумнага чакання, альбо маршрутызуецца праз серверны API канверсій, які выдаляе ідэнтыфікуючую інфармацыю перад перасылкай не-BAA пастаўшчыкам.

Архітэктура CMP для медыцынскіх выдаўцоў

CMP для пакрытага HIPAA выдаўца робіць больш, чым збірае згоду. Яна забяспечвае адрозненне класаў старонак, гейтуе пастаўшчыкоў па статусе BAA і вырабляе журнал аўдыту, які задавальняе як патрабаванням дакументацыі Правіла бяспекі HIPAA, так і любому закону штата пра прыватнасць, які прымяняецца зверху.

Вызначэнне класа старонкі

CMP павінна ведаць, на якім класе старонкі яна рэндэрыцца. Самы чысты патэрн — гэта ўкаранёная праз CSP зменная JavaScript — устанаўліваемая серверам на аснове патэрна URL, стану аўтэнтыфікацыі і метаданых тыпу кантэнту — якую CMP чытае пры ініцыялізацыі. Зменная вырабляе тры стану: публічная-нізкарызыкоўная (няма кантэксту здароўя), публічная-нясучая-PHI (кантэкст здароўя, няма аўтэнтыфікацыі) або аўтэнтыфікаваная. Спіс пастаўшчыкоў і значэнні згоды па змаўчанні CMP змяшчаюцца паміж трыма станамі.

Гейтаванне пастаўшчыкоў па статусе BAA

Кожны пастаўшчык у спісе пастаўшчыкоў CMP павінен быць пазначаны сваім статусам BAA і ўмовамі, пры якіх BAA прымяняецца. Пастаўшчык без BAA жорстка блакіруецца на нясучых PHI і аўтэнтыфікаваных паверхнях незалежна ад стану згоды. Пастаўшчык з умоўным BAA — які патрабуе канкрэтнага выбару канфігурацыі — дазволены толькі калі гэтыя ўмовы пацверджаны. Журнал аўдыту запісвае кожнае рашэнне па пастаўшчыку з класам старонкі, станам згоды і рашэннем BAA, вырабляючы абароненую запіс для запыту рэгулятара.

Слой закона штата

HIPAA — гэта федэральны мінімум; законы штатаў — CMIA Каліфорніі, My Health My Data Act Вашынгтона і палажэнні пра прыватнасць спажывецкага здароўя ў Канектыкуце і Невадзе — знаходзяцца зверху з больш строгімі патрабаваннямі ў іх канкрэтных абласцях. Архітэктура CMP павінна разглядаць HIPAA як базавую і накладваць самае строгае прымяняльнае правіла штата зверху кожны раз, калі геаграфічны сігнал карыстальніка ўказвае на штат з больш моцным рэжымам спажывецкага здароўя.

Распаўсюджаныя памылкі адсочвання HIPAA, якія запускаюць урэгуляванні

Меры праваўжывання адсочвання HIPAA на працягу 2024 і 2025 гадоў выраблялі выразны спіс патэрнаў, якія вядуць да расследаванняў OCR. Meta Pixel, які спрацоўвае на пацыенцкіх парталах, таму што нехта дадаў яго для маркетынгавай аналітыкі, не кансультуючыся з адпаведнасцю. Google Analytics, які працуе на інструменце праверкі сімптомаў з сімптомам, перададзеным як карыстальніцкае вымярэнне. Старонка пошуку ўрача, якая перадае спецыяльнасць як параметр URL, які аналітычны тэг захоплівае і перасылае. Паток онбордынгу тэлемедыцыны з TikTok Pixel, устаноўленым для платнага прыцягнення і не выдаленым, калі карыстальнік перайшоў у аўтэнтыфікаваны партал. A/B-тэст маркетынгавай каманды, які запусціў запісвальнік цеплавых карт на кожнай старонцы, уключаючы формы, звернутыя да пацыентаў. Кожнае з гэтых вырабіла публічнае ўрэгуляванне або план карэкцыйных дзеянняў у акне праваўжывання пасля 2022 года.

Вынік

HIPAA у 2026 годзе больш не з'яўляецца рэжымам адпаведнасці бэк-офіса, які маркетынгавая каманда можа ігнараваць. Бюлетэнь OCR, публічныя ўрэгуляванні і спеючая лінія праваўжывання супраць выкарыстання пікселяў на аўтэнтыфікаваных старонках зрабілі анлайн-адсочванне пытаннем узроўню савета дырэктараў для любой пакрытай арганізацыі з лічбавым следам. Пазіцыя адпаведнасці не немагчымая — гэта CMP, якая ведае клас старонкі, стэк пастаўшчыкоў, які паважае мяжу BAA, слой згоды, які апрацоўвае накладанне закона штата, і задакументаваная архітэктура, якую следчы OCR можа прачытаць за гадзіну і сысці перакананым. Выдаўцы, якія інвестуюць у гэту архітэктуру ў 2026 годзе, трымаюць свае лічбавыя каналы адкрытымі, а аўдыторыі манетызуемымі; выдаўцы, якія працягваюць ставіцца да медыцынскіх старонак як да старонак электроннай камерцыі, праводзяць наступныя два гады, складаючы пагадненні пра ўрэгуляванне з федэральным урадам.