Какво действително казва HIPAA за проследяването

Самият HIPAA не споменава бисквитки, пиксели или уеб проследяване — законът е написан през 1996 г. и изменен чрез закона HITECH от 2009 г. Съответните правила за онлайн проследяване идват от две места: дефиницията на PHI от Правилото за поверителност и изискванията на Правилото за сигурност за защита на електронна PHI (ePHI). Заедно те казват, че всяка индивидуално идентифицируема здравна информация, съхранявана от покрит субект или бизнес партньор, трябва да бъде защитена и че разкриването на трети страни без разрешение или Споразумение за бизнес партньор е непозволена употреба.

Бюлетинът на OCR за технологии за проследяване

Основният регулаторен документ за издателите е бюлетинът на OCR, озаглавен Използване на онлайн технологии за проследяване от покрити субекти и бизнес партньори по HIPAA. Оригиналната версия от декември 2022 г. заема агресивна позиция — че всеки IP адрес, събиран на уеб страница, е потенциално PHI, ако страницата се отнася до конкретно здравно състояние. След федерално съдебно решение от 2024 г., което отмени части от бюлетина като надхвърлящи правомощията на OCR, OCR преразгледа документа, за да очертае по-ясна линия между неавтентифицирани маркетингови страници и автентифицирани страници на пациентски портали. Ревизията от 2024 г. е контролиращият текст през 2026 г. и е документът, който правните екипи на издателите трябва да поддържат отворен на втори монитор по време на конфигурирането на CMP.

Какво се счита за PHI в контекст на проследяване

OCR третира комбинацията от идентификатор (IP адрес, ID на устройство, отпечатък на браузъра, хеширан имейл) с информация за здравето на конкретно лице (търсене на заболяване, кликване върху страница за лечение, подаване на формуляр със симптоми) като PHI, когато комбинацията се отнася до известен пациент или лице, което може да бъде идентифицирано. Самият идентификатор не е PHI; самата здравна информация не е PHI; комбинацията е. Това е аналитичното действие, което хваща издателите неподготвени, тъй като стандартният пиксел за рекламни технологии е проектиран да предава точно тази комбинация на трета страна за целите на измерване и персонализация.

Разграничаването между автентифицирани и неавтентифицирани

Единственото най-важно понятие в бюлетина на OCR е линията между автентифицирана страница — такава, до която потребителят достига чрез влизане в пациентски портал, EHR-свързана система за назначения, конзола за фактуриране — и неавтентифицирана страница — публичните маркетингови страници, статиите с информация за заболявания, търсачката за намиране на лекар. Позицията за съответствие се различава рязко между двете.

Автентифицирани страници

Автентифицираните страници са повърхността с висок риск. Веднага след като потребителят се е влязъл, покритият субект знае кой е той и всяка технология за проследяване, която се задейства на тези страници, потенциално разкрива PHI на всеки доставчик, който получава заявката. Пиксели на трети страни, маркетингови пиксели и всеки таг за анализи, работещ извън Споразумение за бизнес партньор, изобщо не трябва да работят на автентифицирани страници. Позицията на OCR тук е недвусмислена и споразуменията по дела са съществени.

Неавтентифицирани страници

Неавтентифицираните страници са по-нюансирани. Ревизията от 2024 г. на OCR призна, че не всяко посещение на публична маркетингова страница произвежда PHI — потребител, четящ общa статия за диабет, не разкрива непременно, че има диабет. Но линията се измества, когато страницата комбинира идентификатор с ясен здравен контекст: проверка на симптоми, приемаща свободно въведен текст и задействаща пиксел с прикачения вход, специфична за заболяване целева страница, която използва URL като параметър за проследяване, инструмент за намиране на специалист, предаващ специалността и пощенския код на доставчик на анализи. Тези потоци превръщат неавтентифицирана страница в PHI повърхност.

Практическият тест

Практическият тест, прилаган от издателите през 2026 г., е тестът за разумно очакване. Ще очаква ли разумен човек, посещаващ тази страница, че посещението му показва конкретен здравен проблем? Ако да, страницата се третира като носеща PHI за целите на проследяването независимо от статуса на автентификация. Тестът е консервативен по дизайн — грешка от страна на разрешителния край поражда риск от принудително изпълнение, докато грешка от рестриктивния край поражда само загубени рекламни приходи.

Споразумения за бизнес партньори и стекът от доставчици

HIPAA позволява на покрит субект да споделя PHI с доставчик само когато доставчикът е подписал Споразумение за бизнес партньор (BAA), ангажирайки го с HIPAA-еквивалентни защити. Сред основните доставчици на рекламни технологии и анализи историята с BAA е неравномерна и важна.

Доставчици, подписващи BAA

Google предлага HIPAA BAA за Google Workspace, Google Cloud Platform и ограничено подмножество от внедрявания на Google Analytics 4 при специфични конфигурации. Microsoft подписва BAA за Azure и ограничена настройка на Microsoft Clarity. Шепа специализирани в здравеопазването аналитични платформи — Freshpaint, Heap с HIPAA добавка, здравната конфигурация на FullStory — подписват BAA. Това са доставчиците, които издател, покрит от HIPAA, може да използва върху автентифицирани или PHI-носещи повърхности.

Доставчици, неподписващи BAA

Meta не подписва BAA за Meta Pixel или Conversions API при никаква стандартна конфигурация. TikTok не подписва BAA за TikTok Pixel. Повечето програматични SSP и DSP не подписват BAA. Стандартният Google Analytics, стандартните шаблони на Google Tag Manager и стандартните тагове за конверсия на Google Ads не са покрити от BAA на Google. Изпълнението на което и да е от тях върху PHI-носеща повърхност е нарушение на HIPAA независимо от конфигурацията на банера за съгласие — съгласието не замества BAA, когато е замесена PHI.

Стекът „Съгласие плюс BAA“

Съответстващият шаблон за маркетинговите страници на здравен издател е стекът съгласие плюс BAA. Неавтентифицираните маркетингови страници изпълняват CMP с портали за съгласие за всяко несъществено проследяване, аналитичният слой е конфигуриран под BAA с доставчик, наясно с HIPAA, а слоят на маркетинговите пиксели или работи само на страници, преминаващи теста за разумно очакване, или се насочва чрез API за конверсия от страна на сървъра, който премахва идентифицираща информация, преди да препрати към доставчици без BAA.

CMP архитектурата за здравни издатели

CMP за издател, покрит от HIPAA, прави повече от събиране на съгласие. Той прилага разграничението по класове на страниците, контролира достъпа на доставчиците по статус на BAA и произвежда одитен журнал, удовлетворяващ изискванията за документация на Правилото за сигурност на HIPAA и всякакви приложими закони за поверителност на щатите отгоре.

Откриване на клас на страница

CMP трябва да знае върху кой клас страница рендерира. Най-чистият шаблон е JavaScript променлива, инжектирана от CSP — зададена от сървъра въз основа на URL шаблон, статус на автентификация и метаданни за тип съдържание — която CMP чете при инициализацията. Променливата произвежда тристепенно: публично-ниско-рискова (без здравен контекст), публично-PHI-носеща (здравен контекст, без автентификация) или автентифицирана. Списъкът с доставчици на CMP и настройките по подразбиране за съгласие се изменят в трите състояния.

Контрол на доставчиците по статус на BAA

Всеки доставчик в списъка с доставчици на CMP трябва да бъде маркиран с неговия статус на BAA и условията, при които се прилага BAA. Доставчик без BAA е твърдо блокиран върху PHI-носещи и автентифицирани повърхности независимо от статуса на съгласие. Доставчик с условен BAA — такъв, изискващ специфични избори на конфигурация — е разрешен само когато тези условия са потвърдени. Одитният журнал записва всяко решение за доставчик с класа на страницата, статуса на съгласие и решението за BAA, произвеждайки защитим запис за регулаторно запитване.

Слоят на законите на щатите

HIPAA е федерален под; законите на щатите — CMIA на Калифорния, законът My Health My Data на Вашингтон и разпоредбите за поверителност на здравето на потребителите в Кънектикът и Невада — седят отгоре с по-строги изисквания в специфичните им обхвати. CMP архитектурата трябва да третира HIPAA като основна линия и да наслагва най-строгото приложимо правило на щата отгоре, когато географският сигнал на потребителя показва щат с по-силен режим за потребителско здраве.

Чести грешки при проследяване по HIPAA, водещи до споразумения

Действията за прилагане на проследяването по HIPAA през 2024 и 2025 г. са произвели ясен списък от шаблоните, водещи до разследвания на OCR. Meta Pixel, задействащ се на пациентски портали, тъй като някой го е добавил за маркетингови анализи, без да се консултира с отдел за съответствие. Google Analytics, работещ на инструмент за проверка на симптоми, с симптома, предаден като персонализирано измерение. Страница за намиране на лекар, предаваща специалността като URL параметър, който тагът за анализи улавя и препраща. Телемедицинска онбординг процедура с инсталиран TikTok Pixel за платено придобиване, не премахнат, когато потребителят е преминал към автентифицирания портал. Маркетинговият екип A/B тества, задействащ записвач на топлинна карта на всяка страница, включително ориентираните към пациента формуляри. Всеки от тях е произвел публично споразумение или план за коригиращи действия в прозореца за прилагане след 2022 г.

Заключение

HIPAA през 2026 г. вече не е режим за съответствие от задния офис, който маркетинговият екип може да игнорира. Бюлетинът на OCR, публичните споразумения и зреещата линия на принудително изпълнение срещу използването на пиксели на автентифицирани страници превърнаха онлайн проследяването в въпрос на ниво борд за всеки покрит субект с цифров отпечатък. Позицията за съответствие не е невъзможна — тя е CMP, който знае класа на страницата, стек от доставчици, зачитащ BAA границата, слой за съгласие, обработващ наслагването от закони на щатите, и документирана архитектура, която следовател на OCR може да прочете за час и да си тръгне убеден. Издателите, инвестиращи в тази архитектура през 2026 г., запазват дигиталните си канали отворени и аудиториите си монетизируеми; издателите, продължаващи да третират здравните страници като е-търговски страници, прекарват следващите две години в изготвяне на споразумения с федералното правителство.