ট্র্যাকিং বিষয়ে HIPAA আসলে কী বলে

HIPAA নিজেই কুকি, পিক্সেল বা ওয়েব ট্র্যাকিংয়ের কথা উল্লেখ করে না — আইনটি ১৯৯৬ সালে লেখা হয়েছিল এবং ২০০৯ সালে HITECH আইনের মাধ্যমে সংশোধিত হয়েছে। অনলাইন ট্র্যাকিংয়ের প্রাসঙ্গিক বিধিমালা দুটি উৎস থেকে আসে: গোপনীয়তা বিধিতে PHI-এর সংজ্ঞা এবং ইলেকট্রনিক PHI (ePHI) সুরক্ষার জন্য নিরাপত্তা বিধির প্রয়োজনীয়তা। একত্রে তারা বলে যে কোনো কভারড এন্টিটি বা বিজনেস অ্যাসোসিয়েটের কাছে থাকা ব্যক্তিগতভাবে চিহ্নিতযোগ্য স্বাস্থ্য তথ্য সুরক্ষিত রাখতে হবে এবং অনুমতি বা বিজনেস অ্যাসোসিয়েট চুক্তি ছাড়া তৃতীয় পক্ষের কাছে প্রকাশ অনুমোদনহীন ব্যবহার।

OCR ট্র্যাকিং প্রযুক্তি বুলেটিন

প্রকাশকদের জন্য মূল নিয়ন্ত্রক নথিটি হল OCR বুলেটিন শিরোনাম HIPAA কভারড এন্টিটি ও বিজনেস অ্যাসোসিয়েটদের দ্বারা অনলাইন ট্র্যাকিং প্রযুক্তির ব্যবহার। ২০২২ সালের ডিসেম্বরে মূল সংস্করণ একটি আক্রমণাত্মক অবস্থান নিয়েছিল — যে কোনো ওয়েব পেজে সংগৃহীত IP ঠিকানা সম্ভাব্যভাবে PHI যদি পেজটি নির্দিষ্ট স্বাস্থ্য অবস্থার সাথে সম্পর্কিত হয়। ২০২৪ সালে একটি ফেডারেল আদালতের রায় বুলেটিনের কিছু অংশ বাতিল করার পরে যা OCR-এর কর্তৃত্ব অতিক্রম করার হিসেবে বিবেচিত হয়েছিল, OCR নথিটি সংশোধন করে আনঅথেনটিকেটেড মার্কেটিং পেজ ও অথেনটিকেটেড রোগী-পোর্টাল পেজের মধ্যে আরও স্পষ্ট রেখা আঁকতে। ২০২৪-এর সংশোধনী ২০২৬ সালে নিয়ন্ত্রণকারী পাঠ্য এবং প্রকাশকের আইনি দলগুলির CMP কনফিগার করার সময় দ্বিতীয় মনিটরে খোলা রাখা উচিত এমন নথি।

ট্র্যাকিং প্রসঙ্গে কী PHI হিসেবে গণ্য হয়

OCR একটি শনাক্তকারী (IP ঠিকানা, ডিভাইস ID, ব্রাউজার ফিঙ্গারপ্রিন্ট, হ্যাশড ইমেইল) এবং একটি নির্দিষ্ট ব্যক্তির স্বাস্থ্য সম্পর্কিত তথ্যের (কোনো অবস্থার জন্য অনুসন্ধান, চিকিৎসা পেজে ক্লিক, উপসর্গসহ ফর্ম জমা) সংমিশ্রণকে PHI হিসেবে বিবেচনা করে যখন সংমিশ্রণটি একজন পরিচিত রোগী বা চিহ্নিতযোগ্য ব্যক্তির সাথে সম্পর্কিত। শনাক্তকারী একা PHI নয়; স্বাস্থ্য তথ্য একা PHI নয়; সংমিশ্রণটি PHI। এটি সেই বিশ্লেষণাত্মক পদক্ষেপ যা প্রকাশকদের হতবাক করে, কারণ স্ট্যান্ডার্ড অ্যাড-টেক পিক্সেলটি ঠিক সেই সংমিশ্রণটি পরিমাপ ও ব্যক্তিগতকরণের উদ্দেশ্যে তৃতীয় পক্ষের কাছে পাঠানোর জন্য ডিজাইন করা হয়েছে।

অথেনটিকেটেড বনাম আনঅথেনটিকেটেড পার্থক্য

OCR বুলেটিনে একমাত্র সবচেয়ে গুরুত্বপূর্ণ ধারণাটি হল একটি অথেনটিকেটেড পেজের মধ্যে রেখা — যেটিতে ব্যবহারকারী রোগী পোর্টাল, EHR-সংযুক্ত অ্যাপয়েন্টমেন্ট সিস্টেম, বিলিং কনসোলে লগইন করে পৌঁছায় — এবং একটি আনঅথেনটিকেটেড পেজ — পাবলিক মার্কেটিং পেজ, অবস্থার তথ্য নিবন্ধ, ডাক্তার খোঁজার অনুসন্ধান। দুটির মধ্যে সম্মতি অবস্থান তীব্রভাবে ভিন্ন।

অথেনটিকেটেড পেজ

অথেনটিকেটেড পেজগুলি হল উচ্চ-ঝুঁকির পৃষ্ঠ। একবার ব্যবহারকারী লগইন করলে, কভারড এন্টিটি জানে তারা কে, এবং সেই পেজগুলিতে ফায়ার হওয়া যেকোনো ট্র্যাকিং প্রযুক্তি সম্ভাব্যভাবে অনুরোধ পাওয়া যেকোনো বিক্রেতার কাছে PHI প্রকাশ করছে। তৃতীয় পক্ষের পিক্সেল, মার্কেটিং পিক্সেল এবং বিজনেস অ্যাসোসিয়েট চুক্তির বাইরে পরিচালিত যেকোনো অ্যানালিটিক্স ট্যাগ অথেনটিকেটেড পেজে মোটেই চলা উচিত নয়। এখানে OCR-এর অবস্থান স্পষ্ট এবং মামলার নিষ্পত্তি উল্লেখযোগ্য হয়েছে।

আনঅথেনটিকেটেড পেজ

আনঅথেনটিকেটেড পেজগুলি আরও সূক্ষ্ম। ২০২৪ সালের OCR সংশোধনী স্বীকার করেছে যে একটি পাবলিক মার্কেটিং পেজে প্রতিটি ভিজিট PHI উৎপন্ন করে না — ডায়াবেটিস সম্পর্কে একটি সাধারণ নিবন্ধ পড়া একজন ব্যবহারকারী অগত্যা প্রকাশ করছেন না যে তাদের ডায়াবেটিস আছে। কিন্তু রেখা পরিবর্তিত হয় যখন পেজটি একটি শনাক্তকারীকে একটি স্পষ্ট স্বাস্থ্য প্রসঙ্গের সাথে একত্রিত করে: একটি লক্ষণ পরীক্ষক যা ফ্রি-টেক্সট ইনপুট নেয় এবং সংযুক্ত ইনপুট সহ পিক্সেল ফায়ার করে, একটি অবস্থা-নির্দিষ্ট ল্যান্ডিং পেজ যা URL কে ট্র্যাকিং প্যারামিটার হিসেবে ব্যবহার করে, একটি বিশেষজ্ঞ খোঁজার সরঞ্জাম যা বিশেষত্ব ও পোস্টাল কোড একটি অ্যানালিটিক্স বিক্রেতার কাছে পাঠায়। এই প্রবাহগুলি একটি আনঅথেনটিকেটেড পেজকে PHI পৃষ্ঠে পরিণত করে।

ব্যবহারিক পরীক্ষা

২০২৬ সালে প্রকাশকরা যে ব্যবহারিক পরীক্ষা চালান তা হল যুক্তিসঙ্গত প্রত্যাশার পরীক্ষা। এই পেজটি পরিদর্শন করা একজন যুক্তিসঙ্গত ব্যক্তি কি আশা করবেন যে তাদের ভিজিট একটি নির্দিষ্ট স্বাস্থ্য উদ্বেগ নির্দেশ করে? যদি হ্যাঁ, তাহলে অথেনটিকেশন অবস্থা নির্বিশেষে পেজটিকে ট্র্যাকিং উদ্দেশ্যে PHI বহনকারী হিসেবে বিবেচনা করা হয়। পরীক্ষাটি ডিজাইন দ্বারা রক্ষণশীল — অনুমোদনমূলক দিকে ভুল করা প্রয়োগ ঝুঁকি তৈরি করে, যখন সীমাবদ্ধ দিকে ভুল করা শুধুমাত্র হারানো বিজ্ঞাপন রাজস্ব তৈরি করে।

বিজনেস অ্যাসোসিয়েট চুক্তি ও বিক্রেতা স্ট্যাক

HIPAA কভারড এন্টিটিকে একটি বিক্রেতার সাথে PHI শেয়ার করার অনুমতি দেয় শুধুমাত্র যখন বিক্রেতা HIPAA-সমতুল্য সুরক্ষার প্রতিশ্রুতি দিয়ে একটি বিজনেস অ্যাসোসিয়েট চুক্তি (BAA) স্বাক্ষর করেছে। প্রধান অ্যাড-টেক ও অ্যানালিটিক্স বিক্রেতাদের মধ্যে, BAA গল্পটি অসম এবং গুরুত্বপূর্ণ।

যে বিক্রেতারা BAA স্বাক্ষর করেন

Google, Google Workspace, Google Cloud Platform এবং নির্দিষ্ট কনফিগারেশনের অধীনে সীমিত Google Analytics 4 ডিপ্লয়মেন্টের জন্য HIPAA BAA অফার করে। Microsoft, Azure ও সীমিত Microsoft Clarity সেটআপের জন্য BAA স্বাক্ষর করে। কিছু স্বাস্থ্যসেবা-বিশেষায়িত অ্যানালিটিক্স প্ল্যাটফর্ম — Freshpaint, HIPAA অ্যাড-অনসহ Heap, FullStory-এর স্বাস্থ্যসেবা কনফিগারেশন — BAA স্বাক্ষর করে। এগুলিই সেই বিক্রেতা যাদের একটি HIPAA-কভারড প্রকাশক অথেনটিকেটেড বা PHI-বহনকারী পৃষ্ঠে ব্যবহার করতে পারেন।

যে বিক্রেতারা BAA স্বাক্ষর করেন না

Meta কোনো স্ট্যান্ডার্ড কনফিগারেশনে Meta Pixel বা Conversions API-এর জন্য BAA স্বাক্ষর করে না। TikTok, TikTok Pixel-এর জন্য BAA স্বাক্ষর করে না। বেশিরভাগ প্রোগ্রামেটিক SSP ও DSP BAA স্বাক্ষর করে না। স্ট্যান্ডার্ড Google Analytics, স্ট্যান্ডার্ড Google Tag Manager টেমপ্লেট এবং ডিফল্ট Google Ads কনভার্সন ট্যাগগুলি Google-এর BAA দ্বারা আচ্ছাদিত নয়। এগুলির যেকোনো একটি PHI-বহনকারী পৃষ্ঠে চালানো সম্মতি ব্যানার কনফিগারেশন নির্বিশেষে HIPAA লঙ্ঘন — PHI যুক্ত থাকলে সম্মতি BAA-কে প্রতিস্থাপন করে না।

সম্মতি-প্লাস-BAA স্ট্যাক

স্বাস্থ্য প্রকাশকের মার্কেটিং পেজের জন্য সম্মতিসম্পন্ন প্যাটার্ন হল সম্মতি-প্লাস-BAA স্ট্যাক। আনঅথেনটিকেটেড মার্কেটিং পেজগুলি যেকোনো অ-প্রয়োজনীয় ট্র্যাকিংয়ের জন্য সম্মতি গেট সহ CMP চালায়, অ্যানালিটিক্স স্তর HIPAA-সচেতন বিক্রেতার সাথে BAA-এর অধীনে কনফিগার করা হয় এবং মার্কেটিং পিক্সেল স্তর হয় শুধুমাত্র যুক্তিসঙ্গত প্রত্যাশার পরীক্ষা পাস করা পেজে চালানো হয় নয়তো সার্ভার-সাইড কনভার্সন API-এর মাধ্যমে রাউট করা হয় যা নন-BAA বিক্রেতাদের কাছে ফরওয়ার্ড করার আগে শনাক্তকারী তথ্য সরিয়ে দেয়।

স্বাস্থ্য প্রকাশকদের জন্য CMP আর্কিটেকচার

HIPAA-কভারড প্রকাশকের জন্য CMP শুধু সম্মতি সংগ্রহের চেয়ে বেশি কিছু করে। এটি পেজ-ক্লাস পার্থক্য প্রয়োগ করে, BAA স্ট্যাটাস দ্বারা বিক্রেতাদের গেট করে এবং একটি অডিট লগ তৈরি করে যা HIPAA-র নিরাপত্তা বিধির ডকুমেন্টেশন প্রয়োজনীয়তা এবং তার উপরে প্রযোজ্য যেকোনো রাজ্য গোপনীয়তা আইন উভয়কেই সন্তুষ্ট করে।

পেজ-ক্লাস সনাক্তকরণ

CMP-কে অবশ্যই জানতে হবে এটি কোন পেজ ক্লাসে রেন্ডার করছে। সবচেয়ে পরিষ্কার প্যাটার্ন হল একটি CSP-ইনজেক্টেড JavaScript ভেরিয়েবল — সার্ভার দ্বারা URL প্যাটার্ন, অথেনটিকেশন স্টেট এবং কন্টেন্ট-টাইপ মেটাডেটার উপর ভিত্তি করে সেট করা — যা CMP ইনিশিয়ালাইজেশনে পড়ে। ভেরিয়েবলটি একটি ট্রাই-স্টেট তৈরি করে: পাবলিক-লো-রিস্ক (কোনো স্বাস্থ্য প্রসঙ্গ নেই), পাবলিক-PHI-বহনকারী (স্বাস্থ্য প্রসঙ্গ, কোনো অথেনটিকেশন নেই), বা অথেনটিকেটেড। CMP-এর বিক্রেতার তালিকা ও ডিফল্ট সম্মতি সেটিংস তিনটি অবস্থায় পরিবর্তিত হয়।

BAA স্ট্যাটাস অনুযায়ী বিক্রেতা গেটিং

CMP-এর বিক্রেতার তালিকায় প্রতিটি বিক্রেতাকে তার BAA স্ট্যাটাস এবং BAA প্রযোজ্য শর্তগুলির সাথে ট্যাগ করতে হবে। BAA ছাড়া একজন বিক্রেতাকে সম্মতি অবস্থা নির্বিশেষে PHI-বহনকারী ও অথেনটিকেটেড পৃষ্ঠে হার্ড-ব্লক করা হয়। একটি শর্তসাপেক্ষ BAA সহ বিক্রেতা — যার জন্য নির্দিষ্ট কনফিগারেশন পছন্দ প্রয়োজন — শুধুমাত্র তখনই অনুমোদিত যখন সেই শর্তগুলি নিশ্চিত হয়। অডিট লগ প্রতিটি বিক্রেতার সিদ্ধান্ত পেজ ক্লাস, সম্মতি অবস্থা এবং BAA সিদ্ধান্ত সহ রেকর্ড করে, একটি নিয়ন্ত্রক তদন্তের জন্য রক্ষণযোগ্য রেকর্ড তৈরি করে।

রাজ্য-আইন স্তর

HIPAA হল ফেডারেল মেঝে; রাজ্য আইনগুলি — ক্যালিফোর্নিয়ার CMIA, ওয়াশিংটনের My Health My Data আইন এবং কানেকটিকাট ও নেভাদায় ভোক্তা স্বাস্থ্য গোপনীয়তার বিধান — তাদের নির্দিষ্ট সুযোগে কঠোর প্রয়োজনীয়তা সহ তার উপরে অবস্থান করে। CMP আর্কিটেকচারের HIPAA-কে বেসলাইন হিসেবে বিবেচনা করা উচিত এবং যখনই কোনো ব্যবহারকারীর ভৌগোলিক সংকেত একটি শক্তিশালী ভোক্তা-স্বাস্থ্য শাসন সহ রাজ্য নির্দেশ করে তখন তার উপরে সবচেয়ে কঠোর প্রযোজ্য রাজ্য নিয়ম স্তরিত করা উচিত।

সাধারণ HIPAA ট্র্যাকিং ভুল যা নিষ্পত্তি ঘটায়

২০২৪ ও ২০২৫ সালে HIPAA ট্র্যাকিং প্রয়োগ পদক্ষেপগুলি OCR তদন্তের দিকে নিয়ে যাওয়া প্যাটার্নের একটি স্পষ্ট তালিকা তৈরি করেছে। সম্মতির পরামর্শ না নিয়ে মার্কেটিং অ্যানালিটিক্সের জন্য কেউ যোগ করেছিল বলে রোগী পোর্টালে Meta Pixel ফায়ার হচ্ছিল। Google Analytics একটি লক্ষণ-পরীক্ষক সরঞ্জামে চলছিল যার লক্ষণটি কাস্টম ডাইমেনশন হিসেবে পাস হচ্ছিল। একটি ডাক্তার-খোঁজার পেজ বিশেষত্ব URL প্যারামিটার হিসেবে পাঠাচ্ছিল যা অ্যানালিটিক্স ট্যাগ ক্যাপচার করে ফরওয়ার্ড করছিল। একটি টেলিহেলথ অনবোর্ডিং ফ্লো পেইড অ্যাকুইজিশনের জন্য TikTok Pixel ইনস্টল করা ছিল এবং ব্যবহারকারী অথেনটিকেটেড পোর্টালে প্রবেশ করলে সরানো হয়নি। মার্কেটিং টিমের A/B পরীক্ষা রোগী-মুখী ফর্মসহ প্রতিটি পেজে হিটম্যাপ রেকর্ডার ফায়ার করেছিল। এগুলির প্রতিটি ২০২২-পরবর্তী প্রয়োগ উইন্ডোতে একটি পাবলিক নিষ্পত্তি বা সংশোধনমূলক কর্মপরিকল্পনা তৈরি করেছে।

সারসংক্ষেপ

২০২৬ সালে HIPAA আর ব্যাক-অফিস সম্মতিবিধির ব্যবস্থা নয় যা মার্কেটিং টিম উপেক্ষা করতে পারে। OCR বুলেটিন, পাবলিক নিষ্পত্তি এবং অথেনটিকেটেড পেজে পিক্সেল ব্যবহারের বিরুদ্ধে প্রয়োগের পরিপক্ব ধারা অনলাইন ট্র্যাকিংকে ডিজিটাল ফুটপ্রিন্ট থাকা যেকোনো কভারড এন্টিটির জন্য বোর্ড-স্তরের প্রশ্নে পরিণত করেছে। সম্মতি অবস্থান অসম্ভব নয় — এটি একটি CMP যা পেজ ক্লাস জানে, একটি বিক্রেতা স্ট্যাক যা BAA সীমানা সম্মান করে, একটি সম্মতি স্তর যা রাজ্য-আইন ওভারলে পরিচালনা করে এবং একটি ডকুমেন্টেড আর্কিটেকচার যা একজন OCR তদন্তকারী এক ঘণ্টায় পড়তে পারেন এবং সন্তুষ্ট হয়ে চলে যেতে পারেন। যে প্রকাশকরা ২০২৬ সালে সেই আর্কিটেকচারে বিনিয়োগ করেন তারা তাদের ডিজিটাল চ্যানেল খোলা ও দর্শকদের মনিটাইজযোগ্য রাখেন; যে প্রকাশকরা স্বাস্থ্য পেজগুলিকে ই-কমার্স পেজের মতো মনে করা অব্যাহত রাখেন তারা পরবর্তী দুই বছর ফেডারেল সরকারের সাথে নিষ্পত্তি চুক্তি খসড়া করে কাটান।