Co HIPAA skutečně říká o sledování

Samotný HIPAA cookies, pixely ani webové sledování nezmiňuje — zákon byl napsán v roce 1996 a novelizován zákonem HITECH v roce 2009. Relevantní pravidla pro online sledování pocházejí ze dvou míst: definice PHI v Pravidle ochrany soukromí a požadavků Pravidla bezpečnosti na ochranu elektronického PHI (ePHI). Společně říkají, že veškeré individuálně identifikovatelné zdravotní informace v držení kryté entity nebo obchodního partnera musí být chráněny a že zveřejnění třetím stranám bez oprávnění nebo smlouvy o obchodním partnerství je nepovoleným použitím.

Bulletin OCR o sledovacích technologiích

Klíčovým regulačním dokumentem pro vydavatele je bulletin OCR s názvem Využívání online sledovacích technologií subjekty krytými HIPAA a obchodními partnery. Původní verze z prosince 2022 zaujala agresivní postoj — že jakákoli IP adresa shromážděná na webové stránce je potenciálně PHI, pokud se stránka týká konkrétního zdravotního stavu. Po rozhodnutí federálního soudu v roce 2024, které zrušilo části bulletinu jako překračující pravomoc OCR, OCR dokument revidoval, aby ostřeji oddělil neautentizované marketingové stránky od autentizovaných stránek pacientských portálů. Revize z roku 2024 je v roce 2026 závazným textem a je to dokument, který by právní týmy vydavatelů měly mít otevřený na druhém monitoru při konfiguraci CMP.

Co se počítá jako PHI v kontextu sledování

OCR považuje kombinaci identifikátoru (IP adresa, ID zařízení, otisk prohlížeče, hashovaný e-mail) s informacemi o zdraví konkrétního jedince (vyhledávání nemoci, kliknutí na stránku s léčbou, odeslání formuláře se symptomy) za PHI, pokud kombinace souvisí se známým pacientem nebo osobou, kterou lze identifikovat. Samotný identifikátor není PHI; samotná zdravotní informace není PHI; kombinace je. Toto je analytický krok, který vydavatele zaskočí, protože standardní pixel pro reklamní technologie je navržen tak, aby přesně tuto kombinaci předával třetí straně za účelem měření a personalizace.

Rozlišení autentizovaných a neautentizovaných stránek

Jediným nejdůležitějším konceptem v bulletinu OCR je hranice mezi autentizovanou stránkou — takovou, na kterou se uživatel dostane přihlášením do pacientského portálu, EHR-propojeného systému objednávání, fakturační konzole — a neautentizovanou stránkou — veřejnými marketingovými stránkami, články s informacemi o zdravotních stavech, vyhledáváním lékaře. Míra souladu se ostře liší mezi oběma.

Autentizované stránky

Autentizované stránky jsou vysoce rizikovým povrchem. Jakmile se uživatel přihlásí, krytá entita ví, kdo je, a jakákoli sledovací technologie spuštěná na těchto stránkách potenciálně odhaluje PHI každému dodavateli, který požadavek obdrží. Pixely třetích stran, marketingové pixely a jakýkoli analytický tag fungující mimo smlouvu o obchodním partnerství by na autentizovaných stránkách vůbec neměly běžet. Postoj OCR je zde jednoznačný a vypořádání případů byla podstatná.

Neautentizované stránky

Neautentizované stránky jsou složitější. Revize OCR z roku 2024 připustila, že ne každá návštěva veřejné marketingové stránky produkuje PHI — uživatel čtoucí obecný článek o diabetu nutně neprozrazuje, že diabetes má. Ale hranice se posouvá, když stránka kombinuje identifikátor s jasným zdravotním kontextem: kontrola symptomů přijímající volný textový vstup a spouštějící pixel s přiloženým vstupem, cílová stránka specifická pro nemoc používající URL jako sledovací parametr, nástroj pro hledání specialisty předávající odbornost a PSČ analytickému dodavateli. Tyto toky mění neautentizovanou stránku v povrch odhalující PHI.

Praktický test

Praktickým testem, který vydavatelé v roce 2026 aplikují, je test rozumného očekávání. Očekával by rozumný člověk navštěvující tuto stránku, že jeho návštěva naznačuje konkrétní zdravotní potíž? Pokud ano, stránka je pro účely sledování považována za nesoucí PHI bez ohledu na stav autentizace. Test je z důvodu návrhu konzervativní — chybovat na permisivní straně způsobuje riziko donucovacích opatření, zatímco chybovat na restriktivní straně způsobuje jen ztrátu příjmů z reklamy.

Smlouvy o obchodním partnerství a zásobník dodavatelů

HIPAA dovoluje kryté entitě sdílet PHI s dodavatelem pouze tehdy, když dodavatel podepsal Smlouvu o obchodním partnerství (BAA) zavazující ho k ochranám ekvivalentním HIPAA. Mezi hlavními dodavateli reklamních technologií a analytiky je situace kolem BAA nerovnoměrná a klíčová.

Dodavatelé, kteří podepisují BAA

Google nabízí HIPAA BAA pro Google Workspace, Google Cloud Platform a omezenou podmnožinu nasazení Google Analytics 4 při specifických konfiguracích. Microsoft podepisuje BAA pro Azure a omezenou konfiguraci Microsoft Clarity. Několik zdravotnicky specializovaných analytických platforem — Freshpaint, Heap s doplňkem HIPAA, zdravotnická konfigurace FullStory — podepisuje BAA. To jsou dodavatelé, které může vydavatel krytý HIPAA používat na autentizovaných nebo PHI nesoucích površích.

Dodavatelé, kteří BAA nepodepisují

Meta nepodepisuje BAA pro Meta Pixel ani Conversions API v žádné standardní konfiguraci. TikTok nepodepisuje BAA pro TikTok Pixel. Většina programatických SSP a DSP BAA nepodepisuje. Standardní Google Analytics, standardní šablony Google Tag Manager a výchozí konverzní tagy Google Ads nejsou kryty BAA Googlu. Provozování kteréhokoli z nich na povrchu nesoucím PHI je porušením HIPAA bez ohledu na konfiguraci banneru souhlasu — souhlas nenahrazuje BAA, když je zahrnuto PHI.

Zásobník souhlasu plus BAA

Vyhovujícím vzorem pro marketingové stránky zdravotního vydavatele je zásobník souhlasu plus BAA. Neautentizované marketingové stránky provozují CMP s bránami souhlasu pro jakékoli nezbytné sledování, analytická vrstva je nakonfigurována pod BAA s dodavatelem obeznámeným s HIPAA a vrstva marketingových pixelů buď funguje pouze na stránkách, které projdou testem rozumného očekávání, nebo je přesměrována přes serverové konverzní API, které před předáním dodavatelům bez BAA odstraní identifikující informace.

Architektura CMP pro zdravotní vydavatele

CMP pro vydavatele krytého HIPAA dělá více než shromažďování souhlasu. Vynucuje rozlišení tříd stránek, uzavírá přístup dodavatelů podle stavu BAA a vytváří auditní protokol, který splňuje jak požadavky na dokumentaci Pravidla bezpečnosti HIPAA, tak jakékoli státní zákony o ochraně soukromí platné navíc.

Detekce třídy stránky

CMP musí vědět, v jaké třídě stránky se renderuje. Nejčistším vzorem je proměnná JavaScript injektovaná CSP — nastavená serverem na základě vzoru URL, stavu autentizace a metadat typu obsahu — kterou CMP čte při inicializaci. Proměnná produkuje tři stavy: veřejná-nízké riziko (žádný zdravotní kontext), veřejná-nesoucí PHI (zdravotní kontext, žádná autentizace) nebo autentizovaná. Seznam dodavatelů CMP a výchozí nastavení souhlasu se mění napříč třemi stavy.

Uzavírání přístupu dodavatelů podle stavu BAA

Každý dodavatel v seznamu dodavatelů CMP musí být označen svým stavem BAA a podmínkami, za kterých BAA platí. Dodavatel bez BAA je trvale blokován na PHI nesoucích a autentizovaných površích bez ohledu na stav souhlasu. Dodavatel s podmíněným BAA — jedním vyžadujícím specifické konfigurační volby — je povolen pouze tehdy, když jsou tyto podmínky potvrzeny. Auditní protokol zaznamenává každé rozhodnutí o dodavateli s třídou stránky, stavem souhlasu a rozhodnutím o BAA a vytváří obhajitelný záznam pro regulatorní dotaz.

Vrstva státního zákona

HIPAA je federálním minimem; státní zákony — californský CMIA, washingtonský zákon My Health My Data a ustanovení o soukromí zdraví spotřebitelů v Connecticutu a Nevadě — leží nad ním s přísnějšími požadavky ve svých konkrétních rozsazích. Architektura CMP by měla HIPAA považovat za základ a nad něj vrstvit nejpřísnější platné státní pravidlo, kdykoli zeměpisný signál uživatele indikuje stát se silnějším režimem ochrany zdraví spotřebitelů.

Běžné chyby sledování HIPAA vedoucí k vypořádáním

Donucovací opatření při sledování HIPAA v průběhu let 2024 a 2025 přinesla jasný seznam vzorů vedoucích k vyšetřováním OCR. Meta Pixel spouštěný na pacientských portálech, protože ho někdo přidal pro marketingovou analytiku bez konzultace s oddělením souladu. Google Analytics fungující na nástroji pro kontrolu symptomů s příznakem předávaným jako vlastní dimenze. Stránka pro hledání lékaře předávající odbornost jako parametr URL, který analytický tag zachycuje a přeposílá. Onboardingový tok telemedicíny s nainstalovaným TikTok Pixel pro placenou akvizici a neodebraným při přechodu uživatele do autentizovaného portálu. A/B test marketingového týmu, který spustil recorder teplotní mapy na každé stránce včetně formulářů určených pacientům. Každý z nich způsobil veřejné vypořádání nebo plán nápravných opatření v okně donucovacích opatření po roce 2022.

Závěr

HIPAA v roce 2026 již není backoffice compliance režim, který může marketingový tým ignorovat. Bulletin OCR, veřejná vypořádání a dozrávající linie donucovacích opatření proti používání pixelů na autentizovaných stránkách z online sledování učinily otázku na úrovni představenstva pro každou krytou entitu s digitálním stopou. Compliance postoj není nemožný — je to CMP, který zná třídu stránky, zásobník dodavatelů respektující hranici BAA, vrstva souhlasu zpracovávající státní zákonnou překryv a dokumentovaná architektura, kterou může vyšetřovatel OCR přečíst za hodinu a odejít přesvědčen. Vydavatelé, kteří do této architektury v roce 2026 investují, udržují své digitální kanály otevřené a svá publika monetizovatelná; vydavatelé, kteří nadále zacházejí se zdravotními stránkami jako s e-commerce stránkami, stráví příštích dva roky sestavováním dohod o narovnání s federální vládou.