Što HIPAA zapravo kaže o praćenju

HIPAA sam po sebi ne spominje kolačiće, piksele niti web praćenje — zakon je napisan 1996. i izmijenjen putem HITECH zakona 2009. Relevantna pravila za mrežno praćenje dolaze s dva mjesta: definicija PHI iz Pravila o privatnosti i zahtjevi Sigurnosnog pravila za zaštitu elektroničkih PHI (ePHI). Zajedno kažu da sve individualno prepoznatljive zdravstvene informacije koje drži pokriveni subjekt ili poslovni partner moraju biti zaštićene, a otkrivanje trećim stranama bez autorizacije ili Ugovora o poslovnom partneru jest nedopuštena upotreba.

OCR bilten o tehnologiji praćenja

Ključni regulatorni dokument za izdavače jest OCR bilten pod naslovom Upotreba mrežnih tehnologija praćenja od strane HIPAA pokrivenih subjekata i poslovnih partnera. Izvorna verzija iz prosinca 2022. zauzela je agresivan stav — da je svaka IP adresa prikupljena na web stranici potencijalno PHI ako je stranica bila vezana uz određeno zdravstveno stanje. Nakon presude saveznog suda 2024. koja je oborila dijelove biltena kao prekoračenje ovlasti OCR-a, OCR je revidirao dokument kako bi povukao oštriju granicu između neautenticiranih marketinških stranica i autenticiranih stranica portala za pacijente. Revizija iz 2024. kontrolni je tekst u 2026., i to je dokument koji bi pravni timovi izdavača trebali držati otvorenim na drugom monitoru dok konfiguriraju CMP.

Što se smatra PHI-jem u kontekstu praćenja

OCR tretira kombinaciju identifikatora (IP adresa, ID uređaja, otisak prsta preglednika, hashirana e-pošta) s informacijama o zdravlju određene osobe (pretraga za stanjem, klik na stranicu liječenja, podnošenje obrasca s simptomima) kao PHI kada se kombinacija odnosi na poznatog pacijenta ili osobu koja se može identificirati. Sam identifikator nije PHI; same zdravstvene informacije nisu PHI; kombinacija jest. To je analitički potez koji izdavače iznenađuje, jer je standardni reklamni piksel dizajniran da točno tu kombinaciju preda trećoj strani za potrebe mjerenja i personalizacije.

Razlika između autenticiranog i neautenticiranog

Najvažniji koncept u OCR biltenu jest granica između autenticirane stranice — one do koje korisnik dolazi prijavom na pacijentski portal, EHR-povezani sustav zakazivanja, naplatu konzolu — i neautenticirane stranice — javnih marketinških stranica, informativnih članaka o stanjima, pretraživanja liječnika. Stav usklađenosti značajno se razlikuje između ta dva slučaja.

Autenticirane stranice

Autenticirane stranice su visokorizična površina. Nakon što se korisnik prijavi, pokriveni subjekt zna tko je, i svaka tehnologija praćenja koja se pokreće na tim stranicama potencijalno otkriva PHI bilo kojem dobavljaču koji prima zahtjev. Pikseli trećih strana, marketinški pikseli i sve analitičke oznake koje rade izvan Ugovora o poslovnom partneru uopće ne bi smjeli biti pokrenuti na autenticiranim stranicama. Stav OCR-a ovdje je nedvosmislen, a nagodbe u predmetima bile su znatne.

Neautenticirane stranice

Neautenticirane stranice su složenije. Revizija OCR-a iz 2024. priznala je da svaki posjet javnoj marketinškoj stranici ne proizvodi PHI — korisnik koji čita opći članak o dijabetesu ne otkriva nužno da ima dijabetes. No granica se pomiče kada stranica kombinira identifikator s jasnim zdravstvenim kontekstom: provjera simptoma koja prima slobodni tekst i pokreće piksel s priloženim unosom, odredišna stranica specifična za stanje koja URL koristi kao parametar praćenja, alat za pronalazak specijalista koji analitičkom dobavljaču prosljeđuje specijalnost i poštanski broj. Ti tokovi pretvaraju neautenticiranu stranicu u PHI površinu.

Praktični test

Praktični test koji izdavači provode u 2026. jest test razumnih očekivanja. Bi li razumna osoba koja posjećuje ovu stranicu očekivala da njezin posjet ukazuje na određenu zdravstvenu brigu? Ako da, stranica se tretira kao nosač PHI-ja za potrebe praćenja bez obzira na stanje autentikacije. Test je konzervativno zamišljen — griješiti na permisivnoj strani donosi rizik provođenja, dok griješenje na restriktivnoj strani donosi samo izgubljen prihod od oglašavanja.

Ugovori o poslovnom partneru i skup dobavljača

HIPAA dopušta pokrivenom subjektu dijeljenje PHI s dobavljačem samo kada je dobavljač potpisao Ugovor o poslovnom partneru (BAA) kojim se obvezuje na zaštitu jednaku HIPAA-i. Među glavnim dobavljačima reklamnih tehnologija i analitike, priča o BAA-u je neravnomjerna i značajna.

Dobavljači koji potpisuju BAA-ove

Google nudi HIPAA BAA za Google Workspace, Google Cloud Platform i ograničeni podskup implementacija Google Analytics 4 pod specifičnim konfiguracijama. Microsoft potpisuje BAA-ove za Azure i ograničenu konfiguraciju Microsoft Clarity. Nekoliko analitičkih platformi specijaliziranih za zdravstvenu skrb — Freshpaint, Heap s HIPAA dodatkom, FullStory-jeva konfiguracija za zdravstvenu skrb — potpisuju BAA-ove. To su dobavljači koje HIPAA-pokriveni izdavač može koristiti na autenticiranim ili PHI-noseće površinama.

Dobavljači koji ne potpisuju BAA-ove

Meta ne potpisuje BAA-ove za Meta Pixel ili Conversions API ni u jednoj standardnoj konfiguraciji. TikTok ne potpisuje BAA-ove za TikTok Pixel. Većina programatskih SSP-ova i DSP-ova ne potpisuje BAA-ove. Standardni Google Analytics, standardni predlošci Google Tag Managera i zadane Google Ads oznake za konverzije nisu pokriveni Googleovim BAA-om. Pokretanje bilo kojeg od njih na PHI-nosećoj površini kršenje je HIPAA-e bez obzira na konfiguraciju natpisa o pristanku — pristanak ne zamjenjuje BAA kada je u pitanju PHI.

Skup pristanaka i BAA-a

Usklađen obrazac za marketinške stranice zdravstvenog izdavača jest skup pristanaka i BAA-a. Neautenticirane marketinške stranice pokreću CMP s pristankovnim prolazima za svako nebitno praćenje, analitički sloj konfiguriran je pod BAA-om s HIPAA-svjesnim dobavljačem, a sloj marketinških piksela ili se pokreće samo na stranicama koje prolaze test razumnih očekivanja ili se preusmjerava kroz API za konverzije na strani poslužitelja koji uklanja identifikacijske podatke prije prosljeđivanja dobavljačima koji nemaju BAA.

CMP arhitektura za zdravstvene izdavače

CMP HIPAA-pokrivenog izdavača čini više od prikupljanja pristanka. Primjenjuje razliku klase stranica, uvjetuje dobavljače prema statusu BAA-a i proizvodi evidenciju revizije koja zadovoljava i zahtjeve dokumentacije Sigurnosnog pravila HIPAA-e i svaki državni zakon o privatnosti koji se primjenjuje povrh njega.

Otkrivanje klase stranice

CMP mora znati u kojoj klasi stranica se prikazuje. Najčišći obrazac jest varijabla JavaScript umetana putem CSP-a — postavljena od strane poslužitelja na temelju URL obrasca, stanja autentikacije i metapodataka vrste sadržaja — koju CMP čita pri inicijalizaciji. Varijabla proizvodi trostupno stanje: javno-nisko-rizično (bez zdravstvenog konteksta), javno-PHI-noseće (zdravstveni kontekst, bez autentikacije) ili autenticirano. Popis dobavljača CMP-a i zadane vrijednosti pristanka mijenjaju se kroz tri stanja.

Uvjetovanje dobavljača prema statusu BAA-a

Svaki dobavljač na popisu dobavljača CMP-a mora biti označen svojim statusom BAA-a i uvjetima pod kojima se BAA primjenjuje. Dobavljač bez BAA-a čvrsto je blokiran na PHI-nosećim i autenticiranim površinama bez obzira na stanje pristanka. Dobavljač s uvjetnim BAA-om — onim koji zahtijeva specifične konfiguracijske odabire — dopušten je samo kada su ti uvjeti potvrđeni. Evidencija revizije bilježi svaku odluku o dobavljaču s klasom stranice, stanjem pristanka i odlukom o BAA-u, proizvodeći obranivu evidenciju za upit regulatora.

Sloj državnog prava

HIPAA je savezni minimum; državni zakoni — CMIA Kalifornije, Washington My Health My Data Act i odredbe o privatnosti zdravlja potrošača u Connecticutu i Nevadi — nalaze se iznad s strožim zahtjevima u njihovim specifičnim opsezima. CMP arhitektura trebala bi tretirati HIPAA kao polaznu osnovu i dodati najstroži primjenjivi državni propis povrh njega svaki put kada geografski signal korisnika ukazuje na državu s jačim režimom zdravlja potrošača.

Uobičajene greške u praćenju prema HIPAA koje dovode do nagodbi

Provedbene akcije praćenja HIPAA-e kroz 2024. i 2025. stvorile su jasan popis obrazaca koji dovode do istraga OCR-a. Meta Pixel koji se pokreće na portalima pacijenata jer ga je netko dodao za marketinšku analitiku bez konzultacija s usklađenošću. Google Analytics koji radi na alatu za provjeru simptoma sa simptomom proslijeđenim kao prilagođena dimenzija. Stranica za pronalazak liječnika koja specijalnost prosljeđuje kao URL parametar koji analitička oznaka bilježi i prosljeđuje. Tok uvođenja telezdravlja s TikTok Pixelom instaliranim za plaćenu akviziciju i nije uklonjen kada je korisnik prešao u autenticirani portal. A/B test marketinškog tima koji je pokrenuo snimač toplinskih karata na svakoj stranici uključujući obrasca okrenute prema pacijentima. Svaki od ovih doveo je do javne nagodbe ili plana korektivnih mjera u provedbenom prozoru nakon 2022.

Zaključak

HIPAA u 2026. više nije back-office regulatorni okvir koji marketinški tim može zanemariti. OCR bilten, javne nagodbe i sazrela linija provedbe protiv korištenja piksela na autenticiranim stranicama učinili su mrežno praćenje pitanjem na razini uprave za svaki pokriveni subjekt s digitalnim otiskom. Stav usklađenosti nije nemoguć — to je CMP koji zna klasu stranice, skup dobavljača koji poštuje granicu BAA-a, sloj pristanka koji upravlja nadslojima državnog prava i dokumentirana arhitektura koju istraživač OCR-a može pročitati za sat vremena i otići uvjeren. Izdavači koji ulažu u tu arhitekturu u 2026. čuvaju svoje digitalne kanale otvorenim i svoju publiku profitabilnom; izdavači koji nastavljaju tretirati zdravstvene stranice kao stranice e-commercea provest će sljedeće dvije godine u izradi nagodbi s federalnom vladom.