Wat HIPAA Werkelijk Zegt over Tracking

HIPAA zelf noemt geen cookies, pixels of webtracking — de wet werd in 1996 geschreven en gewijzigd via de HITECH Act in 2009. De relevante regels voor online tracking komen uit twee bronnen: de definitie van PHI in de Privacyregel en de vereisten van de Beveiligingsregel voor het beveiligen van elektronische PHI (ePHI). Samen stellen ze dat alle individueel identificeerbare gezondheidsinformatie die wordt bijgehouden door een gedekte entiteit of zakelijke partner beschermd moet worden, en dat openbaarmaking aan derden zonder toestemming of een Zakelijke Partnerovereenkomst een ongeoorloofd gebruik is.

Het OCR Trackingtechnologiebulletin

Het cruciale regelgevende document voor uitgevers is het OCR-bulletin getiteld Gebruik van Online Trackingtechnologieën door HIPAA-gedekte Entiteiten en Zakelijke Partners. De oorspronkelijke versie van december 2022 nam een agressief standpunt in — dat elk IP-adres dat op een webpagina werd verzameld potentieel PHI was als de pagina betrekking had op een specifieke gezondheidsaandoening. Na een federale rechterlijke uitspraak in 2024 die delen van het bulletin nietig verklaarde omdat ze de bevoegdheid van het OCR overschreden, herzag het OCR het document om een scherpere lijn te trekken tussen niet-geverifieerde marketingpagina's en geverifieerde patiëntportaalpagina's. De herziening van 2024 is de geldende tekst in 2026, en het is het document dat de juridische teams van uitgevers op een tweede monitor open moeten houden tijdens het configureren van de CMP.

Wat Telt als PHI in een Trackingcontext

Het OCR behandelt de combinatie van een identifier (IP-adres, apparaat-ID, browser-fingerprint, gehashed e-mailadres) met informatie over de gezondheid van een specifiek individu (een zoekopdracht naar een aandoening, een klik op een behandelingspagina, een formulierindiening met symptomen) als PHI wanneer de combinatie betrekking heeft op een bekende patiënt of een persoon die kan worden geïdentificeerd. De identifier alleen is geen PHI; de gezondheidsinformatie alleen is geen PHI; de combinatie is dat wel. Dit is de analytische stap die uitgevers overrompelt, omdat de standaard ad-tech-pixel is ontworpen om precies die combinatie door te sturen naar een derde partij voor meet- en personalisatiedoeleinden.

Het Onderscheid tussen Geverifieerde en Niet-geverifieerde Pagina's

Het allerbelangrijkste concept in het OCR-bulletin is de grens tussen een geverifieerde pagina — een pagina die een gebruiker bereikt door in te loggen op een patiëntportaal, een EHR-gekoppeld afsprakensysteem, een factureringsconsole — en een niet-geverifieerde pagina — de openbare marketingpagina's, de informatieartikelen over aandoeningen, de zoekfunctie voor het vinden van een arts. De naleving van de posture verschilt sterk tussen de twee.

Geverifieerde Pagina's

Geverifieerde pagina's zijn het hoogrisico-oppervlak. Zodra een gebruiker is ingelogd, weet de gedekte entiteit wie ze zijn, en elke trackingtechnologie die op die pagina's wordt gebruikt, legt potentieel PHI bloot aan elke leverancier die het verzoek ontvangt. Pixels van derden, marketingpixels en elke analyticstag die buiten een Zakelijke Partnerovereenkomst opereert, mogen helemaal niet draaien op geverifieerde pagina's. Het OCR-standpunt hierover is ondubbelzinnig en de schikkingen van zaken zijn substantieel geweest.

Niet-geverifieerde Pagina's

Niet-geverifieerde pagina's zijn genuanceerder. De OCR-herziening van 2024 erkende dat niet elk bezoek aan een openbare marketingpagina PHI oplevert — een gebruiker die een algemeen artikel over diabetes leest, onthult niet noodzakelijkerwijs dat ze diabetes hebben. Maar de grens verschuift wanneer de pagina een identifier combineert met een duidelijke gezondheidscontext: een symptomenchecker die vrije-tekstinvoer accepteert en een pixel afvuurt met de bijgevoegde invoer, een aandoening-specifieke landingspagina die de URL gebruikt als trackingparameter, een hulpmiddel voor het vinden van een specialist dat de specialiteit en postcode doorgeeft aan een analyticsleverancier. Die stromen veranderen een niet-geverifieerde pagina in een PHI-oppervlak.

De Praktische Test

De praktische test die uitgevers in 2026 uitvoeren, is de redelijke verwachtingstest. Zou een redelijk persoon die deze pagina bezoekt verwachten dat zijn bezoek een specifieke gezondheidszorg aangeeft? Als dat zo is, wordt de pagina behandeld als PHI-dragende voor trackingdoeleinden, ongeacht de verificatiestatus. De test is conservatief van opzet — op de permissieve kant een fout maken levert handhavingsrisico op, terwijl op de restrictieve kant een fout maken alleen verloren advertentie-inkomsten oplevert.

Zakelijke Partnerovereenkomsten en de Leveranciersstapel

HIPAA staat een gedekte entiteit toe PHI te delen met een leverancier alleen wanneer de leverancier een Zakelijke Partnerovereenkomst (BAA) heeft getekend die hen bindt aan HIPAA-equivalente beschermingen. Onder de grote ad-tech- en analyticsleveranciers is het BAA-verhaal ongelijk en consequent.

Leveranciers Die BAA's Ondertekenen

Google biedt een HIPAA BAA voor Google Workspace, Google Cloud Platform en een beperkte subset van Google Analytics 4-implementaties onder specifieke configuraties. Microsoft ondertekent BAA's voor Azure en een beperkte Microsoft Clarity-instelling. Een handvol gezondheidsgezinde analyticplatforms — Freshpaint, Heap met HIPAA-add-on, de gezondheidszorgconfiguratie van FullStory — ondertekenen BAA's. Dit zijn de leveranciers die een HIPAA-gedekte uitgever kan gebruiken op geverifieerde of PHI-dragende oppervlakken.

Leveranciers Die Geen BAA's Ondertekenen

Meta ondertekent geen BAA's voor Meta Pixel of Conversions API in welke standaardconfiguratie dan ook. TikTok ondertekent geen BAA's voor TikTok Pixel. De meeste programmatische SSP's en DSP's ondertekenen geen BAA's. Standaard Google Analytics, standaard Google Tag Manager-sjablonen en de standaard Google Ads-conversietags vallen niet onder de BAA van Google. Het uitvoeren van een van deze op een PHI-draagend oppervlak is een HIPAA-overtreding, ongeacht de configuratie van de toestemmingsbanner — toestemming vervangt een BAA niet wanneer PHI betrokken is.

De Toestemming-Plus-BAA-stapel

Het conforme patroon voor de marketingpagina's van een gezondheidsuitgever is de toestemming-plus-BAA-stapel. De niet-geverifieerde marketingpagina's draaien een CMP met toestemmingspoorten voor niet-essentiële tracking, de analyticlaag is geconfigureerd onder een BAA met een HIPAA-bewuste leverancier, en de marketingpixellaag draait ofwel alleen op pagina's die de redelijke verwachtingstest doorstaan of wordt gerouteerd via een server-side conversie-API die identificerende informatie verwijdert voordat deze wordt doorgestuurd naar niet-BAA-leveranciers.

De CMP-architectuur voor Gezondheidsuitgevers

De CMP voor een HIPAA-gedekte uitgever doet meer dan alleen toestemming verzamelen. Het handhaaft het pagina-klassonderscheid, beheert leveranciers op BAA-status en produceert een auditlogboek dat voldoet aan zowel de documentatievereisten van de Beveiligingsregel van HIPAA als aan elk staatsprivacyrecht dat van toepassing is.

Detectie van Paginaklasse

De CMP moet weten op welke paginaklasse het wordt weergegeven. Het schoonste patroon is een door CSP geïnjecteerde JavaScript-variabele — ingesteld door de server op basis van URL-patroon, verificatiestatus en inhoudstype-metadata — die de CMP leest bij initialisatie. De variabele produceert een tri-state: publiek-laag-risico (geen gezondheidscontext), publiek-PHI-dragend (gezondheidscontext, geen verificatie) of geverifieerd. De leverancierslijst van de CMP en de standaardwaarden voor toestemming verschuiven over de drie staten.

Leveranciersbeheersing op BAA-status

Elke leverancier in de leverancierslijst van de CMP moet worden gelabeld met zijn BAA-status en de voorwaarden waaronder de BAA van toepassing is. Een leverancier zonder BAA is hard geblokkeerd op PHI-dragende en geverifieerde oppervlakken, ongeacht de toestemmingsstatus. Een leverancier met een voorwaardelijke BAA — een die specifieke configuratiekeuzes vereist — is alleen toegestaan wanneer die voorwaarden zijn bevestigd. Het auditlogboek registreert elke leveranciersbeslissing met de paginaklasse, de toestemmingsstatus en de BAA-beslissing, en produceert een verdedigbaar dossier voor een regelgeversonderzoek.

De Staatsrechtlaag

HIPAA is een federale vloer; de staatswetten — de CMIA van Californië, de My Health My Data Act van Washington en de consumentengezondheidsbepalingen in Connecticut en Nevada — bevinden zich bovenop met strengere vereisten in hun specifieke reikwijdten. De CMP-architectuur moet HIPAA als basislijn behandelen en de strengste toepasselijke staatsregel bovenop leggen wanneer het geografische signaal van een gebruiker een staat aangeeft met een sterker consumentengezondheidsregime.

Veelgemaakte HIPAA-trackingfouten Die Schikkingen Veroorzaken

De HIPAA-trackinghandhavingsacties van 2024 en 2025 hebben een duidelijke lijst van patronen opgeleverd die leiden tot OCR-onderzoeken. Meta Pixel dat wordt afgevuurd op patiëntportalen omdat iemand het heeft toegevoegd voor marketinganalytics zonder overleg met compliance. Google Analytics dat draait op een symptomenchecker met het symptoom doorgegeven als een aangepaste dimensie. Een pagina voor het vinden van een arts die de specialiteit doorgeeft als URL-parameter die de analyticstag vastlegt en doorstuurt. Een telehealthonboarding-stroom met TikTok Pixel geïnstalleerd voor betaalde acquisitie en niet verwijderd toen de gebruiker het geverifieerde portaal binnenging. Een A/B-test van een marketingteam dat een heatmap-recorder op elke pagina activeerde inclusief de patiëntgerichte formulieren. Elk van deze heeft geleid tot een openbare schikking of een corrigerende actieplan in het handhavingsvenster na 2022.

De Conclusie

HIPAA is in 2026 niet langer een backoffice-nalevingsregime dat het marketingteam kan negeren. Het OCR-bulletin, de openbare schikkingen en de volwassenworden handhavingslijn tegen pixelgebruik op geverifieerde pagina's hebben online tracking tot een boardroom-kwestie gemaakt voor elke gedekte entiteit met een digitale voetafdruk. De naleving is niet onmogelijk — het is een CMP die de paginaklasse kent, een leveranciersstapel die de BAA-grens respecteert, een toestemmingslaag die de staatswetoverlay beheert, en een gedocumenteerde architectuur die een OCR-onderzoeker in een uur kan lezen en overtuigd kan weglopen. De uitgevers die in 2026 in die architectuur investeren, houden hun digitale kanalen open en hun doelgroepen monetiseerbaar; de uitgevers die gezondheidswebpagina's blijven behandelen als e-commercepagina's, brengen de volgende twee jaar door met het opstellen van schikkingsovereenkomsten met de federale overheid.