Co HIPAA Faktycznie Mówi o Śledzeniu

Sam HIPAA nie wspomina o plikach cookie, pikselach ani śledzeniu stron internetowych — ustawa została napisana w 1996 r. i znowelizowana przez ustawę HITECH w 2009 r. Odpowiednie zasady dotyczące śledzenia online pochodzą z dwóch miejsc: definicji PHI w Zasadzie Prywatności oraz wymagań Zasady Bezpieczeństwa dotyczących ochrony elektronicznych PHI (ePHI). Łącznie stanowią, że wszelkie indywidualnie identyfikowalne informacje zdrowotne posiadane przez podmiot objęty ubezpieczeniem lub partnera biznesowego muszą być chronione, oraz że ujawnienie podmiotom trzecim bez zezwolenia lub Umowy Partnera Biznesowego stanowi niedopuszczalne użycie.

Biuletyn OCR dotyczący Technologii Śledzenia

Kluczowym dokumentem regulacyjnym dla wydawców jest biuletyn OCR zatytułowany Korzystanie z Technologii Śledzenia Online przez Podmioty Objęte HIPAA i Partnerów Biznesowych. Oryginalna wersja z grudnia 2022 r. przyjęła agresywne stanowisko — że każdy adres IP zebrany na stronie internetowej był potencjalnie PHI, jeśli strona dotyczyła konkretnego stanu zdrowia. Po orzeczeniu federalnego sądu w 2024 r., które uchyliło części biuletynu jako przekraczające uprawnienia OCR, OCR zrewidowało dokument, aby wytyczyć wyraźniejszą granicę między nieuwierzytelnionymi stronami marketingowymi a uwierzytelnionymi stronami portali dla pacjentów. Nowelizacja z 2024 r. jest tekstem obowiązującym w 2026 r. i to dokument, który zespoły prawne wydawców powinny trzymać otwartym na drugim monitorze podczas konfigurowania CMP.

Co Liczy się jako PHI w Kontekście Śledzenia

OCR traktuje kombinację identyfikatora (adres IP, identyfikator urządzenia, odcisk palca przeglądarki, zahaszowany adres e-mail) z informacjami o stanie zdrowia konkretnej osoby (wyszukiwanie choroby, kliknięcie strony leczenia, przesłanie formularza z objawami) jako PHI, gdy kombinacja dotyczy znanych pacjentów lub osoby możliwej do zidentyfikowania. Sam identyfikator nie jest PHI; same informacje zdrowotne nie są PHI; kombinacja jest. To jest ten analityczny krok, który zaskakuje wydawców, ponieważ standardowy piksel ad-tech jest zaprojektowany do przesyłania dokładnie tej kombinacji do strony trzeciej w celach pomiarowych i personalizacyjnych.

Rozróżnienie Między Stronami Uwierzytelnionymi a Nieuwierzytelnionymi

Najważniejszą koncepcją w biuletynie OCR jest granica między stroną uwierzytelnioną — do której użytkownik dociera logując się do portalu dla pacjentów, systemu umawiania wizyt połączonego z EHR, konsoli rozliczeniowej — a stroną nieuwierzytelnioną — publicznymi stronami marketingowymi, artykułami informacyjnymi o chorobach, wyszukiwarką lekarzy. Pozycja zgodności różni się znacznie między nimi.

Strony Uwierzytelnione

Strony uwierzytelnione są powierzchnią wysokiego ryzyka. Gdy użytkownik się zaloguje, podmiot objęty ubezpieczeniem wie, kim jest, a każda technologia śledzenia działająca na tych stronach potencjalnie ujawnia PHI każdemu dostawcy otrzymującemu żądanie. Piksele stron trzecich, piksele marketingowe i wszelkie tagi analityczne działające poza Umową Partnera Biznesowego nie powinny w ogóle działać na stronach uwierzytelnionych. Stanowisko OCR w tej kwestii jest jednoznaczne, a ugody w sprawach były znaczne.

Strony Nieuwierzytelnione

Strony nieuwierzytelnione są bardziej zniuansowane. Nowelizacja OCR z 2024 r. przyznała, że nie każda wizyta na publicznej stronie marketingowej generuje PHI — użytkownik czytający ogólny artykuł o cukrzycy niekoniecznie ujawnia, że na nią choruje. Ale granica przesuwa się, gdy strona łączy identyfikator z wyraźnym kontekstem zdrowotnym: kontroler objawów przyjmujący dane wejściowe w postaci dowolnego tekstu i wywołujący piksel z dołączonym wejściem, strona docelowa dotycząca konkretnej choroby używająca URL jako parametru śledzenia, narzędzie do wyszukiwania specjalistów przekazujące specjalizację i kod pocztowy do dostawcy analityki. Te przepływy zamieniają nieuwierzytelnioną stronę w powierzchnię PHI.

Praktyczny Test

Praktycznym testem, który wydawcy stosują w 2026 r., jest test uzasadnionych oczekiwań. Czy rozsądna osoba odwiedzająca tę stronę oczekiwałaby, że jej wizyta wskazuje na konkretny problem zdrowotny? Jeśli tak, strona jest traktowana jako zawierająca PHI dla celów śledzenia, niezależnie od stanu uwierzytelnienia. Test jest z założenia konserwatywny — popełnienie błędu po stronie liberalnej generuje ryzyko egzekwowania przepisów, podczas gdy błąd po stronie restrykcyjnej generuje jedynie utracone przychody z reklam.

Umowy Partnerów Biznesowych i Stos Dostawców

HIPAA zezwala podmiotowi objętemu ubezpieczeniem na udostępnianie PHI dostawcy tylko wtedy, gdy dostawca podpisał Umowę Partnera Biznesowego (BAA) zobowiązującą go do ochrony równoważnej HIPAA. Wśród głównych dostawców ad-tech i analityki historia BAA jest nierówna i mająca konsekwencje.

Dostawcy Podpisujący BAA

Google oferuje BAA zgodne z HIPAA dla Google Workspace, Google Cloud Platform i ograniczonego podzbioru wdrożeń Google Analytics 4 w określonych konfiguracjach. Microsoft podpisuje BAA dla Azure i ograniczonej konfiguracji Microsoft Clarity. Garść wyspecjalizowanych platform analitycznych dla ochrony zdrowia — Freshpaint, Heap z dodatkiem HIPAA, konfiguracja FullStory dla ochrony zdrowia — podpisuje BAA. Są to dostawcy, których wydawca objęty HIPAA może używać na powierzchniach uwierzytelnionych lub zawierających PHI.

Dostawcy Niepodpisujący BAA

Meta nie podpisuje BAA dla Meta Pixel ani Conversions API w żadnej standardowej konfiguracji. TikTok nie podpisuje BAA dla TikTok Pixel. Większość programatycznych SSP i DSP nie podpisuje BAA. Standardowe Google Analytics, standardowe szablony Google Tag Manager i domyślne tagi konwersji Google Ads nie są objęte BAA Google. Uruchamianie któregokolwiek z nich na powierzchni zawierającej PHI stanowi naruszenie HIPAA, niezależnie od konfiguracji baneru zgody — zgoda nie zastępuje BAA, gdy w grę wchodzi PHI.

Stos Zgody Plus BAA

Zgodny wzorzec dla stron marketingowych wydawcy zdrowotnego to stos zgoda plus BAA. Nieuwierzytelnione strony marketingowe uruchamiają CMP z bramkami zgody dla wszelkiego śledzenia niezwiązanego z działaniem usługi, warstwa analityki jest skonfigurowana w ramach BAA z dostawcą świadomym HIPAA, a warstwa pikseli marketingowych albo działa wyłącznie na stronach przechodzących test uzasadnionych oczekiwań, albo jest kierowana przez serwerowe API konwersji, które usuwa informacje identyfikacyjne przed przekazaniem do dostawców bez BAA.

Architektura CMP dla Wydawców Zdrowotnych

CMP dla wydawcy objętego HIPAA robi więcej niż tylko zbiera zgody. Egzekwuje rozróżnienie klas stron, bramkuje dostawców według statusu BAA i generuje dziennik audytu spełniający zarówno wymagania dokumentacyjne Zasady Bezpieczeństwa HIPAA, jak i wszelkie stanowe prawo prywatności mające zastosowanie powyżej.

Wykrywanie Klasy Strony

CMP musi wiedzieć, na jakiej klasie strony jest renderowany. Najczystszym wzorcem jest zmienna JavaScript wstrzyknięta przez CSP — ustawiana przez serwer na podstawie wzorca URL, stanu uwierzytelnienia i metadanych typu treści — którą CMP odczytuje podczas inicjalizacji. Zmienna generuje trzy stany: publiczny-niskiego-ryzyka (brak kontekstu zdrowotnego), publiczny-zawierający-PHI (kontekst zdrowotny, brak uwierzytelnienia) lub uwierzytelniony. Lista dostawców CMP i domyślne ustawienia zgody zmieniają się w zależności od trzech stanów.

Bramkowanie Dostawców według Statusu BAA

Każdy dostawca na liście dostawców CMP musi być otagowany swoim statusem BAA i warunkami, w których BAA ma zastosowanie. Dostawca bez BAA jest bezwzględnie zablokowany na powierzchniach zawierających PHI i uwierzytelnionych, niezależnie od stanu zgody. Dostawca z warunkowym BAA — wymagającym określonych wyborów konfiguracyjnych — jest dozwolony tylko po potwierdzeniu spełnienia tych warunków. Dziennik audytu rejestruje każdą decyzję dotyczącą dostawcy wraz z klasą strony, stanem zgody i decyzją BAA, tworząc możliwy do obrony rekord dla dochodzenia regulacyjnego.

Warstwa Prawa Stanowego

HIPAA jest federalnym minimum; prawa stanowe — CMIA Kalifornii, ustawa My Health My Data stanu Waszyngton oraz przepisy dotyczące prywatności zdrowia konsumentów w Connecticut i Nevadzie — leżą powyżej z bardziej rygorystycznymi wymaganiami w swoich konkretnych zakresach. Architektura CMP powinna traktować HIPAA jako punkt wyjścia i nakładać najbardziej rygorystyczną obowiązującą zasadę stanową za każdym razem, gdy geograficzny sygnał użytkownika wskazuje stan z silniejszym reżimem ochrony zdrowia konsumentów.

Typowe Błędy Śledzenia HIPAA Powodujące Ugody

Działania egzekucyjne dotyczące śledzenia HIPAA w latach 2024 i 2025 wygenerowały jasną listę wzorców prowadzących do dochodzeń OCR. Meta Pixel uruchamiany na portalach dla pacjentów, bo ktoś dodał go dla analityki marketingowej bez konsultacji ze specjalistą ds. zgodności. Google Analytics działający na narzędziu sprawdzającym objawy z objawem przekazywanym jako wymiar niestandardowy. Strona wyszukiwarki lekarzy przekazująca specjalizację jako parametr URL, który tag analityczny przechwytuje i przekazuje dalej. Przepływ wdrożenia telemedycyny z zainstalowanym TikTok Pixel do płatnego pozyskiwania, nieusunięty gdy użytkownik przeszedł do uwierzytelnionego portalu. Test A/B zespołu marketingowego uruchamiający rejestrator map cieplnych na każdej stronie, w tym formularzach skierowanych do pacjentów. Każdy z tych przypadków doprowadził do publicznej ugody lub planu działań naprawczych w oknie egzekwowania po 2022 r.

Podsumowanie

HIPAA w 2026 r. nie jest już reżimem zgodności zaplecza, który zespół marketingowy może ignorować. Biuletyn OCR, publiczne ugody i dojrzewająca linia egzekwowania przepisów dotycząca używania pikseli na stronach uwierzytelnionych uczyniły śledzenie online kwestią na poziomie zarządu dla każdego podmiotu objętego ubezpieczeniem z cyfrowym zasięgiem. Pozycja zgodności nie jest niemożliwa — to CMP znające klasę strony, stos dostawców respektujący granicę BAA, warstwa zgody obsługująca nakładkę prawa stanowego i udokumentowana architektura, którą inspektor OCR może przeczytać w godzinę i odejść przekonany. Wydawcy inwestujący w tę architekturę w 2026 r. zachowają otwarte kanały cyfrowe i monetyzowalną publiczność; wydawcy nadal traktujący strony zdrowotne jak strony e-commerce spędzą następne dwa lata na sporządzaniu umów ugodowych z rządem federalnym.