HIPAA Takip Konusunda Gerçekte Ne Söylüyor?

HIPAA'nın kendisi çerezlerden, piksellerden veya web takibinden bahsetmez — yasa 1996 yılında yazılmış ve 2009'da HITECH Yasası aracılığıyla değiştirilmiştir. Çevrimiçi takibe ilişkin ilgili kurallar iki kaynaktan gelir: Gizlilik Kuralı'nın PHI tanımı ve elektronik PHI'yı (ePHI) korumaya yönelik Güvenlik Kuralı gereklilikleri. Birlikte şunu söylerler: kapsanan bir kuruluş veya iş ortağı tarafından tutulan bireysel olarak tanımlanabilir her türlü sağlık bilgisi korunmalıdır ve bir İş Ortağı Anlaşması olmaksızın yetkisiz olarak üçüncü taraflara ifşa edilmesi izin verilemeyen bir kullanımdır.

OCR Takip Teknolojisi Bülteni

Yayıncılar için kilit düzenleyici belge, HIPAA Kapsam Dahilindeki Kuruluşlar ve İş Ortakları Tarafından Çevrimiçi Takip Teknolojilerinin Kullanımı başlıklı OCR bültenidir. Aralık 2022 tarihli orijinal versiyon, saldırgan bir tutum benimsedi — sayfanın belirli bir sağlık durumuyla ilgili olması halinde bir web sayfasında toplanan herhangi bir IP adresinin potansiyel olarak PHI olabileceğini. OCR'nin yetkisini aştığı gerekçesiyle bültenin bazı bölümlerini iptal eden 2024 tarihli federal mahkeme kararının ardından OCR, belgeyi kimliği doğrulanmamış pazarlama sayfaları ile kimliği doğrulanmış hasta portal sayfaları arasında daha keskin bir çizgi çizecek şekilde revize etti. 2024 revizyonu, 2026'daki kontrol metnini oluşturmakta olup yayıncıların hukuk ekiplerinin CMP'yi yapılandırırken ikinci bir monitörde açık tutması gereken belgedir.

Takip Bağlamında PHI Neyi Kapsar?

OCR, bir tanımlayıcının (IP adresi, cihaz ID'si, tarayıcı parmak izi, hash'lenmiş e-posta) belirli bir kişinin sağlığına ilişkin bilgilerle (bir durum için arama, bir tedavi sayfasına tıklama, semptomlar içeren form gönderimi) kombinasyonunu, kombinasyon bilinen bir hasta veya tanımlanabilir bir kişiyle ilgili olduğunda PHI olarak değerlendirmektedir. Tanımlayıcı tek başına PHI değildir; sağlık bilgisi tek başına PHI değildir; kombinasyon PHI'dır. Standart reklam teknolojisi pikseli tam olarak bu kombinasyonu ölçüm ve kişiselleştirme amacıyla üçüncü bir tarafa iletmek üzere tasarlandığından, yayıncıları gafil avlayan analitik hamle budur.

Kimliği Doğrulanmış ve Kimliği Doğrulanmamış Sayfa Ayrımı

OCR bültenindeki tek en önemli kavram, bir kimliği doğrulanmış sayfa — kullanıcının hasta portalına, EHR bağlantılı randevu sistemine veya fatura konsoluna giriş yaparak ulaştığı sayfa — ile kimliği doğrulanmamış sayfa — genel pazarlama sayfaları, durum bilgisi makaleleri, doktor bulma araması — arasındaki çizgidir. Uyum tutumu ikisi arasında keskin biçimde farklılaşır.

Kimliği Doğrulanmış Sayfalar

Kimliği doğrulanmış sayfalar yüksek riskli yüzeydir. Kullanıcı giriş yaptıktan sonra kapsanan kuruluş kimliğini bilmekte ve bu sayfalarda etkinleşen her türlü takip teknolojisi isteği alan satıcıya PHI ifşa etme potansiyeli taşımaktadır. Üçüncü taraf pikseller, pazarlama pikselleri ve İş Ortağı Anlaşması kapsamı dışında çalışan her türlü analitik etiket kimliği doğrulanmış sayfalarda hiçbir şekilde çalışmamalıdır. OCR'nin buradaki tutumu açık ve nettir, dava uzlaşmaları ciddi boyutlara ulaşmıştır.

Kimliği Doğrulanmamış Sayfalar

Kimliği doğrulanmamış sayfalar daha nüanslıdır. 2024 OCR revizyonu, genel bir halk pazarlama sayfasını her ziyaretin PHI üretmediğini kabul etti — diyabet hakkında genel bir makale okuyan bir kullanıcı diyabetli olduğunu açıklamak zorunda değildir. Ancak sayfa bir tanımlayıcıyı açık bir sağlık bağlamıyla birleştirdiğinde sınır kayar: girişi eklenmiş bir piksel ateşleyen ve serbest metin alan bir semptom denetleyicisi, URL'yi takip parametresi olarak kullanan duruma özgü bir açılış sayfası, uzmanlık alanını ve posta kodunu bir analitik satıcısına aktaran bir uzman bulma aracı. Bu akışlar kimliği doğrulanmamış sayfayı bir PHI yüzeyine dönüştürür.

Pratik Test

Yayıncıların 2026'da uyguladığı pratik test makul beklenti testidir. Bu sayfayı ziyaret eden makul bir kişi, ziyaretinin belirli bir sağlık kaygısına işaret ettiğini bekler miydi? Evet ise, sayfa kimlik doğrulama durumundan bağımsız olarak takip amaçlı PHI taşıyan olarak değerlendirilir. Test tasarım gereği muhafazakardır — izin verici tarafta hata yapmak uygulama riski yaratırken, kısıtlayıcı tarafta hata yapmak yalnızca reklam geliri kaybı doğurur.

İş Ortağı Anlaşmaları ve Satıcı Yığını

HIPAA, kapsanan bir kuruluşun PHI'yı bir satıcıyla paylaşmasına yalnızca satıcı HIPAA eşdeğeri korumalar taahhüt eden bir İş Ortağı Anlaşması (BAA) imzaladığında izin verir. Büyük reklam teknolojisi ve analitik satıcıları arasında BAA durumu dengesiz ve sonuçları önemlidir.

BAA İmzalayan Satıcılar

Google; Google Workspace, Google Cloud Platform ve belirli konfigürasyonlar altındaki sınırlı sayıda GA4 dağıtımı için HIPAA BAA sunmaktadır. Microsoft, Azure ve sınırlı bir Microsoft Clarity kurulumu için BAA imzalamaktadır. Az sayıda sağlık alanında uzmanlaşmış analitik platform — Freshpaint, HIPAA eklentili Heap, FullStory'nin sağlık konfigürasyonu — BAA imzalamaktadır. HIPAA kapsamındaki yayıncıların kimliği doğrulanmış veya PHI taşıyan yüzeylerde kullanabileceği satıcılar bunlardır.

BAA İmzalamayan Satıcılar

Meta, standart hiçbir konfigürasyonda Meta Pixel veya Conversions API için BAA imzalamamaktadır. TikTok, TikTok Pixel için BAA imzalamamaktadır. Programatik SSP'lerin ve DSP'lerin büyük çoğunluğu BAA imzalamamaktadır. Standart Google Analytics, standart Google Tag Manager şablonları ve varsayılan Google Ads dönüşüm etiketleri Google'ın BAA'sı kapsamında değildir. Bunlardan herhangi birini PHI taşıyan bir yüzeyde çalıştırmak, onay banner konfigürasyonundan bağımsız olarak bir HIPAA ihlalidir — PHI söz konusu olduğunda onay, BAA'nın yerini tutmaz.

Onay-Artı-BAA Yığını

Bir sağlık yayıncısının pazarlama sayfaları için uyumlu kalıp onay-artı-BAA yığınıdır. Kimliği doğrulanmamış pazarlama sayfaları, zorunlu olmayan her takip için onay kapılı bir CMP çalıştırır; analitik katmanı HIPAA'ya duyarlı bir satıcıyla imzalanan BAA kapsamında yapılandırılır; pazarlama piksel katmanı ya yalnızca makul beklenti testini geçen sayfalarda çalışır ya da tanımlayıcı bilgileri BAA'sız satıcılara iletmeden önce temizleyen bir sunucu taraflı dönüşüm API'si üzerinden yönlendirilir.

Sağlık Yayıncıları için CMP Mimarisi

HIPAA kapsamındaki bir yayıncı için CMP, yalnızca onay toplamaktan fazlasını yapar. Sayfa sınıfı ayrımını uygular, satıcıları BAA durumuna göre filtreler ve hem HIPAA'nın Güvenlik Kuralı belgelendirme gerekliliklerini hem de üstte geçerli olan eyalet gizlilik yasalarını karşılayan bir denetim günlüğü oluşturur.

Sayfa Sınıfı Tespiti

CMP, hangi sayfa sınıfında oluşturulduğunu bilmek zorundadır. En temiz kalıp, URL kalıbına, kimlik doğrulama durumuna ve içerik türü meta verilerine göre sunucu tarafından belirlenen ve CMP'nin başlatma sırasında okuduğu CSP ile enjekte edilmiş bir JavaScript değişkenidir. Değişken üç durum üretir: genel-düşük-riskli (sağlık bağlamı yok), genel-PHI-taşıyan (sağlık bağlamı var, kimlik doğrulama yok) veya kimliği doğrulanmış. CMP'nin satıcı listesi ve onay varsayılanları üç durum arasında değişir.

BAA Durumuna Göre Satıcı Filtreleme

CMP'nin satıcı listesindeki her satıcı, BAA durumu ve BAA'nın uygulandığı koşullarla etiketlenmelidir. BAA'sı olmayan bir satıcı, onay durumundan bağımsız olarak PHI taşıyan ve kimliği doğrulanmış yüzeylerde sert biçimde engellenir. Koşullu BAA'ya sahip bir satıcı — belirli konfigürasyon seçimlerini gerektiren — yalnızca bu koşullar doğrulandığında izin verilir. Denetim günlüğü, sayfa sınıfı, onay durumu ve BAA kararıyla birlikte her satıcı kararını kaydederek bir düzenleyici soruşturma için savunulabilir bir kayıt üretir.

Eyalet Yasaları Katmanı

HIPAA federal bir tabandır; eyalet yasaları — California'nın CMIA'sı, Washington'ın My Health My Data Yasası ve Connecticut ile Nevada'daki tüketici sağlığı gizlilik hükümleri — kendi özel kapsamlarında daha katı gerekliliklerle üstte yer alır. CMP mimarisi, HIPAA'yı taban çizgisi olarak ele almalı ve bir kullanıcının coğrafi sinyali daha güçlü bir tüketici sağlığı rejimine sahip bir eyaleti gösterdiğinde geçerli olan en katı eyalet kuralını üste eklemelidir.

Uzlaşmalara Yol Açan Yaygın HIPAA Takip Hataları

2024 ve 2025 boyunca gerçekleşen HIPAA takip uygulama eylemleri, OCR soruşturmalarına yol açan kalıpların net bir listesini ortaya koymuştur. Uyum departmanına danışılmadan biri pazarlama analitiği için eklediği için hasta portallarında etkinleşen Meta Pixel. Semptomun özel boyut olarak aktarıldığı bir semptom denetleyici aracında çalışan Google Analytics. Analitik etiketin yakalayıp ilettiği URL parametresi olarak uzmanlığı geçiren bir doktor bulma sayfası. Ücretli müşteri edinimi için yüklenen ve kullanıcı kimliği doğrulanmış portala geçerken kaldırılmayan TikTok Pixel ile kurulmuş bir telehealth alım akışı. Hasta odaklı formlar dahil her sayfada ısı haritası kaydedici çalıştıran bir pazarlama ekibinin A/B testi. Bunların her biri, 2022 sonrası uygulama penceresinde kamuya açık bir uzlaşma veya düzeltici eylem planı üretmiştir.

Sonuç

2026'da HIPAA, pazarlama ekibinin görmezden gelebileceği bir back-office uyum rejimi olmaktan çıkmıştır. OCR bülteni, kamuya açık uzlaşmalar ve kimliği doğrulanmış sayfalarda piksel kullanımına karşı olgunlaşan uygulama çizgisi, çevrimiçi takibi dijital ayak izi olan her kapsanan kuruluş için yönetim kurulu düzeyinde bir soruya dönüştürmüştür. Uyum tutumu imkânsız değildir — sayfa sınıfını bilen bir CMP, BAA sınırına saygı gösteren bir satıcı yığını, eyalet yasası katmanını yöneten bir onay katmanı ve bir OCR soruşturmacısının bir saatte okuyup ikna olarak ayrılabileceği belgelenmiş bir mimariden ibarettir. 2026'da bu mimariye yatırım yapan yayıncılar dijital kanallarını açık ve kitlelerini monetize edilebilir tutarken, sağlık sayfalarına e-ticaret sayfası gibi davranmaya devam edenler önümüzdeki iki yılı federal hükümetle uzlaşma anlaşmaları hazırlayarak geçirecektir.