医疗保健组织处理大量有关人们健康的敏感信息。需要小心处理。在美国,《健康保险流通与责任法案》(HIPAA)规定了在不同情况下(包括营销)使用此类数据的安全参数。不幸的是,许多公司仍然不了解法律的规定以及违反其规则的潜在后果。最近围绕知名医疗机构患者门户网站内使用 Facebook 像素的丑闻就是一个可悲的证明。在本文中,我们将解释哪些营销行为根据 HIPAA 是非法的以及原因。我们还介绍了一些您可以采取的实用措施,以使您的重定向活动符合 HIPAA 标准。最后,我们为您提供了更多隐私友好的重定向替代方案,这些替代方案可以帮助您在不侵犯患者隐私的情况下开展有效的营销和参与活动。
的 6 个月免费试用版
使用与 ePHI 配合使用、具有用户友好界 法国电报数据 面并与您最喜欢的工具集成的安全分析平台,简化您团队的 HIPAA 合规性。
报名
医疗保健提供者继续滥用患者数据
最近针对加州大学旧金山分校医学中心和尊严健康医 营销和广告 学基金会提起的诉讼在医疗保健界引起了轰动。根据诉讼,医疗保健提供商从患者门户网站收集敏感健康信息,并将其用于在 Facebook 上重新定位广告,在未经患者同意的情况下将数据传输到 Facebook。
医疗保健数据泄露虽然令人担忧,但既不新鲜也不罕见。截至 2023 年 7 月,医疗保健组织向 HHS 民权办公室报告了 330 起敏感健康信息泄露事件,影响了 4140 万个人,而 2022 年全年受影响人数为 5200 万人。许多违规行为涉及网络攻击和赎金要求,但有些涉及通过社交媒体公司使用的跟踪技术(称为像素)无意中泄露私人健康数据。去年,The Markup发现美国前 100 家医院中有 33 家在其网站上使用了 Facebook 像素。其中七家在登录墙后面的患者门户网站上使用了跟踪代码。
有关使用追踪技术的新指南
显然,许多医疗保健公司仍然不了解 HIPAA 的规定以及遵守这些规定的方法。导致 HIPAA 违规行为增加的因素之一是HHS于 2022 年 12 月发布的公告,该公告对医疗保健公司使用第三方 cookie、像素和其他跟踪技术提供了严格指导。该公告 每个渠道提供的营销 扩大了受保护的健康信息 (PHI)的定义。值得注意的是,它指出,即使在无需用户登录即可访问的网站和移动应用程序上使用跟踪技术,也可能使医疗保健公司面临隐私侵犯的风险。
今年早些时候许多医疗保健组
织提交了违规报告,承认他们违反了 HHS 12 月的指导。远程医疗提供商Cerebral向 HHS 提交了一份数据泄 营销和广告 露通知,承认在没有足够 HIPAA 保护措施的情况下向其他方披露了 PII。2023 年 7 月,FTC 和 HHS向大约 130 家医院系统和远程医疗提供商发送了一封联合信,提醒他们注意网站和应用程序上的跟踪技术的风险,这些技术可能会向第三方非法披露消费者的敏感个人健康数据。
2023 年 11 月,美国医院协会 (AHA)就 HHS的跟踪技术指南对其提起诉讼
。AHA 质疑 OCR 对 HIPAA 的解释,尤其是其对 PHI 的过度宽泛概念。AHA 表示,通过限制网站上的跟踪技术,分析平台等基本网站工具 比特币数据库 将不再出现在医院网站上。AHA的诉讼得到了 17 个州立医院协会和 30 家医院和卫生系统的支持。作为对诉讼的回应,HHS 于 2024 年 3 月 18 日更新了其指南,AHA 称这些修改是“表面文章”。2024 年 6 月,一名法官裁定支持 AHA,宣布 OCR 在发布指南时超越了其权限。8 月 29 日,OCR 决定不对地区法院的裁决提出上诉。
法院裁决和 HHS 不
上诉的决定并不意味着在分析工具背景下保护 PHI 的问题已经一劳永逸地解决了。该裁决是针对一个具体案件做出的,表明 IP 地址与未经身份验证的网页的访问数据相结合并不构成 PHI。但是,该裁决并没有撤销指南的其他部分,例如与患者门户等经过身份验证的页面相关的部分。虽然法院的判决可以作为以后对可能违反 HIPAA 行为作出裁决的基准,但 PHI 保护的复杂性和所涉及背景的多样性要求特别谨慎。
医疗机构收集和使用 PHI 的基本问题保持不变。HIPAA 允许使用分析平台等跟踪技术,但这些仍需进一步解释。虽然 PHI 和 ePHI 的定义已 营销和广告 经很明确,但现代 IT 系统的广泛使用和互操作性使得 PHI 很容易无意中泄露到您的网站或应用程序中。因此,明智的做法是谨慎行事,而不是依赖维持现状的灰色地带 PHI 解释。
为了保护患者隐私并降低巨额
罚款和失去信任的风险,组织必须对其收集并与分析供应商共享的数据保持警惕。值得注意的是,最大的网络分析提供商 Adobe 和 Google 并未改变其最受欢迎的产品Adobe Analytics和Google Analytics 4 的使用指南。医疗机构不应使用这些产品。相反,他们应该寻找优先考虑数据隐私和安全的替代解决方案。他们的重点可能会转向明确支持 HIPAA 合规性并为处理敏感健康信息提供适当保障的分析平台,例如签署业务伙伴协议 (BAA)。