Dieser Leitfaden erklärt HIPAA-Compliance-Checkliste praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Ein praktischer Leitfaden zu HIPAA-Compliance-Checkliste

HIPAA-Compliance geht über Website-Analysen hinaus, aber Analysen gehören heute zu den Bereichen, die Gesundheitsorganisationen nicht ignorieren können. Terminseiten, Patientenportale, Symptomsuchen, Anbieterverzeichnisse und Werbepixel können den Gesundheitskontext offenbaren. Wenn diese Informationen mit einer Person in Verbindung gebracht werden, können sie zu geschützten Gesundheitsinformationen werden.

Wichtiger Vorbehalt für 2024: HHS stellt fest, dass ein Bundesgericht einen Teil des Tracking-Technologie-Bulletins von OCR aufgehoben hat, was die Theorie betrifft, dass eine IP-Adresse plus ein Besuch bestimmter nicht authentifizierter öffentlicher Webseiten automatisch HIPAA-Verpflichtungen auslöst. Das Bulletin ist immer noch wichtig, aber Teams sollten nicht authentifizierte öffentliche Bildungsseiten von Portalen, Terminen, Aufnahme, Zahlung, authentifizierten Seiten und Arbeitsabläufen unterscheiden, die Gesundheitsinformationen offenlegen.

Bei dieser Checkliste handelt es sich nicht um eine Rechtsberatung, sondern sie bietet Gesundheitsteams einen praktischen Überprüfungspfad vor dem Einsatz von Analysen, Pixeln, Chat-Widgets oder Tools zur Sitzungswiedergabe.

Wissen Sie, ob HIPAA zutrifft

HIPAA gilt für betroffene Unternehmen und Geschäftspartner. Zu den abgedeckten Unternehmen gehören viele Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen für das Gesundheitswesen. Geschäftspartner sind Anbieter, die im Namen eines abgedeckten Unternehmens geschützte Gesundheitsinformationen erstellen, empfangen, verwalten oder übertragen.

HHS erklärt, dass die Sicherheitsregel angemessene und angemessene administrative, physische und technische Schutzmaßnahmen für elektronisch geschützte Gesundheitsinformationen erfordert (Zusammenfassung der Sicherheitsregeln HHS). Geschäftspartner können für viele HIPAA-Verpflichtungen direkt verantwortlich sein.

Wenn es sich bei Ihrer Organisation nicht um eine betroffene juristische Person oder einen Geschäftspartner handelt, gelten möglicherweise dennoch andere Datenschutzgesetze. Verwenden Sie "nicht HIPAA" nicht als Abkürzung für "kein Datenschutzrisiko".

Überprüfen Sie die Tracking-Technologien sorgfältig

HHS OCR hat Leitlinien zu Online-Tracking-Technologien herausgegeben und erklärt, dass die HIPAA-Regeln gelten, wenn regulierte Unternehmen PHI über Tracking-Technologien sammeln oder offenlegen. Die Anleitung umfasst Pixel, cookies, Web-Beacons, Tracking-Skripte und ähnliche Tools (HHS Online-Tracking-Technologien-Leitfaden).

Bei Websites im Gesundheitswesen beschränkt sich das Risiko nicht nur auf eingeloggte Patientenportale. Öffentliche Seiten sollten sorgfältig klassifiziert werden: Eine generische Besuchszeitenseite unterscheidet sich von einem Terminablauf, einer Anbieter-Such-Interaktion, einem Aufnahmeformular, einer Zahlungsseite oder einer Seite, auf der der Benutzer Informationen zur Pflege einreicht. Kontext und offengelegte Informationen sind wichtig.

Fragen Sie vor der Bereitstellung von Analysen Folgendes:

• Erhält das Tool vollständige URLs oder Seitentitel, die Gesundheitsthemen offenbaren?
• Werden IP-Adressen, Gerätedaten oder Kennungen erfasst?
• Setzt es cookies oder verbindet es Besuche über Sitzungen hinweg?
• Empfängt es Formularübermittlungen, Suchbegriffe oder Terminmetadaten?
• Ist der Anbieter bereit, bei Bedarf eine Business Associate Agreement zu unterzeichnen?
• Speisen die Daten Werbung, Retargeting oder Lookalike Audiences?

Wenn der Anbieter kein BAA unterzeichnet und PHI möglicherweise offengelegt wird, senden Sie die Daten nicht.

Administrative Sicherheitsmaßnahmen

Weisen Sie die Verantwortung für Datenschutz und Sicherheit zu. Pflegen Sie Richtlinien für Zugriff, Mitarbeiterschulung, Lieferantengenehmigung, Reaktion auf Vorfälle und Datenaufbewahrung. Führen Sie einen aktuellen Bestand an Systemen, die ePHI speichern oder übertragen, einschließlich Analyse- und Marketingtools.

Führen Sie Risikoanalysen und Risikomanagement durch. Dokumentieren Sie Bedrohungen, Wahrscheinlichkeiten, Auswirkungen und Abhilfemaßnahmen. Website-Tracking sollte Teil dieser Analyse sein und kein nachträglicher Einfall, der nur dem Marketing vorbehalten ist.

Physische und technische Schutzmaßnahmen

Beschränken Sie den Zugang zu Systemen und Einrichtungen. Nutzen Sie rollenbasierten Zugriff, Multi-Faktor-Authentifizierung, Prüfprotokolle, Verschlüsselung während der Übertragung, gegebenenfalls Verschlüsselung im Ruhezustand und sichere Backup-Prozesse.

Verwenden Sie speziell für Analysen zugelassene Ereigniseigenschaften. Lassen Sie nicht zu, dass Entwickler beliebige Formularfelder oder URL-Parameter an die Analyse senden. Entfernen Sie personenbezogene Daten aus URLs. Vermeiden Sie die Wiedergabe von Sitzungen auf Gesundheitsseiten, es sei denn, dies ist eindeutig gerechtfertigt und so konfiguriert, dass vertrauliche Inhalte maskiert werden.

Geschäftspartnermanagement

Pflegen Sie BAAs mit Anbietern, die PHI in Ihrem Namen abwickeln. Eine Datenschutzrichtlinie oder Standard-SaaS-Bedingungen sind kein Ersatz für ein BAA. Überprüfen Sie Subunternehmer, Support-Zugriff, Datenstandort, Meldepflichten bei Verstößen und Löschrechte.

Wenn ein Anbieter sagt, sein Produkt sei "HIPAA bereit", überprüfen Sie, was das bedeutet. Unterzeichnet es BAAs? Welche Produktstufe? Welche Funktionen sind ausgeschlossen? Sind Werbeintegrationen deaktiviert? Sind Protokolle abgedeckt?

Bereitschaft für Sicherheitsverletzungen

Die HIPAA Breach Notification Rule erfordert Benachrichtigungen nach einem Verstoß gegen ungesicherte PHI, vorbehaltlich spezifischer Bewertungs- und Zeitregeln. HHS fasst diese Verpflichtungen in seinen Leitlinien zur Meldung von Verstößen zusammen.

Halten Sie ein Playbook bereit, bevor ein Vorfall eintritt. Es sollte die Erkennung, Eindämmung, Lieferantenkoordinierung, rechtliche Prüfung, Patientenbenachrichtigung, Benachrichtigung der Aufsichtsbehörden, Benachrichtigung der Medien, sofern erforderlich, und Dokumentation umfassen.

Datenschutzorientierte Analyse für das Gesundheitswesen

Websites im Gesundheitswesen benötigen häufig grundlegende Betriebskennzahlen: Seitenbesuche, referrers, Terminabbruch im Trichter, Kampagnen-Landingpages und Formularabschlussraten. Für diese Ziele sind keine Retargeting-Pixel oder dauerhaften Verhaltensprofile erforderlich.

Bei einem Analytics-Setup, bei dem der Datenschutz an erster Stelle steht, sollte cookies nach Möglichkeit vermieden, Identifikatoren minimiert, vertrauliche URLs oder Parameter ausgeschlossen, Berichte aggregiert, eine kurze Aufbewahrungsdauer verwendet und Daten von Werbesystemen getrennt gehalten werden. Für regulierte Unternehmen sind die Haltung und die BAAs des Anbieters weiterhin von Bedeutung.

Die sicherste Analysefrage im Gesundheitswesen lautet nicht: "Wie viel können wir verfolgen?" Es lautet: "Was ist die Mindestmessung, die wir benötigen, um den Patientenzugang zu verbessern, ohne PHI freizulegen?"

Analytics-sicheres Implementierungsmuster

Eine sichere Einrichtung von Gesundheitsanalysen beginnt mit der Seitenklassifizierung. Markieren Sie Seiten als "Öffentlich mit geringem Risiko", "Öffentlicher Gesundheitskontext", "Authentifizierter Patient", "Zahlung" oder "Unterstützung". Wenden Sie auf jede Klasse unterschiedliche Tracking-Regeln an. Beispielsweise kann eine generische Homepage aggregierte Analysen ermöglichen, während Termin-, Symptom-, Portal- und Zahlungsseiten möglicherweise strengere Kontrollen oder überhaupt keine third-party-Analysen erfordern.

Erstellen Sie als Nächstes eine Zulassungsliste für Ereignisnamen und -eigenschaften. Entwickler sollten nicht in der Lage sein, beliebige Formularfelder an Analytics zu senden. Entfernen Sie Abfrageparameter, die Token, E-Mails, Termin-IDs oder Suchbegriffe enthalten. Maskieren oder unterdrücken Sie Seitentitel, wenn sie sensible Bedingungen offenbaren.

Überprüfen Sie schließlich die Anbieter jährlich und nach größeren Produktänderungen. Ein vor zwei Jahren unterzeichneter BAA garantiert nicht, dass eine neu aktivierte Funktion, ein neu aktivierter Subprozessor oder ein KI-Add-on zu Ihrem HIPAA-Risikomodell passt.

Kontrollen der Gesundheitsanalytik

Trennen Sie für Gesundheitsanalysen die öffentliche Bildungsmessung von Termin-, Portal-, Aufnahme-, Zahlungs-, zustandsspezifischen und authentifizierten Arbeitsabläufen. Halten Sie Analyse-Nutzlasten frei von Namen, E-Mails, Patienten- oder Datensatznummern, Termindetails, Formulartext, vertraulichen Abfragezeichenfolgen und Identifikatoren, die einen Besucher mit der Pflege verknüpfen können.

Wenn ein Anbieter PHI erhält, bestätigen Sie die HIPAA-Rolle, BAA, Zugriffskontrollen, Aufbewahrung, Unterprozessoren und den Arbeitsablauf bei Verstößen, bevor das Tag versendet wird. Wenn ein Anbieter die erforderliche HIPAA-Rolle nicht unterstützt, entfernen Sie den Datenfluss, anstatt zu versuchen, ihn in einer Mitteilung zu begraben.