Ein praktischer Leitfaden zu HIPAA-konforme Website-Analyse

Dieser Leitfaden erklärt HIPAA-konforme Website-Analyse praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Bei der Analyse von Gesundheitswebsites steht viel auf dem Spiel, da gewöhnliche Browserdaten den Gesundheitskontext aufdecken können. Ein Besuch einer Krebsbehandlungsseite, eines Terminformulars, eines Patientenportals oder einer Suchdienstseite kann schon vor dem Absenden eines Formulars sensible Informationen über den Besucher aussagen.

HIPAA verbietet Analysen nicht. Es erfordert, dass von HIPAA regulierte Unternehmen geschützte Gesundheitsinformationen korrekt verarbeiten. Das Problem besteht darin, dass viele Standardanalyse- und Werbetools für das Marketing und nicht für den Datenschutz im Gesundheitswesen entwickelt wurden.

Wichtiger Vorbehalt für 2024: HHS stellt fest, dass ein Bundesgericht einen Teil des Online-Tracking-Bulletins von OCR aufgehoben hat, was die Theorie betrifft, dass eine IP-Adresse plus ein Besuch bestimmter nicht authentifizierter öffentlicher Webseiten automatisch HIPAA-Verpflichtungen auslöst. Dieser Vorbehalt ist für öffentliche Bildungsseiten wichtig, macht Portale, Termin-, Aufnahme-, Zahlungs-, authentifizierte oder PHI-Offenlegungs-Workflows jedoch nicht zu normalen Marketingseiten.

Was HHS über Tracking-Technologien sagt

Das Büro für Bürgerrechte des US-Gesundheitsministeriums hat Leitlinien zu Tracking-Technologien herausgegeben. HHS erklärt, dass HIPAA-Verpflichtungen gelten, wenn regulierte Unternehmen Tracking-Technologien verwenden und die gesammelten oder offengelegten Informationen geschützte Gesundheitsinformationen umfassen. Siehe HHS-Leitfaden zu Online-Tracking-Technologien.

Der Schlüsselgedanke ist der Kontext. Die IP-Adresse, die Gerätedetails, die Seite URL, die Terminaktion oder die Portalaktivität eines Besuchers können zu PHI werden, wenn eine Verbindung zu einem regulierten Unternehmen und gesundheitsbezogenen Inhalten oder Diensten besteht. Eine generische, nicht authentifizierte öffentliche Seite verdient eine andere Analyse als eine Terminanfrage, ein Patientenportal, ein Aufnahmeformular, ein Zahlungsablauf oder eine authentifizierte Seite.

Wo Analytics Risiken schafft

Zu den häufigsten Risikobereichen gehören:

• Terminanfrageseiten.
• Patientenportale.
• Symptomprüfer.
• Bedingungsspezifische Landingpages.
• Anbietersuchseiten.
• Zahlungsseiten.
• Sucht, psychische Gesundheit, reproduktive Gesundheit oder chronische Erkrankungen.
• Retargeting-Pixel auf Gesundheitsseiten.
• Formularanalyse, die Feldwerte erfasst.

Selbst wenn ein Anbieter angibt, nur pseudonyme Identifikatoren zu erhalten, kann die Kombination aus URL, Zeitstempel, IP-Adresse und Gerätedaten dennoch vertraulich sein.

Google Analytics und HIPAA

Googles eigene Analytics-Hilfe besagt, dass Kunden keine Daten an Google weitergeben dürfen, die Google als persönlich identifizierbare Informationen erkennen könnte, und dass sie mithilfe von Analytics keine Daten sammeln dürfen, die vertrauliche Informationen über einen Benutzer preisgeben oder ihn identifizieren. Siehe Googles Seite HIPAA und Google Analytics.

Für Gesundheitsorganisationen besteht die praktische Frage darin, ob Google Analytics PHI empfängt und ob die erforderliche HIPAA-Beziehung und die erforderlichen Sicherheitsvorkehrungen bestehen. Wenn ein Anbieter keine Business Associate Agreement für die entsprechende Dienstleistung unterzeichnet, sollte ein reguliertes Unternehmen PHI diesem Anbieter nicht durch Nachverfolgung offenlegen.

Verlassen Sie sich nicht auf die Anonymisierung von IP, die Löschung von cookie oder die Offenlegung von Datenschutzrichtlinien als Ersatz für die Analyse von HIPAA.

Sichereres Messdesign

Gesundheitsstandorte sollten öffentliche, risikoarme Messungen von regulierten Arbeitsabläufen trennen.

Seiten zur öffentlichen Bildung

Nutzen Sie aggregierte, cookielose Analysen. Vermeiden Sie persönliche Identifikatoren, Werbepixel, Sitzungsaufzeichnungen, Heatmaps und Cross-Site-Tracker. Abfragezeichenfolgen entfernen. Vermeiden Sie vollständige URLs, wenn Pfade hochsensible Kategorien enthalten.

Termin- und Aufnahmeseiten

Behandeln Sie diese als risikoreich. Laden Sie keine allgemeinen Marketinganalysen oder Werbepixel. Wenn eine Messung erforderlich ist, verwenden Sie die first-party server-side-Protokollierung mit strengen Zugriffskontrollen, kurzer Aufbewahrung und ohne Offenlegung von third-party, sofern diese nicht überprüft wird.

Patientenportale

Gehen Sie davon aus, dass authentifizierte Portalanalysen PHI umfassen können. Nutzen Sie HIPAA-fähige Anbieter, BAAs, Zugriffsprotokolle, rollenbasierte Kontrollen und die minimal erforderliche Sammlung.

Landingpages der Kampagne

Vermeiden Sie das Retargeting von Pixeln auf bedingungsspezifischen Seiten. Wenn eine Kampagnenmessung erforderlich ist, verwenden Sie UTM-Parameter und aggregierte Conversions, nicht Werbezielgruppen auf Besucherebene.

Eine HIPAA Analytics-Checkliste

1. Stellen Sie fest, ob es sich bei der Organisation um eine erfasste juristische Person oder einen Geschäftspartner handelt.
2. Listen Sie alle Tracking-Skripte, Pixel, Tag-Manager, Chat-Widgets und Analysen auf SDK.
3. Kategorisieren Sie Seiten nach gesundheitlicher Sensibilität.
4. Entfernen Sie Werbepixel von Seiten mit Gesundheitskontext.
5. Verhindern Sie, dass Formularfeldwerte in die Analyse eingehen.
6. Entfernen Sie persönliche Daten und Token von URLs.
7. Bestätigen Sie, ob Anbieter BAAs für den genau genutzten Dienst unterzeichnen.
8. Wenden Sie die erforderliche Mindestsammlung an.
9. Legen Sie eine kurze Aufbewahrungsfrist für Protokolle und Analyseereignisse fest.
10. Aktualisieren Sie bei Bedarf die Datenschutz- und HIPAA-Hinweise.

Was Privacy-First Analytics leisten kann

Ein datenschutzorientiertes Analysetool kann die Gesamtleistung der Website messen, ohne Besucher zu identifizieren. Für viele Marketing-Websites im Gesundheitswesen reicht das aus:

• Seitenaufrufe pro Seite.
• Referrer und Kampagnen.
• Allgemeine Geographie.
• Geräte- und Browserkategorien.
• Die Formularübermittlung zählt ohne Feldwerte.
• Trichterabfall insgesamt.

Dieser Ansatz entfernt nicht jede HIPAA-Frage, verringert jedoch die Wahrscheinlichkeit, dass PHI einem third-party-Werbe- oder Analyse-Ökosystem offengelegt wird.

Fazit

Die Gesundheitsanalyse sollte mit den minimal erforderlichen Daten beginnen. Wenn eine Seite oder Aktion das Gesundheitsinteresse einer Person offenbaren kann, betrachten Sie Tracking nicht als gewöhnliche Marketing-Infrastruktur. Messen Sie, was Sie benötigen, vermeiden Sie persönliche Identifikatoren, halten Sie sensible Arbeitsabläufe sauber und nutzen Sie Anbieter, die die ihnen übertragene rechtliche Rolle unterstützen können.

Seitenkontext kann PHI erstellen

Ein allgemeiner Besuch einer Krankenhaus-Homepage birgt möglicherweise ein geringeres Risiko als ein Besuch einer Seite über onkologische Behandlungen mit anschließender Terminanfrage. Die Datenelemente können technisch gleich aussehen: IP-Adresse, Benutzeragent, URL, Zeitstempel. Die Bedeutung ändert sich, da der Seitenkontext ein gesundheitliches Interesse erkennen lässt.

Aus diesem Grund sollten Analysen von Gesundheitsanalysen Seiten nach Sensibilität klassifizieren und nicht nur Tools nach Markennamen.

Vermeiden Sie Retargeting standardmäßig

Besonders riskant ist die erneute Ansprache von Besuchern im Gesundheitswesen. Auch wenn eine Anzeigenplattform nie ein Diagnosefeld erhält, kann ein Pixel auf einer krankheitsspezifischen Seite Interesse an dieser Krankheit offenbaren. Vermarkter im Gesundheitswesen sollten kontextbezogene Kampagnen, aggregierte Conversion-Messungen und first-party-Terminberichte dem Aufbau von Zielgruppen vorziehen.

Fragen zur Beschaffung

Fragen Sie Analyseanbieter, ob sie einen BAA für das genaue Produkt unterzeichnen, wo Daten gehostet werden, ob Daten für Werbung oder Produktverbesserung verwendet werden, wie mit Kennungen umgegangen wird und ob Formularseiten ausgeschlossen werden können. Wenn die Antworten vage sind, platzieren Sie das Tool nicht auf regulierten Seiten.

Für das Gesundheitswesen ist "wir verwenden nur Analysen" keine Verteidigung. Das Seitenthema, die Organisationsidentität und die Besucherinteraktion können normale technische Daten sensibel machen.

HIPAA-Sichere Messprüfungen

Trennen Sie die öffentliche Bildungsmessung von Termin-, Portal-, Aufnahme-, Zahlungs-, bedingungsspezifischen und authentifizierten Arbeitsabläufen. Halten Sie Analyse-Nutzlasten frei von Namen, E-Mails, Patienten- oder Datensatznummern, Termindetails, Formulartext, vertraulichen Abfragezeichenfolgen und Identifikatoren, die einen Besucher mit der Pflege verknüpfen können.

Wenn ein Anbieter PHI erhält, bestätigen Sie die HIPAA-Rolle, BAA, Zugriffskontrollen, Aufbewahrung, Unterprozessoren und den Arbeitsablauf bei Verstößen, bevor das Tag versendet wird. Wenn der Anbieter diese Rolle für das genaue Produkt und den Funktionsumfang nicht unterstützen kann, halten Sie ihn von regulierten Seiten fern.