Un guide pratique de Analytique web conforme à HIPAA
TL;DR — Réponse rapide
6 min de lectureLes organisations de santé doivent considérer le suivi de site web comme un risque HIPAA lorsque les données de visite peuvent révéler un contexte de santé. Évitez d'envoyer des PHI aux fournisseurs d'analytique sauf si une voie HIPAA valide existe, y compris un BAA lorsque requis.
Ce guide explique Analytique web conforme à HIPAA de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.
L'analytique des sites web de santé comporte des enjeux élevés car les données de navigation ordinaires peuvent révéler un contexte de santé. Une visite sur une page de traitement contre le cancer, un formulaire de prise de rendez-vous, un portail patient ou une page de services contre les addictions peut révéler quelque chose de sensible sur le visiteur, même avant qu'un formulaire ne soit soumis.
HIPAA n'interdit pas l'analytique. Elle exige que les entités régulées par HIPAA traitent correctement les informations de santé protégées. Le problème est que de nombreux outils d'analytique et de publicité standards ont été conçus pour le marketing, pas pour la confidentialité dans le secteur de la santé.
Mise en garde importante de 2024 : le HHS note qu'un tribunal fédéral a annulé une partie du bulletin de l'OCR sur le suivi en ligne, en ce qui concerne la théorie selon laquelle une adresse IP combinée à une visite sur certaines pages web publiques non authentifiées déclenche automatiquement des obligations HIPAA. Cette mise en garde est importante pour les pages d'éducation publiques, mais elle ne transforme pas les portails, les workflows de prise de rendez-vous, d'admission, de paiement, authentifiés ou divulguant des PHI en pages marketing ordinaires.
Ce que dit le HHS sur les technologies de suivi
Le Bureau des droits civils du Département américain de la santé et des services sociaux a publié des directives sur les technologies de suivi. Le HHS explique que les obligations HIPAA s'appliquent lorsque les entités régulées utilisent des technologies de suivi et que les informations collectées ou divulguées incluent des informations de santé protégées. Voir les directives du HHS sur les technologies de suivi en ligne.
L'idée clé est le contexte. L'adresse IP d'un visiteur, les détails de l'appareil, l'URL de la page, l'action de prise de rendez-vous ou l'activité du portail peuvent devenir des PHI lorsqu'ils sont connectés à une entité régulée et à un contenu ou des services liés à la santé. Une page publique générique non authentifiée mérite une analyse différente d'une demande de rendez-vous, d'un portail patient, d'un formulaire d'admission, d'un workflow de paiement ou d'une page authentifiée.
Où l'analytique crée du risque
Les zones à risque courantes incluent :
- Les pages de demande de rendez-vous.
- Les portails patients.
- Les vérificateurs de symptômes.
- Les pages de destination spécifiques à une condition.
- Les pages de recherche de praticien.
- Les pages de paiement.
- Le contenu sur l'addiction, la santé mentale, la santé reproductive ou les maladies chroniques.
- Les pixels de reciblage sur les pages de santé.
- L'analytique de formulaire qui capture les valeurs des champs.
Même si un fournisseur affirme ne recevoir que des identifiants pseudonymes, la combinaison d'URL, d'horodatage, d'adresse IP et de données d'appareil peut rester sensible.
Google Analytics et HIPAA
L'aide propre de Google Analytics indique que les clients ne doivent pas transmettre à Google des données que Google pourrait reconnaître comme des informations personnellement identifiables et ne doivent pas collecter via Analytics des données qui révèlent des informations sensibles sur un utilisateur ou qui l'identifient. Voir la page de Google HIPAA and Google Analytics.
Pour les organisations de santé, la question pratique est de savoir si Google Analytics reçoit des PHI et si la relation HIPAA et les garanties nécessaires existent. Si un fournisseur ne signe pas un business associate agreement pour le service concerné, une entité régulée ne doit pas divulguer de PHI à ce fournisseur via le suivi.
Ne vous appuyez pas sur l'anonymisation des adresses IP, la suppression des cookies ou une mention dans la politique de confidentialité comme substitut à une analyse HIPAA.
Conception d'une mesure plus sûre
Les sites de santé doivent séparer la mesure publique à faible risque des workflows régulés.
Pages d'éducation publiques
Utilisez une analytique agrégée, sans cookies. Évitez les identifiants personnels, les pixels publicitaires, les enregistrements de session, les heatmaps et les traceurs intersites. Supprimez les chaînes de requête. Évitez les URL complètes si les chemins révèlent des catégories très sensibles.
Pages de rendez-vous et d'admission
Considérez-les comme à haut risque. Ne chargez pas d'analytique marketing générale ni de pixels publicitaires. Si une mesure est nécessaire, utilisez une journalisation côté serveur de première partie avec des contrôles d'accès stricts, une rétention courte et aucune divulgation à des tiers sans examen.
Portails patients
Supposez que l'analytique des portails authentifiés peut impliquer des PHI. Utilisez des fournisseurs prêts pour HIPAA, des BAA, des journaux d'accès, des contrôles basés sur les rôles et une collecte minimale nécessaire.
Flowsery
Essai gratuit
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Pages de destination de campagne
Évitez les pixels de reciblage sur les pages spécifiques à une condition. Si une mesure de campagne est nécessaire, utilisez les paramètres UTM et les conversions agrégées, et non des audiences publicitaires au niveau du visiteur.
Une checklist d'analytique HIPAA
- Identifier si l'organisation est une covered entity ou un business associate.
- Lister tous les scripts de suivi, pixels, gestionnaires de tags, widgets de chat et SDK d'analytique.
- Catégoriser les pages selon leur sensibilité en matière de santé.
- Retirer les pixels publicitaires des pages à contexte de santé.
- Empêcher les valeurs des champs de formulaire d'entrer dans l'analytique.
- Supprimer les données personnelles et les jetons des URL.
- Confirmer si les fournisseurs signent des BAA pour le service exact utilisé.
- Appliquer la collecte minimale nécessaire.
- Définir une rétention courte pour les journaux et les événements d'analytique.
- Mettre à jour les notifications de confidentialité et HIPAA lorsque cela est requis.
Ce que l'analytique privacy-first peut faire
Un outil d'analytique privacy-first peut mesurer les performances agrégées d'un site sans identifier les visiteurs. Pour de nombreux sites marketing de santé, cela suffit :
- Les vues de page par page.
- Les référents et les campagnes.
- La géographie générale.
- Les catégories d'appareils et de navigateurs.
- Les nombres de soumissions de formulaires sans les valeurs des champs.
- L'abandon dans le funnel en agrégé.
Cette approche n'élimine pas toutes les questions HIPAA, mais elle réduit le risque que des PHI soient divulgués à un écosystème publicitaire ou analytique tiers.
En résumé
L'analytique de santé doit partir des données minimales nécessaires. Si une page ou une action peut révéler l'intérêt de quelqu'un pour sa santé, ne traitez pas le suivi comme une infrastructure marketing ordinaire. Mesurez ce dont vous avez besoin, évitez les identifiants personnels, gardez les workflows sensibles propres et utilisez des fournisseurs capables d'assumer le rôle juridique qu'on leur demande de jouer.
Le contexte de la page peut créer des PHI
Une visite générique sur la page d'accueil d'un hôpital peut être moins risquée qu'une visite sur une page concernant un traitement d'oncologie suivie d'une demande de rendez-vous. Les éléments de données peuvent sembler techniquement identiques : adresse IP, agent utilisateur, URL, horodatage. Le sens change parce que le contexte de la page révèle un intérêt pour la santé.
C'est pourquoi les revues d'analytique de santé doivent classer les pages selon leur sensibilité, et pas seulement les outils par marque.
Évitez le reciblage par défaut
Le reciblage des visiteurs de santé est particulièrement risqué. Même si une plateforme publicitaire ne reçoit jamais de champ de diagnostic, un pixel sur une page spécifique à une condition peut divulguer un intérêt pour cette condition. Les marketeurs de santé devraient privilégier les campagnes contextuelles, la mesure agrégée des conversions et les rapports de rendez-vous de première partie plutôt que la création d'audiences.
Questions d'achat
Demandez aux fournisseurs d'analytique s'ils signeront un BAA pour le produit exact, où les données sont hébergées, si les données sont utilisées pour la publicité ou l'amélioration du produit, comment les identifiants sont gérés et si les pages de formulaire peuvent être exclues. Si les réponses sont vagues, ne mettez pas l'outil sur des pages régulées.
Pour la santé, « nous n'utilisons que l'analytique » n'est pas une défense. Le sujet de la page, l'identité de l'organisation et l'interaction du visiteur peuvent rendre des données techniques ordinaires sensibles.
Vérifications de mesure conformes à HIPAA
Séparez la mesure de l'éducation publique des workflows de rendez-vous, de portail, d'admission, de paiement, spécifiques à une condition et authentifiés. Gardez les charges utiles d'analytique exemptes de noms, d'e-mails, de numéros de patient ou de dossier, de détails de rendez-vous, de texte de formulaire, de chaînes de requête sensibles et d'identifiants pouvant relier un visiteur à des soins.
Si un fournisseur reçoit des PHI, confirmez le rôle HIPAA, le BAA, les contrôles d'accès, la rétention, les sous-traitants et le workflow de violation avant que le tag ne soit déployé. Si le fournisseur ne peut pas assumer ce rôle pour le produit et l'ensemble de fonctionnalités exact, gardez-le hors des pages régulées.
Cet article vous a-t-il été utile ?
Dites-nous ce que vous en pensez !
Avant de partir...
Flowsery
Des analyses orientées revenus pour votre site web
Suivez chaque visiteur, source et conversion en temps réel. Simple, puissant et entièrement conforme au RGPD.
Tableau de bord en temps réel
Suivi des objectifs
Suivi sans cookies
Articles connexes
Un guide pratique de checklist HIPAA
Utilisez cette checklist HIPAA pour examiner les garanties, les business associates, les obligations en cas de violation et les risques de suivi web avant de déployer de l’analytics ou des pixels sur des sites de santé.
Un guide pratique de Conformité HIPAA pour les professionnels de la
Conformité HIPAA pour les professionnels de la santé mentale : un aperçu de la confidentialité expliqué pour les équipes qui souhaitent des conseils pratiques. La conformité HIPAA pour les professionnels de la santé mentale inclut les mêmes obligations fondamentales en matière de confidentialité que les autres contextes de soins de santé, ainsi qu'une complexité supplémentaire liée aux notes de psychothérapie, au consentement et au devoir d'avertir.
Un guide pratique de Comprendre les informations de santé protégées
Comprendre les informations de santé protégées (PHI) Sous HIPAA explique ce qui compte comme PHI, où les 18 identifiants s'appliquent et comment les analyses peuvent accidentellement créer un risque de non-conformité.