Un guide pratique de Comprendre les informations de santé protégées

Ce guide explique Comprendre les informations de santé protégées de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Les informations de santé protégées, ou PHI, sont des informations de santé qui identifient une personne ou pourraient raisonnablement être utilisées pour l'identifier lorsqu'elles sont créées, reçues, conservées ou transmises par une entité couverte par HIPAA ou un associé commercial. Cette définition est importante car les sites Web de soins de santé, les portails patients et les outils d'analyse peuvent créer des PHI dans des endroits auxquels les équipes ne s'attendent pas.

Cet article ne constitue pas un conseil juridique, mais il donne aux équipes produit, marketing et analytique un moyen pratique de réfléchir au risque HIPAA.

À qui HIPAA s'applique-t-il

HIPAA s’applique aux entités couvertes et aux associés commerciaux. Les entités couvertes comprennent les régimes de santé, les centres d'échange de soins de santé et les prestataires de soins de santé qui effectuent certaines transactions électroniques. Les associés commerciaux sont des fournisseurs ou des partenaires qui créent, reçoivent, maintiennent ou transmettent PHI au nom d'entités couvertes.

Un blog de bien-être général peut ne pas être une entité couverte. Un hôpital, une clinique, un fournisseur de télésanté, un assureur ou un fournisseur qui gère les données des patients pour l'une de ces organisations a probablement des obligations HIPAA.

Qu'est-ce qui fait l'information PHI

L'information devient PHI lorsque trois éléments se réunissent :

1. Il concerne la santé, la fourniture de soins de santé ou le paiement des soins de santé
2. Il identifie la personne ou pourrait raisonnablement l'identifier
3. Il est détenu ou transmis par une entité couverte ou un associé commercial

Un code de diagnostic dans un dossier hospitalier est PHI. Une adresse e-mail soumise via un formulaire de rendez-vous à la clinique peut être PHI. Une adresse IP combinée à une activité de portail authentifiée peut être PHI. Le contexte compte.

Les 18 identifiants HIPAA

La sphère de sécurité de désidentification de HIPAA nécessite la suppression de 18 identifiants, y compris les noms, les détails géographiques plus petits que l'État, les dates liées à un individu, les numéros de téléphone, les adresses e-mail, les numéros de sécurité sociale, les numéros de dossier médical, les numéros de bénéficiaires du plan de santé, les numéros de compte, les numéros de certificat ou de permis, les identifiants de véhicule, les identifiants d'appareil, les adresses URLs, IP, les identifiants biométriques, des photos de face et tout autre numéro d’identification ou caractéristique unique.

Supprimer les noms évidents ne suffit pas. Les adresses URLs, IP, les identifiants d'appareil et les numéros de compte sont particulièrement pertinents pour les équipes d'analyse.

Technologies de suivi en ligne

HHS OCR a publié des lignes directrices sur les technologies de suivi en ligne utilisées par les entités réglementées par HIPAA. La page HHS actuelle indique qu'un tribunal fédéral a annulé une partie des directives dans la mesure où il a déclaré que les obligations HIPAA sont déclenchées lorsqu'une technologie en ligne connecte une adresse IP à une visite d'une page Web publique non authentifiée sur les conditions de santé ou les prestataires de soins. HHS indique qu'il évalue les prochaines étapes, tandis que le bulletin continue de mettre en évidence les obligations HIPAA pour les entités réglementées utilisant des technologies de suivi (HHS OCR tracking technologies guidance).

La nuance compte. Ne simplifiez pas à l'excès la règle car « chaque vue de page de santé est toujours PHI ». Mais ne présumez pas non plus que les analyses sont sûres, en particulier sur les pages authentifiées, les flux de rendez-vous, les portails de patients ou les pages sur lesquelles les utilisateurs fournissent des informations liées à la santé.

## Scénarios de risques liés à l'analyse

Les modèles d’analyse à haut risque incluent :

• Suivi des pages du portail patient avec l'analyse third-party
• Envoi des champs du formulaire de rendez-vous aux événements d'analyse
• Enregistrement du replay de la session sur les formulaires d'admission
• Utilisation de pixels publicitaires sur les pages de condition ou de traitement
• Envoi de URLs complet avec des IDs de patient, des jetons ou des requêtes de recherche
• Reciblage des visiteurs ayant consulté du contenu sensible sur la santé
• Partager des événements de conversion avec des plateformes publicitaires sans accord conforme

Même si un fournisseur signe un accord standard de traitement des données, HIPAA peut exiger un accord de partenariat commercial. De nombreux fournisseurs de publicité et d'analyse ne signeront pas de BAA pour certains produits.

Mesures plus sûres pour les sites de soins de santé

Les organismes de santé devraient séparer les analyses de l’éducation publique des systèmes de données sur les patients. Pour les pages publiques, utilisez des analyses globales axées sur la confidentialité, sans identifiants persistants, lorsque cela est possible. Pour les portails authentifiés, soyez extrêmement prudent : enregistrez les événements opérationnels en interne, limitez l'accès, évitez les scripts third-party et impliquez les équipes de confidentialité et de sécurité avant d'ajouter un suivi.

N'envoyez pas PHI à des outils d'analyse à moins que le fournisseur ne soit autorisé, que l'utilisation soit autorisée et que les accords et garanties appropriés soient en place.

Liste de contrôle pratique

Avant de déployer des analyses sur un site de soins de santé, demandez :

• Sommes-nous une entité couverte ou un associé commercial ?
• La page est-elle authentifiée ou non ?
• La page URL, le titre, la requête de recherche ou l'événement pourraient-ils révéler des informations sur la santé ?
• Les identifiants tels que l'adresse IP, le cookie ID, le compte ID ou l'appareil ID sont-ils collectés ?
• Le fournisseur signe-t-il un BAA pour ce produit et cette utilisation précis ?
• Les fonctionnalités publicitaires, le remarketing et le partage de données sont-ils désactivés ?
• Les formulaires, portails et flux de rendez-vous sont-ils exclus des scripts third-party ?
• Les contrôles de conservation et d'accès sont-ils appropriés ?

Liste de contrôle pour l'examen de l'analyse des soins de santé

Séparez la mesure de l’éducation publique des flux de travail de nomination, de portail, d’admission, de paiement, spécifiques à une condition et authentifiés. Les directives de suivi de HHS restent nuancées après un litige. Ne prétendez donc pas que chaque consultation de page de santé publique est automatiquement PHI; évaluez le contexte de la page, les identifiants, les actions des utilisateurs et le rôle HIPAA de l'organisation.

Avant l'expédition d'une étiquette de santé, vérifiez si le fournisseur peut recevoir le PHI, s'il signe un BAA pour ce produit et cette utilisation précis, quels identifiants sont collectés, combien de temps les données brutes sont conservées et qui peut y accéder. Gardez les charges utiles d'analyse exemptes de noms, d'e-mails, de numéros de patients ou de dossiers, de détails de rendez-vous, de texte de formulaire, de chaînes de requête sensibles et d'identifiants pouvant lier un visiteur aux soins.

Le résultat

PHI ne se limite pas aux dossiers médicaux. Dans les systèmes numériques, les identifiants et le contexte sanitaire peuvent se combiner rapidement. Les équipes d'analyse doivent traiter la mesure des soins de santé comme un cas d'utilisation très sensible et privilégier par défaut la minimisation des données.

Pour de nombreux sites Web de soins de santé, l'approche analytique la plus sûre est la mesure globale, sans cookie, du contenu public et l'absence de suivi third-party sur les flux de travail de santé authentifiés ou transactionnels.

La désidentification n'est pas un raccourci pour l'analyse brute

HIPAA permet la désidentification via une sphère de sécurité ou une détermination d'expert, mais l'analyse Web brute commence rarement par une désidentification. Les adresses IP, URLs, les IDs de périphérique, les horodatages et les identifiants de compte peuvent tous être présents avant toute agrégation. Si un organisme de santé souhaite des rapports d'analyse qui ne sont plus PHI, la désidentification doit avoir lieu avant un large partage, et non comme une hypothèse après la collecte.

Pour des rapports pratiques, regroupez tôt. Le rapport compte par catégorie de page, campagne ou type d'appareil plutôt que d'exposer les données au niveau des événements. Gardez à l’esprit la suppression des petites cellules lorsqu’un rapport pourrait identifier un patient par son caractère unique.

N'oubliez pas les tâches liées aux règles de sécurité

Si les données analytiques sont électroniques PHI, la règle de sécurité HIPAA devient pertinente. Cela signifie des contrôles d’accès, des contrôles d’audit, des garanties d’intégrité, la sécurité des transmissions et une analyse des risques. Les équipes marketing ne devraient pas être les seules propriétaires des décisions d’analyse des soins de santé; Les équipes de sécurité et de conformité ont besoin de visibilité avant la mise en ligne des outils.