Um guia prático de Noções básicas sobre informações de saúde protegidas
TL;DR — Resposta rápida
6 min de leituraPHI é qualquer informação de saúde individualmente identificável mantida por entidades cobertas. A análise de sites em sites de saúde pode criar inadvertidamente PHI quando os identificadores de visitantes se combinam com page views relacionados à saúde.
Este guia explica Noções básicas sobre informações de saúde protegidas na prática, com foco em decisões de analytics que respeitam a privacidade.
Informações de saúde protegidas, ou PHI, são informações de saúde que identificam uma pessoa ou podem ser razoavelmente usadas para identificá-la quando são criadas, recebidas, mantidas ou transmitidas por uma entidade ou associado comercial coberto pela HIPAA. Essa definição é importante porque sites de saúde, portais de pacientes e ferramentas analíticas podem criar PHI em lugares que as equipes não esperam.
Este artigo não é um aconselhamento jurídico, mas oferece às equipes de produto, marketing e análise uma maneira prática de pensar sobre o risco HIPAA.
A quem HIPAA se aplica
HIPAA se aplica a entidades cobertas e parceiros de negócios. As entidades cobertas incluem planos de saúde, câmaras de compensação de cuidados de saúde e prestadores de cuidados de saúde que realizam determinadas transações eletrónicas. Parceiros de negócios são fornecedores ou parceiros que criam, recebem, mantêm ou transmitem PHI em nome de entidades cobertas.
Um blog de bem-estar geral pode não ser uma entidade coberta. Um hospital, clínica, provedor de telessaúde, seguradora ou fornecedor que lida com dados de pacientes para uma dessas organizações provavelmente tem obrigações HIPAA.
O que torna a informação PHI
A informação torna-se PHI quando três elementos se juntam:
- Relaciona-se com saúde, prestação de cuidados de saúde ou pagamento de cuidados de saúde
- Identifica a pessoa ou poderia identificá-la razoavelmente
- É detido ou transmitido por uma entidade coberta ou associada comercial
Um código de diagnóstico em um registro hospitalar é PHI. Um endereço email enviado por meio de um formulário de consulta clínica pode ser PHI. Um endereço IP combinado com atividade de portal autenticada pode ser PHI. O contexto é importante.
Os 18 identificadores HIPAA
O porto seguro de desidentificação de HIPAA requer a remoção de 18 identificadores, incluindo nomes, detalhes geográficos menores que o estado, datas relacionadas a um indivíduo, números de telefone, endereços email, números de previdência social, números de registros médicos, números de beneficiários de planos de saúde, números de contas, certificados ou números de licença, identificadores de veículos, identificadores de dispositivos, URLs, endereços IP, identificadores biométricos, fotos de rosto inteiro e qualquer outro número ou característica de identificação exclusiva.
Remover nomes óbvios não é suficiente. URLs, endereços IP, identificadores de dispositivos e números de contas são especialmente relevantes para equipes de análise.
Tecnologias de rastreamento on-line
O HHS OCR emitiu orientações sobre tecnologias de rastreamento on-line usadas por entidades regulamentadas pelo HIPAA. A página HHS atual observa que um tribunal federal anulou parte da orientação na medida em que disse que as obrigações HIPAA são acionadas quando uma tecnologia online conecta um endereço IP a uma visita a uma página pública não autenticada sobre condições de saúde ou provedores. HHS afirma que está avaliando os próximos passos, enquanto o boletim continua destacando as obrigações do HIPAA para entidades regulamentadas que usam tecnologias de rastreamento (orientação sobre tecnologias de rastreamento de OCR HHS).
A nuance é importante. Não simplifique demais a regra, pois "cada visualização de página de saúde é sempre PHI". Mas também não presuma que a análise é segura, especialmente em páginas autenticadas, fluxos de consultas, portais de pacientes ou páginas onde os usuários fornecem informações relacionadas à saúde.
Cenários de risco analítico
Os padrões analíticos de alto risco incluem:
- Acompanhamento de páginas do portal de pacientes com análises de terceiros
- Envio de campos de formulário de compromisso para eventos analíticos
- Gravando a repetição da sessão em formulários de admissão
- Usando pixels de anúncios em páginas de condição ou tratamento
- Envio de URLs completo com IDs de pacientes, tokens ou consultas de pesquisa
- Redirecionando visitors que visualizou conteúdo confidencial sobre saúde
- Compartilhamento de eventos de conversão com plataformas de anúncios sem acordo de conformidade
Mesmo que um fornecedor assine um contrato padrão de processamento de dados, HIPAA pode exigir um Contrato de Parceria Comercial. Muitos fornecedores de publicidade e análise não assinam BAAs para determinados produtos.
Medição mais segura para locais de saúde
As organizações de saúde devem separar a análise da educação pública dos sistemas de dados dos pacientes. Para páginas públicas, use análises agregadas que priorizam a privacidade, sem identificadores persistentes, sempre que possível. Para portais autenticados, seja extremamente conservador: registre eventos operacionais internamente, limite o acesso, evite scripts de terceiros e envolva equipes de privacidade e segurança antes de adicionar qualquer rastreamento.
Não envie PHI para ferramentas analíticas, a menos que o fornecedor seja autorizado, o uso seja permitido e os acordos e salvaguardas corretos estejam em vigor.
Flowsery
Teste gratuito
Painel em tempo real
Rastreamento de metas
Rastreamento sem cookies
Lista de verificação prática
Antes de implantar análises em um site de saúde, pergunte:
- Somos uma entidade coberta ou um associado comercial?
- A página é autenticada ou não autenticada?
- A página URL, o título, a consulta de pesquisa ou o evento podem revelar informações de saúde?
- São coletados identificadores como endereço IP, ID de cookie, ID de conta ou ID de dispositivo?
- O fornecedor assina um BAA exatamente para este produto e uso?
- Os recursos de anúncios, o remarketing e o compartilhamento de dados estão desativados?
- Os formulários, portais e fluxos de compromissos estão excluídos de scripts de terceiros?
- Os controles de retenção e acesso são apropriados?
Lista de verificação de revisão de análises de saúde
Separe a medição da educação pública dos fluxos de trabalho de nomeação, portal, entrada, pagamento, condições específicas e autenticados. A orientação de rastreamento HHS permanece diferenciada após o litígio, portanto, não afirme que cada visualização de página de saúde pública é automaticamente PHI; avaliar o contexto da página, os identificadores, as ações do usuário e a função HIPAA da organização.
Antes de uma etiqueta de saúde ser enviada, confirme se o fornecedor pode receber PHI, se assina um BAA para esse produto e uso exatos, quais identificadores são coletados, por quanto tempo os dados brutos são retidos e quem pode acessá-los. Mantenha as cargas analíticas livres de nomes, e-mails, números de pacientes ou registros, detalhes de consultas, texto de formulário, strings de consulta confidenciais e identificadores que possam vincular um visitante ao atendimento.
O resultado final
PHI não se limita a prontuários médicos. Nos sistemas digitais, os identificadores e o contexto de saúde podem combinar-se rapidamente. As equipes de análise devem tratar a medição de saúde como um caso de uso de alta sensibilidade e adotar como padrão a minimização de dados.
Para muitos sites de saúde, a abordagem analítica mais segura é a medição agregada, sem cookies e primária para conteúdo público, e nenhum rastreamento de terceiros em fluxos de trabalho de saúde autenticados ou transacionais.
A desidentificação não é um atalho para análises brutas
HIPAA permite a desidentificação por meio de porto seguro ou determinação de especialistas, mas a análise bruta da web raramente começa com a desidentificação. Endereços IP, URLs, IDs de dispositivos, carimbos de data/hora e identificadores de conta podem estar presentes antes de qualquer agregação. Se uma organização de saúde desejar relatórios analíticos que não sejam mais PHI, a desidentificação deverá acontecer antes do compartilhamento amplo, e não como uma suposição após a coleta.
Para relatórios práticos, agregue antecipadamente. Contagens de relatórios por categoria de página, campanha ou tipo de dispositivo, em vez de expor dados em nível de evento. Lembre-se da supressão de células pequenas quando um relatório puder identificar um paciente pela exclusividade.
Não se esqueça dos deveres das regras de segurança
Se os dados analíticos forem PHI eletrônicos, a regra de segurança HIPAA torna-se relevante. Isso significa controles de acesso, controles de auditoria, salvaguardas de integridade, segurança de transmissão e análise de risco. As equipes de marketing não devem ser as únicas proprietárias das decisões analíticas de saúde; as equipes de segurança e conformidade precisam de visibilidade antes que as ferramentas entrem em operação.
Este artigo foi útil?
Diga-nos o que pensa!
Antes de ir...
Flowsery
Analytics orientado para receitas para o seu site
Rastreie cada visitante, fonte e conversão em tempo real. Simples, poderoso e totalmente conforme com o RGPD.
Painel em tempo real
Rastreamento de metas
Rastreamento sem cookies
Artigos relacionados
Um guia prático de checklist de conformidade HIPAA
Aprenda como checklist de conformidade HIPAA afeta analytics com foco em privacidade, qualidade de medição e decisões práticas para o site.
Um guia prático de Análise de site compatível com HIPAA
Análise de site compatível com HIPAA: o que as organizações de saúde precisam saber explica por que a análise padrão pode criar exposição a PHI e como é uma medição mais segura.
Um guia prático de Violações Comuns da HIPAA e Como Evitá-las
Aprenda como Violações Comuns da HIPAA e Como Evitá-las afeta analytics com foco em privacidade, qualidade de medição e decisões práticas para o site.