Is Google Analytics HIPAA compliant?

Image of Iron Brands

Gepubliceerd op 30 mrt 2023 en bijgewerkt op 3 jan 2024 door Iron Brands

Dit artikel is automatisch vertaald. Ga naar de Engelse versie voor het origineel.

HIPAA is een heet hangijzer op dit moment. Vorig jaar onthulde een onderzoek van de non-profit newsroom The Markup dat veel ziekenhuizen illegaal beschermde gezondheidsinformatie doorgeven aan Meta via Meta-pixels op hun websites. Nadat het onderzoek was gepubliceerd, werd Meta door de Amerikaanse Senaat ondervraagd over het verzamelen van beschermde informatie, en werden vele rechtszaken aangespannen tegen zorgverleners wegens HIPAA-schendingen (waaronder een class action waarbij Meta zelf betrokken was).

Deze rechtszaken kunnen HIPAA-gedekte entiteiten veel geld kosten, dus dit is een goed moment om te kijken naar HIPAA en wat het betekent voor website analytics.

  1. Wat is HIPAA?
  2. Wat is de Privacyregel?
  3. Wat is PHI?
  4. Wat dit betekent voor webanalyse
  5. Is Google Analytics HIPAA-conform?
  6. Hoe zit het met mobiele apps?
  7. Is cookieloze analytics de oplossing?
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Wat is HIPAA?

De Health Insurance Portability and Accountability Act (HIPAA) is een federale wet van de Verenigde Staten die in 1996 werd aangenomen. HIPAA heeft tot doel de privacy en veiligheid van beschermde gezondheidsinformatie (PHI) te beschermen en de overdraagbaarheid ervan van de ene zorgverlener naar de andere te waarborgen.

HIPAA is alleen van toepassing op specifieke entiteiten: zorgverleners, zorgverzekeraars en clearinghouses voor de gezondheidszorg (tussenpersonen voor de uitwisseling van gezondheidsinformatie). Als uw organisatie niet aan deze criteria voldoet, hoeft u zich geen zorgen te maken over HIPAA, ook al verwerkt u gezondheidsinformatie.

Dit betekent niet dat u kunt doen wat u wilt met gezondheidsinformatie. Er kunnen andere regels gelden: zo bevat de CCPA van Californië regels voor de verwerking van gezondheidsinformatie en andere categorieën gevoelige informatie.

Wat is de Privacyregel?

De Standards for Privacy of Individually Identifiable Health Information (gewoonlijk Privacy Rule genoemd) is een federale verordening die is uitgevaardigd door het Amerikaanse ministerie van Volksgezondheid en Human Services. De regel voert HIPAA uit door een reeks normen voor de bescherming van PHI op te leggen.

In de praktijk is de Privacy Rule een van de benchmarks voor naleving van HIPAA. De Security Rule is een ander ijkpunt dat bepaalde organisatorische en technische maatregelen voorschrijft om PHI veilig te houden.

Een van de centrale punten van de Privacy Rule is de beperking van de openbaarmaking. Bepaalde openbaarmakingen van PHI zijn toegestaan omdat ze essentieel zijn voor het verlenen van gezondheidszorg en het functioneren van het gezondheidszorgsysteem. Uw ziekenhuis kan bijvoorbeeld uw medische rekeningen naar uw verzekering sturen of ze doorsturen naar een ander ziekenhuis waar u zorg ontvangt. Voor alle andere openbaarmakingen is schriftelijke toestemming nodig van de persoon op wie de informatie betrekking heeft.

Wat is PHI?

PHI is de informatie die wordt gedekt en beschermd door de HIPAA en de Privacy Rule. Het begrip PHI onder HIPAA is complex omdat het drie verschillende vereisten combineert:

  • het heeft betrekking op de gezondheidstoestand van een persoon of de verlening van gezondheidszorg (= het is gezondheidsinformatie)
  • het heeft betrekking op een identificeerbare persoon (= het is persoonlijk identificeerbare informatie - kortweg PII)
  • het is gecreëerd door een zorgverlener of een andere entiteit die onder de HIPAA valt.

image1.png

De drie voorwaarden zijn cumulatief. Als een website bijvoorbeeld medische informatie verstrekt maar geen gezondheidsdiensten, is de HIPAA niet op hem van toepassing, ook al kan hij via zijn webanalyse persoonlijk identificeerbare gezondheidsinformatie verzamelen.

Dat PHI persoonlijk identificeerbaar is, is de lastigste eis. De HIPAA bevat geen definitie van persoonlijk identificeerbare informatie (PII). Toch biedt de Privacy Rule enig houvast door een opsomming te geven van identificatoren die informatie tot PII maken (die kunnen worden verwijderd om ze te desidentificeren). De lijst is lang en omvat IP-adressen en andere unieke identificatienummers.

Wat dit betekent voor webanalyse

De Privacy Rule vormt een ernstig probleem voor op cookies gebaseerde analytics. Het delen van PHI ten behoeve van webmarketing en webanalyse is geen toegestane openbaarmaking volgens de Privacy Rule en vereist daarom schriftelijke toestemming.

Het U.S. Department of Health and Human Services heeft ook verduidelijkt dat toestemming voor cookiebanners en soortgelijke pop-ups geen geldige toestemming is om PHI openbaar te maken. En omdat er voor een website geen realistische manier is om van elke bezoeker schriftelijke toestemming te verzamelen, is de enige manier om de Privacy Rule na te leven het helemaal niet doorsturen van PHI.

Google Analytics en andere op cookies gebaseerde analysediensten bevatten echter unieke identificatiegegevens in hun cookies. Zo verzamelen die diensten belangrijke gegevens zoals unieke bezoekers. Stel dat een onder HIPAA vallende entiteit lukraak op cookies gebaseerde analyses op haar website toepast. In dat geval is de kans groot dat er een ongeoorloofde openbaarmaking van PHI plaatsvindt, met een HIPAA-overtreding als gevolg.

Is Google Analytics HIPAA-conform?

Cookie-gebaseerde analytics implementeren op een HIPAA-compliant manier is mogelijk, maar het vergt veel inspanning. Google is hier heel open over: de documentatie voor Google Analytics beweert niet dat de dienst out of the box HIPAA-compliant is, waarschuwt klanten om geen PHI door te sturen naar Google, en moedigt klanten aan om naar juridische professionals te verwijzen om ervoor te zorgen dat Google Analytics op een HIPAA-compliant manier wordt geïmplementeerd.

Dus hoe implementeert u op cookies gebaseerde analytics met inachtneming van de HIPAA en de privacyregel?

Deze richtlijnen van het U.S. Department of Health and Human Services zijn een goed begin. Het ministerie waarschuwt om zeer voorzichtig te zijn met geauthenticeerde pagina's - pagina's waartoe bezoekers alleen toegang hebben na authenticatie. Voor de zekerheid moet u tracking op deze pagina's volledig uitschakelen (zoals voorgesteld in de documentatie van Google Analytics). U moet ook tracking uitschakelen op elke pagina waar een bezoeker een afspraak kan boeken, of de pagina nu geauthenticeerd is of niet.

Maar zijn niet-geauthenticeerde pagina's een eerlijk spel? Niet echt. Ook niet-geauthenticeerde pagina's waar patiënten een afspraak kunnen maken zijn verboden terrein. En op pagina's met informatie over specifieke gezondheidsaandoeningen of therapieën kan Google (of een andere aanbieder van op cookies gebaseerde analyses) ook gezondheidsinformatie verzamelen. Dus of u bezoekers op een niet-geauthenticeerde pagina al dan niet kunt volgen, hangt uiteindelijk af van de inhoud ervan.

Kortom: als HIPAA voor u geldt, moet u tracking op alle geauthenticeerde pagina's uitschakelen. Wat niet-geauthenticeerde pagina's betreft, moet u ze stuk voor stuk zorgvuldig evalueren op basis van hun inhoud. U zult waarschijnlijk een jurist willen inschakelen, wat duur kan zijn als u geen intern juridisch team hebt.

In sommige gevallen kan een strenge beoordeling uitwijzen dat u tracking voor een aanzienlijk deel van uw website moet uitschakelen, wat gevolgen heeft voor de kwaliteit van de inzichten die u krijgt. Websites van ziekenhuizen bevatten bijvoorbeeld vaak veel pagina's met informatie over specifieke gezondheidsaandoeningen en therapeutische opties. Het uitschakelen van tracking voor elk van die pagina's zal de kwaliteit van de analyses voor die website aanzienlijk beïnvloeden.

Hoe zit het met mobiele apps?

Voor mobiele apps gelden precies dezelfde regels: volgens de Privacy Rule mag u geen PHI vrijgeven voor marketing- of analysedoeleinden.

In de praktijk is de situatie voor mobiele apps nog erger. Veel gangbare softwareontwikkelingspakketten (SDK's) bevatten ingebouwde trackers. SDK's vormen een groot privacyprobleem in het algemeen: de ontwikkeling van apps wordt vaak uitbesteed, en daardoor volgen veel bedrijven onbewust hun gebruikers. Als HIPAA u dekt, kan dit resulteren in een schending van de Privacy Rule.

Is cookieloze analytics de oplossing?

Dat hangt ervan af. Cookie-loos betekent niet noodzakelijk privacy-vriendelijk, want er zijn andere manieren om bezoekers te volgen. Als u vingerafdrukken neemt van bezoekers of hen volgt via hun IP, dan kunt u nog steeds PHI vrijgeven aan uw webanalyse provider - en dat is de belangrijkste juridische kwestie die speelt.

Uw beste optie zijn privacyvriendelijke analysediensten die de gebruiker gewoon niet volgen en inzicht verschaffen zonder vingerafdrukken te nemen van bezoekers of slimme heridentificatietrucs te gebruiken.

Wij hebben zo'n tool gebouwd. Simple Analytics is vanaf het begin ontworpen met privacy in gedachten. Het trackt gebruikers niet en heeft geen persoonlijk identificeerbare informatie nodig om te werken - en dat alles terwijl het de klant kwalitatieve inzichten verschaft om hun bedrijf te laten groeien en hun online aanwezigheid te verbeteren. Bekijk onze 'wat we verzamelen' pagina en onze wettelijke documentatie om het zelf te zien. Als dit goed klinkt voor u, voel u dan vrij om

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode