De Health Insurance Portability and Accountability Act (HIPAA) uit 1996 is ingewikkeld. De geconsolideerde tekst is meer dan honderd pagina's lang en omvat veel onderwerpen. Privacy is er natuurlijk één van, maar niet de enige: er zijn regels voor technische standaarden voor medische dossiers, rechten op gegevensportabiliteit, enzovoort.
Omdat de tekst zo ingewikkeld is, kan het moeilijk zijn om sommige basisregels van de HIPAA te begrijpen. Hieronder valt ook de definitie van beschermde gezondheidsinformatie (PHI). Wij zijn er om u te helpen.
Wat is PHI?
Beschermde gezondheidsinformatie - meestal PHI genoemd - is precies wat er op het etiket staat: gezondheidsinformatie die wordt beschermd onder HIPAA.
Dit lijkt misschien triviaal, maar dat is het niet. De HIPAA is een sectorgerichte wet die zorgverleners en tussenpersonen zoals betalingsproviders reguleert. De wet vertelt deze entiteiten wat ze wel en niet mogen doen met medische informatie, maar biedt geen algemene bescherming voor medische gegevens, wat betekent dat andere entiteiten dergelijke informatie kunnen verwerken zonder gebonden te zijn aan de HIPAA.
Met andere woorden, HIPAA is alleen van toepassing op bepaalde gegevens en bedrijven. Dit wordt weerspiegeld in de zeer ingewikkelde manier waarop PHI wettelijk is gedefinieerd.
Hoe wordt PHI gedefinieerd?
De definitie van PHI combineert drie verschillende en cumulatieve vereisten:
- het heeft betrekking op de gezondheidstoestand van een individu of de verlening van gezondheidszorg (= het is gezondheidsinformatie)
- het heeft betrekking op een identificeerbare persoon (= het is persoonlijk identificeerbare informatie, afgekort PII)
- het is gecreëerd door een zorgverlener of een andere entiteit die onder de HIPAA valt
De eerste vereiste: gezondheidsinformatie
HIPAA heeft alleen betrekking op informatie die verband houdt met de gezondheidstoestand van een individu of de levering van gezondheidszorg. Dit kan bijvoorbeeld een diagnose van een ziekte zijn, een medische behandeling die is gegeven of het feit dat er een afspraak is gemaakt met een medische professional.
De tweede vereiste: betrekking hebben op een geïdentificeerde persoon
Alle PHI is identificeerbare informatie. Dat wil zeggen: het identificeert direct een persoon of kan redelijkerwijs worden gebruikt om die persoon te identificeren. Dit betekent dat het identificeerbare gegevens bevat zoals naam, adres, e-mail of unieke identificeerbare gegevens (zoals die vaak te vinden zijn in tracking cookies).
De derde vereiste: verzameld door een HIPAA-gedekte entiteit
Gegevens vallen alleen onder HIPAA als ze zijn verzameld door een entiteit die zelf onder de wet valt. Hoe contra-intuïtief het ook is, precies dezelfde informatie kan wel of niet PHI zijn, afhankelijk van waar ze vandaan komt.
Dus wie valt er onder HIPAA?
- zorgverleners zoals ziekenhuizen, individuele artsen en apotheken
- ziektekostenverzekeringen
- clearinghouses voor gezondheidsgegevens, dat wil zeggen tussenpersonen voor gezondheidsgegevens. Dit kunnen soms ook betalingsaanbieders zijn
Waarom is het belangrijk?
De HIPAA bevat een reeks regels die gezamenlijk de Privacy Rule worden genoemd. Deze regels voorzien in privacy- en beveiligingsnormen met betrekking tot PHI, waaronder strikte openbaarmakingsbeperkingen.
De regels voor openbaarmakingsbeperking zijn behoorlijk complex, maar om het grof te vereenvoudigen:
- HIPAA-gedekte entiteiten mogen altijd PHI openbaar maken als dit nodig is om zorg te verlenen, voor het functioneren van het gezondheidszorgsysteem, of in andere specifieke scenario's (bijvoorbeeld omdat een wet hen hiertoe verplicht).
- voor alle andere openbaarmakingen is schriftelijke toestemming van de betrokkene nodig.
Een ziekenhuis kan bijvoorbeeld behandelingsinformatie doorsturen naar uw verzekeringsplan voor factureringsdoeleinden of deze doorsturen naar uw nieuwe ziekenhuis zodat medische professionals verdere behandelingen beter kunnen beoordelen. Aan de andere kant kunnen ze uw gegevens niet verkopen aan gegevensmakelaars of doorgeven aan derden voor marketingdoeleinden, tenzij u hen daar toestemming voor geeft.
Het is cruciaal om te begrijpen welke gegevens wel en niet PHI zijn. Als u onder HIPAA valt, betekent dit niet dat alle gegevens die u beheert PHI zijn! De eerste stap om te voldoen aan HIPAA is dus precies begrijpen op welke gegevens de PHI wel en niet van toepassing is.
Ziekenhuizen moeten bijvoorbeeld persoonlijk identificeerbare informatie over hun werknemers verwerken om lonen uit te betalen, maar de HIPAA heeft geen betrekking op deze gegevens omdat ze geen verband houden met gezondheidszorg.
Niet alle gevallen zijn even duidelijk, maar dezelfde regels gelden altijd: informatie is alleen PHI als deze persoonlijk identificeerbaar is, betrekking heeft op de gezondheid of gezondheidszorg en verzameld is door een entiteit die onder de HIPAA valt.
Is de HIPAA van belang voor web analytics?
Ja, inderdaad. Webanalyseservices die gebruikmaken van cookies en andere trackingmechanismen kunnen leiden tot de onbedoelde openbaarmaking van PHI, waarvoor een onder de HIPAA vallende entiteit aansprakelijk kan worden gesteld. De HHS stelt ook duidelijk dat cookiebanners niet gelden als een geldige autorisatie onder HIPAA.
Dit betekent niet dat u geen op tracking gebaseerde analysetools kunt implementeren op een manier die in overeenstemming is met HIPAA. U kunt dit nog steeds doen als u de inhoud van uw webpagina's zorgvuldig evalueert en elke vorm van tracking uitschakelt wanneer dit zou kunnen leiden tot een ongeautoriseerde openbaarmaking van PHI.
Maar dit is omslachtig, vereist enige juridische expertise en kan ertoe leiden dat veel pagina's van uw website volledig worden uitgesloten van uw analyses.
Laatste gedachten
Het is belangrijk om te weten of je wel of niet onder HIPAA valt en te maken hebt met PHI. Als dat zo is, moet u de juiste stappen nemen om hieraan te voldoen, wat ook van invloed is op zakelijke praktijken zoals website tracking.
Waarom kan het ons wat schelen? We hebben Simple Analytics juist om deze reden gebouwd. Het is een privacy-vriendelijk Google Analytics-alternatief dat uitsluitend vertrouwt op niet-persoonlijke gegevens om u alle inzichten te geven die u nodig hebt over de prestaties van uw websites en marketingcampagnes.
Wij geloven in een privacy-vriendelijk internet en gebruiken geen cookies, vingerafdrukken of andere trackingtechnologie om uw bezoekers te bespioneren.
Als u ook gelooft in een privacy-vriendelijk internet, of als u het gewoon zat bent om te moeten omgaan met de HIPAA en de bijbehorende nalevingshoofdpijn, probeer ons dan eens uit!