保护健康信息的重要警告
关键要点
- 美国民权办公室警告医疗机构可能会通过使用像 Facebook 和 Google 这样的第三方追踪技术,违规共享受保护的健康信息(PHI)。
- 虽然 HIPAA 不适用于消费者选择的第三方应用,但医疗机构使用的技术必须遵循 HIPAA 合规性。
- 相关医疗服务提供者因使用追踪工具而面临诉讼,并需仔细考虑患者信息的隐私风险。
最近,美国卫生与公众服务部的民权办公室(OCR)发出警告,指出医疗机构可能通过使用像 Facebook 和 Google的像素技术,违规与第三方追踪供应商共享受保护健康信息(PHI),这违反了健康保险的可携性和责任法(HIPAA)。
尽管 HIPAA 不适用于消费者为个人健康需求选择的第三方应用,但医疗机构为其业务而选择的技术无疑必须遵循隐私和安全规定。OCR的警告明确指出,受监管的实体不得以任何可能导致 不当披露电子受保护健康信息(ePHI)给追踪技术供应商的方式使用这些追踪技术。
部门发布的公告涉及网页追踪、移动应用追踪和选择使用追踪技术提升服务的受监管实体的 HIPAA合规义务等问题。这一警告是在一系列泄露事件之后发布的,这些事件影响了近 650 万名患者,这些事件涉及到 WakeMed Health和医院、、社区健康网络和,均与这些提供商在其网站、应用和患者门户上使用像素追踪工具以获取患者互动的决策相关。
根据最近的,这些提供商很可能并未意识到该像素工具正在与相关技术供应商共享数据。例如,社区健康网络的通知指出,公告是因在两份调查报告发布后,它才了解到其网站上可能发生患者数据被抓取的情况,这些报告详细描述了
Meta 的像素追踪工具的未经授权披露。
至少三家提供商与 Meta 因这一无意披露面临患者主导的诉讼,尽管科技巨头否认从医院网站抓取数据。无论意图如何,OCR主任梅拉尼·丰特斯·瑞纳指出:“提供商、健康计划和遵循 HIPAA的实体,包括技术平台,必须遵循法律。这意味着在使用追踪技术时,必须考虑到患者健康信息的风险。”
公告进一步明确,缺乏 HIPAA 合规的患者授权,故意或无意披露健康数据给追踪技术供应商的实体可能会违反 HIPAA 规则。HHS 还指出,这不仅关乎
HIPAA 违规:这些披露可能导致患者受到伤害。“这种披露可能揭示个人的极其敏感信息,包括诊断、就诊频率以及个人接受治疗的地点。”
向第三方供应商的披露可能导致欺诈尝试、身份盗窃、歧视、污名化、经济损失或其他对患者健康数据标识的严重后果。
根据公告,虽然对追踪技术供应商的不当披露一直是不容许的,但由于收集敏感信息的追踪技术的普及,受监管的实体必须确保仅在 HIPAA隐私规则明确允许或要求的情况下才披露 PHI。
该公告提醒提供商组织,诸如 Google Analytics 和 Meta Pixel之类的在线追踪工具确实会收集和分析有关消费者与受监管实体的网站或移动应用的互动信息——这可能构成 HIPAA 违规。
不仅如此,从事医疗保健的实体在实践之前必须获得患者的同意,同时还必须确保这些追踪技术供应商签署业务合作伙伴协议(BAA),以符合 HIPAA的要求。并且,除非适用例外情况,PHI 的披露仅应为“达到预期目的所需的最小量。”
如果没有适用的隐私规则或该供应商不是受监管实体的商业合作