L’OCR publie un bulletin sur les exigences de l’HIPAA en matière de technologie de suivi en ligne | Roi et Spalding

Le 1er décembre 2022, le HHS Office for Civil Rights (OCR) a publié un bulletin sur les exigences imposées par la Health Insurance Portability and Accountability Act de 1996 (HIPAA) pour les technologies de suivi en ligne concernant la protection de la confidentialité et de la sécurité des informations de santé. Ce bulletin explique comment les règles HIPAA s’appliquent à l’utilisation par les entités réglementées des technologies de suivi en ligne sur leurs pages Web et leurs applications mobiles.

Les technologies de suivi en ligne consistent en un code ou des scripts qui partagent des informations sur la façon dont un visiteur interagit avec cette page Web ou cette application mobile. Les technologies de suivi courantes sur les sites Web incluent les cookies, les pixels de suivi et d’autres balises Web, tandis que les applications mobiles utilisent souvent la technologie de suivi intégrée à l’application pour partager les informations des utilisateurs. Le suivi des informations des utilisateurs peut contribuer à améliorer l’expérience du patient et permettre à ceux qui le souhaitent de recevoir des informations plus pertinentes, mais la divulgation de ces informations comporte des risques. Alors que certains créateurs de sites Web ou d’applications mobiles peuvent écrire leurs propres technologies de suivi, les technologies de suivi sont le plus souvent développées par des tiers tels que Meta/Facebook et Google.

Les prestataires de soins de santé risquent d’enfreindre les règles HIPAA s’ils divulguent des informations de santé protégées (PHI) à des fournisseurs de technologies de suivi tiers. Le bulletin de l’OCR explique que les informations de santé identifiables individuellement (IIHI) comprennent le numéro de dossier médical, l’adresse du domicile, l’adresse e-mail, les dates de rendez-vous, l’adresse IP ou l’emplacement géographique, les identifiants de dispositifs médicaux ou les codes d’identification uniques d’un individu. Ces informations sont généralement considérées comme PHI, même lorsque l’adresse IP ou l’emplacement géographique n’est pas lié à des services de santé spécifiques ou à des informations de facturation. Le bulletin note que les informations sont considérées comme PHI même lorsque le visiteur du site Web n’a pas de relation existante avec le fournisseur, car lorsque la technologie de suivi recueille l’IIHI d’un visiteur, il y a une indication que le visiteur a ou recevra des services de santé de ce fournisseur.

Le bulletin décrit l’application de la HIPAA à la technologie de suivi sur les pages authentifiées par l’utilisateur (où un utilisateur doit se connecter, comme un portail patient), le suivi des pages non authentifiées (où un utilisateur n’a pas à se connecter) et sur les applications mobiles. Sur les pages authentifiées par l’utilisateur, le fournisseur doit s’assurer que s’il existe des technologies de suivi, il n’utilise et ne divulgue les PHI qu’en conformité avec la règle de confidentialité et la règle de sécurité HIPAA. Le fournisseur de la technologie de suivi est un associé commercial et un accord d’associé commercial (BAA) est requis lorsque le fournisseur reçoit, maintient ou transmet régulièrement des RPS au nom du fournisseur pour une fonction couverte (par exemple, les opérations de soins de santé) ou fournit des services qui impliquent la divulgation des RPS.

Pour les pages Web non authentifiées, si les technologies de suivi de ces pages ont accès aux PHI, les règles HIPAA s’appliquent. Par exemple, si les technologies de suivi collectent l’adresse e-mail ou l’adresse IP d’une personne lorsqu’elle visite la page Web de son fournisseur et recherche des rendez-vous disponibles, ces informations sont PHI et protégées par HIPAA. Les règles HIPAA s’appliquent également à tous les PHI collectés via l’application mobile d’un fournisseur, comme une personne qui suit son cycle menstruel, sa température corporelle ou ses informations de prescription. Les PHI de l’application mobile incluent les informations saisies ou téléchargées dans l’application, les informations fournies par l’appareil de l’utilisateur de l’application, telles que les empreintes digitales, l’emplacement du réseau, la géolocalisation, l’ID de l’appareil ou l’ID publicitaire. Cependant, HIPAA ne protège pas les informations saisies dans les applications mobiles proposées par une entité qui n’est pas réglementée par HIPAA.

Le bulletin OCR énumère des considérations supplémentaires pour les entités réglementées utilisant des technologies de suivi. Ils doivent s’assurer que toute divulgation de PHI aux fournisseurs de technologie de suivi est autorisée par la règle de confidentialité HIPAA. Informer un individu dans une politique de confidentialité ou dans les termes et conditions de divulgation de PHI à un fournisseur de technologie de suivi n’est pas suffisant. De même, les bannières de site Web qui demandent aux visiteurs d’accepter ou de rejeter l’utilisation des technologies de suivi par le site Web ne constituent pas une autorisation HIPAA valide, et il ne suffirait pas non plus qu’un fournisseur de technologie de suivi accepte de supprimer les PHI des informations qu’il reçoit ou d’anonymiser les PHI. . Si un fournisseur divulgue des PHI à un fournisseur sans l’autorisation des individus, le fournisseur doit signer un BAA et une autorisation de règle de confidentialité doit être applicable. Le bulletin OCR énumère également les considérations relatives à l’établissement d’un BAA avec un fournisseur de technologie de suivi qui répond à la définition d’« associé commercial ».

Le texte intégral du bulletin HHS OCR, « Utilisation des technologies de suivi en ligne par les entités couvertes par la loi HIPAA et les associés commerciaux », est disponible ici.