È conforme a Google Analytics HIPAA? Come posso scoprirlo?

16

Mi piacerebbe davvero implementare Google Analytics nel mio lavoro sul software web che deve essere conforme a HIPAA. Ma mi chiedo se sia contro le regole. Qualcuno sa come posso scoprirlo? Ho cercato su Google, ma non c'è molto sull'argomento. Nel frattempo, leggerò Privacy HIPAA .

Il nostro sistema è utilizzato per gestire documenti sanitari e PDF. Non ci sono informazioni specifiche sul paziente, ma potrebbero esserci informazioni relative a determinati piani per un cliente / azienda specifici. Tutto ciò che vorremmo fare con Analytics è determinare i browser che utilizzano il nostro sistema, quali sono i documenti utilizzati più frequentemente e in quale momento del giorno siamo i più attivi. Non abbiamo intenzione di raccogliere altre informazioni.

Probabilmente finiremmo per utilizzare anche rapporti sugli eventi personalizzati.

Aggiornamento: ho intenzione di fare qualche ricerca in più, ma ho voluto postare questo link che è stato estremamente utile: link

La mia soluzione:

Poiché devo solo tenere traccia degli eventi personalizzati e dei dati di attività / browser utente di base. Quello che ho finito è inserire un iframe nella pagina

<iframe id="analyticsFrame" name="analyticsFrame" src="/analytics.htm" border="0" height="0" width="0"></iframe>

Sorgente di analytics.htm:

<script type="text/javascript">
    //keep analytics going gaining access to the top window
    var top = null,
        parent = null;
</script>
<script type="text/javascript" async="" src="https://ssl.google-analytics.com/ga.js"></script><scripttype="text/javascript">
  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-xxxxxxxx-xx']);
  _gaq.push(['_setDomainName', 'domain.com']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[1]; s.parentNode.insertBefore(ga, s);
  })();

</script>

Poi ho usato una funzione di registrazione eventi personalizzata ...

// see http://code.google.com/apis/analytics/docs/tracking/eventTrackerGuide.html for documentation
function trackEvent (eventType, action, label) {
    if (document.getElementById('analyticsFrame')) {
        self.frames['analyticsFrame']._gaq.push(['_trackEvent', eventType, action, label]);
    }
}

L'idea generale è di provare a bloccare GA fuori dalla finestra principale, limitandolo all'interno dell'iframe in modo che possa ancora raccogliere dati sugli utenti, ma nulla relativo al contenuto. Poi registro tutti gli eventi che voglio registrare.

    
posta Webnet 08.11.2011 - 13:57
fonte

5 risposte

11

Se il tuo ePHI è condiviso con Google, devi avere un Accordo di Business Associates con loro. Google probabilmente non firmerà un BAA con te, quindi probabilmente non è un'opzione. L'unica opzione che rimane è non condividere alcun ePHI con loro.

È difficile dire, dalla tua domanda, se stai condividendo ePHI con loro o meno. Non ne sono del tutto sicuro, ma solo l'assicurazione sanitaria potrebbe essere considerata ePHI, il che significa che se il tuo "cliente / azienda" può mai essere mappato a una persona, allora potrebbe essere considerato ePHI. Supporrò che tu abbia eFI nel tuo contenuto per il resto della mia risposta. Se non puoi essere sicuro di non avere eFI nel tuo contenuto, dovresti presumere di essere coperto finché non proverai il contrario. Questa domanda di base "è HIPAA coperto o no" è il vero problema qui. Plug spudorato: questo problema è stato trattato con attenzione in O'Reillys Uso significativo e oltre che ho scritto (guarda nel capitolo 12 HIPAA coprimi?). Poiché non puoi ottenere un BAA con Google, non devi condividere, o praticamente parlare, essere in pericolo di condivisione, ePHI con loro. Se fossi il tuo avvocato (e io sono sia IANAL che IANYL), sarei preoccupato che tu inizi ad utilizzare un servizio come Google Analytics in un canale che non ha eFI oggi, e non rivalutare quell'uso anche dopo quel canale ottiene ePHI. Prendi buone decisioni per quello che stai facendo e per quello che farai.

Ma probabilmente c'è una soluzione alternativa. Tutto quello che devi fare è essere sicuri di non condividere PHI e, apparentemente, tutto ciò che desideri è raccogliere dati riguardanti informazioni che non sono coperte da HIPAA (presumo che i documenti di cui stai parlando siano pubblicamente disponibili non specifici del cliente documenti).

Per riuscirci, crea un iframe nascosto in ogni pagina del sito che potrebbe contenere PHI. All'interno di questa iframe, carica un documento che non fa altro che avviare google analytics. Assicurati di non seguire le istruzioni di googles su come rendere iframe google analytics funzionante "correttamente". Ciò ti consentirà di raccogliere i dati del brower su tutti i tuoi utenti su ogni pagina, senza tenere traccia delle pagine che caricano o del contenuto di tali pagine. Per Google dovrebbe sembrare che stai caricando la stessa pagina, ancora e ancora. Quindi, supponendo di avere un'unica "pagina documenti generali" che si collega ai documenti, ma non contiene eFI, è possibile includere anche il codice di analisi su quella pagina. Questo dovrebbe dirti quali link di documenti vengono cliccati.

Essenzialmente, senza sapere come è costruito il tuo sito, questa è una supposizione su come potresti creare una "zona di analisi" sul tuo sito per assicurarti di non aver mai commesso un errore PHI. Potrei sbagliarmi su come è costruito il tuo sito, ma data un'architettura ragionevole, potrebbe esserci un modo per ottenere questo effetto "zona" senza rovinare tutto.

    
risposta data 10.11.2011 - 06:44
fonte
7

Non sono sicuro che Google Analytics sia conforme o meno a HIPAA, ma ci sono altre opzioni che possono essere conformi. Piwik è un progetto open source che esegue il monitoraggio dello stile di Google Analytics, ma puoi archiviare i dati e il codice sui tuoi server sicuri in modo da non dover passare attraverso tutti i circuiti per trattare con altre aziende.

Aggiornamento: (non consulenza legale) HIPAA copre solo "informazioni sanitarie protette". Google Analytics tiene traccia degli hit, alcune informazioni sulla sessione e forse un ID utente generico, quindi HIPAA non si applica realmente a questo. Per questo motivo, non sembra che tu debba avere un BAA firmato.

    
risposta data 23.11.2011 - 18:14
fonte
3

L'HIPAA regola le informazioni sanitarie protette (PHI). Hai detto che non c'erano "informazioni specifiche sui pazienti" ma se ci sono informazioni sui pazienti devi assicurarti che sia reso anonimo nel modo giusto per conformarti a Regolamento HIPAA . Basta rimuovere il nome di qualcuno non è abbastanza; devi fare di più per evitare di violare la privacy del paziente.

Se i tuoi documenti non contengono dati sui pazienti o se i dati dei pazienti sono stati sufficientemente anonimizzati, non dovrebbero esserci problemi con HIPAA che utilizzano Google Analytics. Come per tutto ciò che riguarda HIPAA, non è lo strumento che è conforme o meno, è ciò che fai con lo strumento.

A causa della natura ingannevole dei regolamenti HIPAA, consiglierei sicuramente di coinvolgere il vostro consulente legale aziendale. Ci possono essere multe salate per violazioni della privacy, quindi è meglio prevenire che curare.

    
risposta data 10.11.2011 - 03:29
fonte
1

La risposta breve è che Google Analytics non è conforme a HIPAA. Quindi, se qualcosa raccoglie ha PHI, allora saresti in violazione.

Ci sono altri modi per raccogliere il tipo di browser. Anche una semplice chiamata al database che inserisce il tipo di browser su ogni caricamento di pagina sarebbe una soluzione abbastanza semplice. Quindi, potresti eseguire rapporti migliori da tali dati rispetto a quelli forniti da Google Analytics.

    
risposta data 10.11.2011 - 08:03
fonte
1

Google Analytics non è conforme a HIPAA. Anche l'invio di titoli di pagine a Google Analytics può essere visto come una violazione HIPAA, se i titoli delle pagine sono abbastanza descrittivi. Da Google:

Unless otherwise specified in writing by Google, Google does not intend uses of Google Analytics to create obligations under the Health Insurance Portability and Accountability Act, as amended, (“HIPAA”), and makes no representations that Google Analytics satisfies HIPAA requirements. If you are (or become) a Covered Entity or Business Associate under HIPAA, you may not use Google Analytics for any purpose or in any manner involving Protected Health Information unless you have received prior written consent to such use from Google.

Fonte: link

    
risposta data 04.04.2018 - 18:31
fonte

Leggi altre domande sui tag