谷歌分析是否符合 HIPAA 标准?我怎样才能知道?

信息安全 希帕 遵守
2021-08-11 23:05:03

我真的很想在需要符合 HIPAA 的网络软件上实施 Google Analytics。但我想知道这是否违反规则。有谁知道我怎么能找到?我搜索了谷歌,但没有太多关于这个主题的内容。与此同时,我将阅读HIPAA 隐私

我们的系统用于管理医疗保健文件和 PDF。没有具体的患者信息,但有与特定客户/公司可能拥有的某些计划相关的信息。我们想要对 Analytics 做的就是确定使用我们系统的浏览器、最常用的文档以及一天中什么时候我们最忙。我们无意收集任何其他信息。

我们可能最终也会使用自定义事件报告。

更新:我要做更多的研究,但想发布这个非常有帮助的链接:http ://www.hipaa.com/2009/09/hipaa-protected-health-information-what-does-phi -包括/

我的解决方案:

因为我只需要跟踪自定义事件和基本的用户活动/浏览器数据。我最终做的是在页面上嵌入 iframe

<iframe id="analyticsFrame" name="analyticsFrame" src="/analytics.htm" border="0" height="0" width="0"></iframe>

analytics.htm 的来源:

<script type="text/javascript">
    //keep analytics going gaining access to the top window
    var top = null,
        parent = null;
</script>
<script type="text/javascript" async="" src="https://ssl.google-analytics.com/ga.js"></script>
<script type="text/javascript">
  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-xxxxxxxx-xx']);
  _gaq.push(['_setDomainName', 'domain.com']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[1]; s.parentNode.insertBefore(ga, s);
  })();

</script>

然后我使用了自定义事件记录功能...

// see http://code.google.com/apis/analytics/docs/tracking/eventTrackerGuide.html for documentation
function trackEvent (eventType, action, label) {
    if (document.getElementById('analyticsFrame')) {
        self.frames['analyticsFrame']._gaq.push(['_trackEvent', eventType, action, label]);
    }
}

整个想法是尝试将 GA 锁定在主窗口之外,将其限制在 iframe 内,以便它仍然可以收集有关用户的数据,但与内容无关。然后我记录我想记录的任何事件。

4个回答

如果您的 ePHI 与 Google 共享,那么您需要与他们签订商业伙伴协议。Google 可能不会与您签署 BAA,因此这可能不是一个选择。剩下的唯一选择是不与他们共享任何 ePHI。

从您的问题中很难判断您是否与他们共享 ePHI。我不完全确定,但仅仅拥有健康保险可能被视为 ePHI,这意味着如果您的“客户/公司”可以映射到一个人,那么它可能被视为 ePHI。对于我的其余答案,我将假设您的内容中包含 ePHI。如果您不能确定您的内容中没有 ePHI,您应该假设您已被覆盖,直到您可以证明并非如此。这个基本问题“是否涵盖 HIPAA”是这里的真正问题。无耻的插件:这个问题在 O'Reillys有意义的使用和超越中仔细讨论我写的(请参阅第 12 章,HIPAA 是否涵盖我?)。因为您无法通过 Google 获得 BAA,所以您不得与他们分享或实际上存在分享 ePHI 的危险。如果我是您的律师(我同时是 IANAL 和 IANYL),那么我会担心您会在今天没有 ePHI 的渠道中开始使用 Google Analytics 等服务,并且即使在该渠道之后也不会重新评估该使用获取 ePHI。为你正在做的事情和你将要做的事情做出正确的决定。

但可能有一种解决方法。您所要做的就是确保您没有共享 PHI,显然,您想要的只是收集有关 HIPAA 未涵盖的信息的数据(我假设您正在谈论的文件是公开可用的非客户特定的文件)。

为此,请在可能包含 PHI 的站点的每个页面中创建一个隐藏的 iframe。在该 iframe 中,加载一个除了启动谷歌分析之外什么都不做的文档。确保您没有遵循 google 的关于使 iframe 谷歌分析“正常”工作的说明。这将允许您收集每个页面上所有用户的浏览器数据,而无需跟踪他们加载的页面或这些页面的内容。对 Google 来说,您应该一次又一次地加载同一个页面。然后,假设您有一个链接到文档的“一般文档页面”,但不包含 ePHI,您还可以在该页面上包含分析代码。这应该告诉您正在单击哪些文档链接。

从本质上讲,在不知道您的站点是如何构建的情况下,这是关于如何在您的站点上创建一个“分析区”以确保您永远不会犯 PHI 错误的一种猜测。我可能对您的网站的构建方式有误,但考虑到任何合理的架构,可能有一种方法可以在不完全搞砸的情况下获得这种“区域”效果。

我不确定 Google Analytics 是否符合 HIPAA - 但还有其他选项可以符合要求。Piwik 是一个进行 Google Analytics 风格跟踪的开源项目,但您可以将数据和代码存储在自己的安全服务器上,这样您就不必跳过与其他业务打交道的所有环节。

更新:(非法律建议)HIPAA 仅涵盖“受保护的健康信息”。谷歌分析只跟踪点击、一些会话信息,也许还有一个通用的用户 ID,所以 HIPAA 并不真正适用于它。因此,您似乎不必拥有已签署的 BAA。

HIPAA 规范受保护的健康信息 (PHI)。您提到没有“特定的患者信息”,但如果有患者信息,您需要非常确保以正确的方式匿名以符合HIPAA 规定仅仅删除某人的名字是不够的;您需要采取更多措施避免侵犯患者隐私。

如果您的文档中没有任何患者数据,或者患者数据已被充分匿名化,则使用 Google Analytics(分析)不应该存在任何 HIPAA 问题。与几乎所有与 HIPAA 相关的东西一样,这不是工具是否合规,而是您使用该工具所做的事情

由于 HIPAA 法规的复杂性,我绝对建议您让您的公司法律顾问参与其中。侵犯隐私可能会被处以巨额罚款,所以安全总比后悔好。

简短的回答是 Google Analytics 不符合 HIPAA。所以,如果他们收集的任何东西都有 PHI,那么你就违反了。

还有其他方法可以收集浏览器类型。即使是在每个页面加载时插入浏览器类型的简单数据库调用也是一个足够简单的解决方案。然后,您可以从该数据中生成比 Google Analytics(分析)提供的更好的报告。

其它你可能感兴趣的问题
上一篇为什么远程桌面连接会损害我的电脑? 下一篇我的 ISP 可以查看我使用的 VPN 协议吗?