– Die American Hospital Association (AHA) forderte das HHS Office for Civil Rights (OCR) auf, seine Online-Tracking-Leitlinie vom Dezember 2022 zu überdenken, und deutete an, dass seine Definition von geschützten Gesundheitsinformationen (PHI) durch die Einbeziehung von IP-Adressen als eindeutige Kennung möglicherweise zu weit gefasst sei unter HIPAA.
Wie bereits berichtet, hat OCR seine Online-Tracking-Leitlinien herausgegeben, nachdem eine Reihe von Berichten und Sicherheitsverletzungsmeldungen darauf hindeuteten, dass Tracking-Technologien auf zahlreichen Krankenhaus-Websites möglicherweise sensible Daten an Technologieunternehmen wie Meta und Google zurückübertragen haben.
In den Leitlinien von OCR werden die Vor- und Nachteile des Einsatzes von Tracking-Technologie als HIPAA-gedecktes Unternehmen oder Geschäftspartner dargelegt, wobei der Schwerpunkt darauf liegt, sicherzustellen, dass Geschäftspartnervereinbarungen (Business Associate Agreements, BAAs) vorhanden sind.
„Wenn eine Person beispielsweise einen Termin über die Website einer versicherten Klinik für Gesundheitsdienste vereinbart und diese Website Tracking-Technologien von Drittanbietern verwendet, übermittelt die Website möglicherweise automatisch Informationen über den Termin und die IP-Adresse der Person an einen Anbieter von Tracking-Technologie “, bemerkte OCR. „In diesem Fall ist der Anbieter der Tracking-Technologie ein Geschäftspartner und eine BAA ist erforderlich.“
In einem Brief der Rechtsanwältin und Sekretärin der AHA, Melinda Reid Hatton, an OCR-Direktorin Melanie Fontes Rainer äußerte die AHA jedoch Bedenken hinsichtlich des breiten Charakters der Leitlinien, obwohl HHS IP-Adressen seit langem als eindeutige Kennung gemäß HIPAA anerkannt hat.
Die AHA brachte ihre Unterstützung für die Fertigstellung einer vorgeschlagenen Regelung zum Ausdruck, die Personen, die reproduktive Pflege in Anspruch nehmen, zusätzlichen Schutz der Privatsphäre von Patienten bieten würde, war jedoch mit Elementen der Online-Tracking-Leitlinie nicht einverstanden.
„Die AHA geht davon aus, dass diese Leitlinien – zumindest teilweise – auf denselben Bedenken beruhen könnten wie die vorgeschlagene Regel. „Bedauerlicherweise machen die Online-Tracking-Leitlinien einen Fehler, indem sie PHI zu weit fassen – insbesondere, um alle IP-Adressen einzubeziehen“, heißt es in dem Schreiben. „Infolgedessen wird der Leitfaden unbeabsichtigt den Zugang zu glaubwürdigen Gesundheitsinformationen beeinträchtigen. Es sollte sofort ausgesetzt oder geändert werden.“
Konkret schlug die AHA vor, dass die Leitlinien „das Risiko gesundheitlicher Fehlinformationen erhöhen, indem sie eine bloße IP-Adresse als eindeutige Kennung gemäß HIPAA behandeln.“
Die AHA forderte das OCR dazu auf, zu prüfen, ob die Leitlinien angesichts der in der vorgeschlagenen Regelung erwähnten erhöhten Datenschutzmaßnahmen weiterhin notwendig sind, und ermutigte das Amt, eine öffentliche Stellungnahme einzuholen, bevor die Leitlinien erneut herausgegeben oder ganz aufgehoben werden.
Hatton schlug vor, dass die Festlegung von IP-Adressen als eindeutige Kennung im Rahmen des HIPAA ein Hindernis für Krankenhäuser und Gesundheitssysteme darstellen könnte, von denen viele Analysetechnologien und andere Tools implementieren, um „den Zugang der Gemeinschaft zu Gesundheitsinformationen zu verbessern“.
„Krankenhäuser können diese Technologien nur mit Hilfe von Drittanbietern nutzen. Diese Anbieter weigern sich jedoch häufig, die Online-Tracking-Richtlinien einzuhalten, da sie nicht den Beschränkungen des HIPAA unterliegen. Krankenhäuser sind jetzt in der Mitte gefangen“, fuhr die AHA fort.
„Die Online-Tracking-Richtlinie setzt Krankenhäuser und Gesundheitssysteme dem Risiko schwerwiegender Konsequenzen aus – einschließlich Sammelklagen, HIPAA-Durchsetzungsmaßnahmen oder dem Verlust bestehender Investitionen in bestehende Websites, Apps und Portale in zweistelliger Millionenhöhe – für ein Problem, das letztendlich …“ ist nicht von ihnen selbst gemacht.“
Eine aktuelle Studie veröffentlicht in Gesundheitsangelegenheiten fanden Tracking-Technologien von Drittanbietern auf fast allen Websites nichtstaatlicher Akutkrankenhäuser in den USA.
„Durch die Einbeziehung von Tracking-Codes Dritter auf ihren Websites erleichtern Krankenhäuser die Profilerstellung ihrer Patienten durch Dritte“, heißt es in der Studie.
„Diese Praktiken können zu Personenschäden führen, die auftreten, wenn Dritte Zugang zu sensiblen Gesundheitsinformationen erhalten, die eine Person nicht weitergeben möchte. Diese Praktiken können auch zu einer verstärkten gesundheitsbezogenen Werbung führen, die sich an Patienten richtet, sowie zu einer rechtlichen Haftung für Krankenhäuser.“
Die Forscher schlugen vor, dass Krankenhäuser ihre Rechtsabteilung konsultieren, bevor sie Tools von Drittanbietern implementieren. Krankenhäuser sind in erster Linie dazu verpflichtet, die Privatsphäre ihrer Patienten zu schützen
