¿Cumple Google Analytics HIPAA? ¿Cómo puedo averiguarlo?

Question

¿Cumple Google Analytics HIPAA? ¿Cómo puedo averiguarlo?

#1 de ftrotter (11 votos)
#2 de Aaron C. de Bruyn (7 votos)
#3 de Lynn (3 votos)
#4 de techguy (1 votos)
#5 de wlo (1 votos)

16

Realmente me gustaría implementar Google Analytics en mi trabajo en el software web que se requiere que cumpla con HIPAA. Pero me pregunto si va contra las reglas. ¿Alguien sabe como puedo averiguarlo? He buscado en Google, pero no hay mucho sobre el tema. Mientras tanto, voy a leer sobre Privacidad de HIPAA .

Nuestro sistema se utiliza para gestionar documentos sanitarios y archivos PDF. No hay información específica para el paciente, pero puede haber información relacionada con ciertos planes para un cliente / empresa específica. Todo lo que nos gustaría hacer con Analytics es determinar los navegadores que utilizan nuestro sistema, qué documentos se utilizan con mayor frecuencia y en qué momento del día estamos más ocupados. No tenemos ninguna intención de recopilar ninguna otra información.

Probablemente, también terminaríamos usando informes de eventos personalizados.

Actualización: Voy a investigar un poco más, pero quería publicar este enlace que fue extremadamente útil: enlace

Mi solución:

Ya que solo necesito hacer un seguimiento de los eventos personalizados y la actividad básica del usuario / datos del navegador. Lo que terminé haciendo es incrustar un iframe en la página

<iframe id="analyticsFrame" name="analyticsFrame" src="/analytics.htm" border="0" height="0" width="0"></iframe>

Fuente de analytics.htm:

<script type="text/javascript">
    //keep analytics going gaining access to the top window
    var top = null,
        parent = null;
</script>
<script type="text/javascript" async="" src="https://ssl.google-analytics.com/ga.js"></script><scripttype="text/javascript">
  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-xxxxxxxx-xx']);
  _gaq.push(['_setDomainName', 'domain.com']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[1]; s.parentNode.insertBefore(ga, s);
  })();

</script>

Luego usé una función de grabación de eventos personalizada ...

// see http://code.google.com/apis/analytics/docs/tracking/eventTrackerGuide.html for documentation
function trackEvent (eventType, action, label) {
    if (document.getElementById('analyticsFrame')) {
        self.frames['analyticsFrame']._gaq.push(['_trackEvent', eventType, action, label]);
    }
}

La idea es intentar bloquear GA fuera de la ventana principal, limitándola dentro del iframe para que aún pueda recopilar datos sobre los usuarios, pero nada relacionado con el contenido. Luego grabo los eventos que quiero grabar.

compliance hipaa

pregunta Webnet 08.11.2011 - 13:57

fuente

5 respuestas

Lea otras preguntas en las etiquetas compliance hipaa

¿Existe algún riesgo de seguridad al almacenar variaciones de contraseñas con hash? Criterios para evaluar herramientas de análisis estático

score 11 · Answer 1

Si su ePHI se comparte con Google, entonces necesita tener un Acuerdo de Socios Comerciales con ellos. Es probable que Google no firme un BAA contigo, por lo que probablemente no sea una opción. La única opción que queda es no compartir ningún ePHI con ellos.

Es difícil decir, por su pregunta, si está compartiendo ePHI con ellos o no. No estoy completamente seguro, pero el simple hecho de tener un seguro de salud podría considerarse ePHI, lo que significa que si su "cliente / compañía" puede ser asignado a una persona, entonces podría considerarse ePHI. Asumiré que tiene ePHI en su contenido por el resto de mi respuesta. Si no puede estar seguro de que no tiene ePHI en su contenido, debe asumir que está cubierto hasta que pueda demostrar lo contrario. Esta pregunta básica "¿está o no cubierta por HIPAA?" Es el problema real aquí. Enchufe desvergonzado: este tema se cubrió cuidadosamente en O'Reillys Uso significativo y más allá que escribí (consulte el capítulo 12) HIPAA me cubre?). Debido a que no puede obtener un BAA con Google, no debe compartir, o prácticamente hablando, estar en peligro de compartir, ePHI con ellos. Si yo fuera su abogado (y soy tanto IANAL como IANYL), me preocuparía que comience a usar un servicio como Google Analytics en un canal que no tiene ePHI en la actualidad y no vuelva a evaluar ese uso incluso después de ese canal. obtiene ePHI. Tome buenas decisiones por lo que está haciendo y por lo que hará.

Pero probablemente hay una solución. Todo lo que tiene que hacer es asegurarse de no compartir la PHI, y al parecer, todo lo que desea es recopilar información con respecto a la información que no está cubierta por HIPAA (supongo que los documentos de los que habla están disponibles públicamente, no específicos para el cliente documentos).

Para lograr esto, cree un iframe oculto en cada página del sitio que pueda contener PHI. Dentro de ese iframe, cargue un documento que no haga nada excepto lanzar google analytics. Asegúrese de no seguir las instrucciones de Google para hacer que "iframe google analytics funcione" correctamente ". Esto le permitirá recopilar datos de brower sobre todos sus usuarios en cada página, sin rastrear las páginas que cargan o el contenido de esas páginas. Para Google debería parecer que estás cargando la misma página, una y otra vez. Luego, asumiendo que tiene una sola "página de documentos generales" que enlaza con los documentos, pero que no contiene ePHI, también puede incluir el código analítico en esa página. Esto debería indicarle en qué enlaces de documentos se está haciendo clic.

Básicamente, sin saber cómo se construye su sitio, esta es una suposición sobre cómo podría crear una "zona de análisis" en su sitio que aseguraría que nunca cometió un error de PHI. Puede que me equivoque sobre cómo está construido su sitio, pero dada una arquitectura razonable, puede haber una manera de obtener este efecto de "zona" sin arruinar las cosas totalmente.

score 7 · Answer 2

No estoy seguro de si Google Analytics es compatible con HIPAA o no, pero hay otras opciones que pueden ser compatibles. Piwik es un proyecto de código abierto que realiza el seguimiento del estilo de Google Analytics, pero puede almacenar los datos y el código en sus propios servidores seguros para que no tenga que pasar por todos los obstáculos para tratar con otras empresas.

Actualización: (No se trata de asesoramiento legal) HIPAA solo cubre 'información de salud protegida'. Google Analytics simplemente realiza un seguimiento de los aciertos, información de la sesión y tal vez una identificación de usuario genérica, por lo que HIPAA no se aplica realmente a ella. Debido a eso, no parece que tengas que tener un BAA firmado.

score 3 · Answer 3

HIPAA regula la Información de salud protegida (PHI). Usted mencionó que no había "información específica del paciente", pero si hay información del paciente, debe asegurarse de que se haga de forma anónima de la manera correcta para cumplir con la regulaciones HIPAA . Simplemente quitar el nombre de alguien no es suficiente; debe hacer más para evitar violar la privacidad del paciente.

Si no hay datos de pacientes en sus documentos, o si los datos de los pacientes han sido lo suficientemente anónimos, no debería haber problemas de HIPAA al utilizar Google Analytics. Al igual que con casi todo lo relacionado con HIPAA, no es la herramienta la que cumple o no, es lo que hace con la herramienta.

Debido a la naturaleza delicada de las regulaciones de HIPAA, definitivamente recomendaría que se involucre a su asesor legal corporativo. Puede haber multas considerables por violaciones a la privacidad, por lo que es mejor prevenir que lamentar.

score 1 · Answer 4

La respuesta corta es que Google Analytics no es compatible con HIPAA. Entonces, si algo de lo que recopilan tiene PHI, estarías en violación.

Hay otras formas de recopilar el tipo de navegador. Incluso una simple llamada de base de datos que inserte el tipo de navegador en cada carga de página sería una solución bastante simple. Entonces, podría ejecutar mejores informes a partir de esos datos de los que proporcionaría Google Analytics.

score 1 · Answer 5

Google Analytics no es compatible con HIPAA. Incluso el envío de títulos de página a Google Analytics puede verse como una violación de HIPAA, si los títulos de página son lo suficientemente descriptivos. De Google:

A menos que Google especifique lo contrario, Google no lo hace intención de los usos de Google Analytics para crear obligaciones en virtud de la Salud Ley de Portabilidad y Responsabilidad de Seguros, según enmendada, ("HIPAA"), y no hace ninguna declaración de que Google Analytics satisfaga a HIPAA requisitos Si usted es (o se convierte) en una Entidad o Negocio Cubierto Asociado bajo HIPAA, no puede usar Google Analytics para ninguna propósito o de cualquier manera que involucre información médica protegida a menos que ha recibido un consentimiento previo por escrito de Google para dicho uso.

Fuente: enlace