HIPAA-naleving voor websitetracering vereist dat gedekte entiteiten en zakenpartners elke trackingtechnologie van derden beoordelen die is ingezet op pagina's die mogelijk beschermde gezondheidsinformatie (PHI) verwerken. Volgens de OCR-richtlijnen van HHS uit december 2022, bijgewerkt in maart 2024, kunnen scripts die IP-adressen, navigatiepaden of aan gezondheid gerelateerde zoektermen verzamelen op geauthenticeerde patiëntpagina's een HIPAA-overtreding vormen zonder passende beveiligingsmaatregelen en Business Associate Agreements.
Waarom trackingscripts HIPAA-risico's creëren
Zorgwebsites trekken een specifiek type gebruikersintentie aan. Een bezoeker die zoekt naar "behandeling depressie" of inlogt op een patiëntportaal deelt gezondheidsgegevens via die interactie, zelfs zonder een formulier in te vullen. Standaard webanalyse- en advertentietools leggen deze interactiegegevens vast door hun ontwerp.
Het probleem is dat deze tools — Google Analytics, Meta Pixel, LinkedIn Insight Tag, sessie-opnameservices en honderden anderen — de verzamelde gegevens naar servers van derden sturen. Wanneer de paginacontext die van een zorgaanbieder is, kwalificeren die gegevens vaak als PHI onder HIPAA, en de gegevensverwerker heeft dan een Business Associate Agreement (BAA) nodig. De meeste trackinglêveranciers ondertekenen geen BAA's die deze gegevens dekken. Google Analytics, Meta en vergelijkbare door advertenties gefinancierde platforms sluiten gezondheids-trackinggegevens doorgaans uit van BAA-dekking of weigeren er überhaupt een te ondertekenen.
De OCR-richtlijnen van 2022 en wat er veranderde
Vóór december 2022 namen veel zorginstellingen aan dat trackingpixels waren toegestaan op openbare pagina's, omdat patiënten niet waren ingelogd en er niet rechtstreeks toegang was tot medische dossiers.
Het bulletin van het Office for Civil Rights (OCR) van HHS uit december 2022 sloot die aanname. OCR stelde dat trackingtechnologieën op niet-geauthenticeerde pagina's ook PHI kunnen blootstellen wanneer de paginacontext een gezondheidstoestand onthult: de afsprakenpagina van een ziekenhuis, een symptoomchecker of een pagina met informatie over specifieke aandoeningen. Bijgewerkte richtlijnen van maart 2024 verzachtten het oorspronkelijke standpunt van OCR over sommige scenario's op niet-geauthenticeerde pagina's, maar handhaafden dat tracking op geauthenticeerde pagina's zonder BAA een overtreding blijft.
De operationele toets volgens de huidige OCR-richtlijnen:
- Is de entiteit een gedekte entiteit of zakenpartner onder HIPAA?
- Identificeren de verzamelde gegevens (IP-adres, URL, zoekterm, verwijzingsbron) een persoon in verband met een gezondheidstoestand, zorgdienst of betaling voor zorg?
- Heeft de trackinglêverancier een ondertekende BAA die de verzamelde gegevens dekt?
Als 1 en 2 ja zijn en 3 nee, creëert de trackingtechnologie HIPAA-aansprakelijkheid.
Welke gegevenselementen PHI worden op zorgwebsites
| Gegevenselement | Wanneer het PHI wordt | Voorbeeldscenario |
|---|---|---|
| IP-adres | Wanneer gekoppeld aan een paginabezoek over een gezondheidstoestand | Patiënt bezoekt oncologieafdeling, IP verzonden naar Meta Pixel |
| Pagina-URL | Wanneer de URL een naam van een aandoening of behandeling bevat | Pad /kankerbehandeling of /geestelijke-gezondheidszorg in analyses |
| Verwijzings-URL | Wanneer het een gezondheidstoestand onthult via zoekopdracht | Verwijzing van zoekterm "rugpijnspecialist bij mij in de buurt" |
| On-site zoektermen | Altijd, op geauthenticeerde zorgpagina's | Patiëntportaalzoekopdracht "bloeddrukgeneesmiddel" |
| Login-/accountstatus | Op geauthenticeerde pagina's | Ingelogde gebruiker op patiëntportaal die laboratoriumresultaten bekijkt |
| Formulierinvoergegevens | Tijdens het indienen van formulieren, vastgelegd door sessie-opnametools | Symptoomomschrijving in een afspraakverzoekformulier |
Risiconiveau per type trackingtechnologie
| Technologie | Wat het verzamelt | HIPAA-risico op patiëntpagina's | BAA doorgaans beschikbaar? |
|---|---|---|---|
| Google Analytics 4 | IP, pagina-URL's, gebeurtenissen | Hoog | Alleen beperkt bereik |
| Meta Pixel | IP, URL, aangepaste gebeurtenissen | Hoog | Meta weigert BAA |
| LinkedIn Insight Tag | IP, afgeleid professioneel profiel | Gemiddeld | LinkedIn weigert BAA |
| Sessie-opname (Hotjar, FullStory) | Toetsaanslagen, formulierinvoer, muisbewegingen | Zeer hoog | Wisselend; bereik verifiëren |
| Chatwidgets (Intercom, Drift) | Gebruikersberichten, IP, bekeken pagina's | Hoog bij zorginhoud | Individuele BAA vereist |
| A/B-testtools | Paginavariant, gebruikers-ID, klikgegevens | Gemiddeld | Leveranciersvoorwaarden raadplegen |
| Scripts van derden via CDN | Alle gegevens die het geladen script verzamelt | Afhankelijk van scriptdoel | BAA van hoofdleverancier vereist |
Gedocumenteerde incidenten
Kaiser Permanente (2024): Kaiser onthulde een datalek dat 13,4 miljoen leden trof, veroorzaakt door trackingcodes op de webpagina's en mobiele apps van Kaiser. De scripts verstuurden namen van leden, IP-adressen, zoektermen in de gezondheidsencyclopedie en inlogstatus naar externe leveranciers. De volledige incidentanalyse staat op het cside-blog.
Novant Health (2022): Novant Health informeerde 1,3 miljoen patiënten dat Meta Pixel, ingebed in hun patiëntportaal en MyChart-integratie, afspraakdetails, namen van artsen en soorten afspraken naar Meta had gestuurd.
Cerebral (2023): Het geestelijke-gezondheidszorgplatform onthulde dat Meta Pixel, Google en TikTok-trackingpixels die het had ingezet gevoelige geestelijke gezondheidsgegevens hadden vastgelegd — waaronder verklaringen van patiënten en informatie over psychiatrische aandoeningen — die werden doorgegeven aan die advertentieplatforms.
BetterHelp (2023): De FTC bereikte een schikking van 7,8 miljoen dollar met BetterHelp voor het delen van gezondheidsgegevens van consumenten, waaronder e-mailadressen en antwoorden op gezondheidsvragenlijsten, met Facebook en Snapchat voor advertentietargeting.
Een inventaris van trackingtechnologieën uitvoeren
Een aan OCR afgestemde risicobeoordeling voor trackingtechnologieën omvat vier stappen.
Stap 1: Inventariseer elk script op elke pagina. Handmatige controle van tagbeheerders en broncode is onvoldoende — scripts die worden geladen via advertentieplatforms, CDN's of ingesloten partnerwidgets verschijnen mogelijk helemaal niet in de tagbeheerder, en scripts die conditioneel worden geladen vereisen runtime-observatie.
Stap 2: Categoriseer pagina's op gegevensgevoeligheid. Openbare marketingpagina's hebben een lager risico dan patiëntportalen, symptoomcheckers, afsprakenboeking-formulieren en pagina's die authenticatie vereisen. Breng in kaart welk paginatype welke gegevens verwerkt en welke scripts erop worden geladen.
Stap 3: Controleer de BAA-status voor elke trackinglêverancier. Vraag de BAA op en lees de reikwijdtebeperkingen. De meeste door advertenties gefinancierde platforms sluiten gezondheidsgegevens uit van BAA-dekking, zelfs wanneer ze voor andere doeleinden een BAA aanbieden.
Stap 4: Verwijder of blokkeer scripts zonder BAA van hoogrisicopagina's. Voor trackers waarvoor geen BAA beschikbaar is of die is geweigerd, verwijdert u ze van gevoelige pagina's of gebruikt u een scriptbeheerslaag die voorkomt dat ze op specifieke paginapaden worden geladen.
Technische maatregelen die HIPAA-risico's verminderen
Beperk scripts tot goedgekeurde pagina's. Gebruik de tagbeheerder om te voorkomen dat analyse- en advertentiescripts worden geladen op patiëntgerichte pagina's. Zet trackingscripts niet site-breed in op een zorgwebsite; configureer regels per pagina of per sectie.
Gebruik een Content Security Policy als controllaag. Een CSP kan ongeautoriseerde externe scriptbronnen blokkeren op patiëntpagina's. Een CSP alleen is niet afdoende — scripts die worden geleverd via geautoriseerde domeinen kunnen nog steeds gegevens verzamelen — maar het verkleint het aanvalsoppervlak.
Ken de beperkingen van Subresource Integrity. SRI voorkomt dat een script onderweg wordt gewijzigd, maar voorkomt niet dat een ongewijzigd script PHI verzamelt en verzendt zoals het is ontworpen.
Monitor runtime-gedrag, niet alleen configuratie. Scriptgedrag verandert met leveranciersupdates, A/B-tests en CDN-leveringsvariaties. Continu monitoren wat scripts van derden daadwerkelijk verzenden tijdens runtime — niet alleen wat hun documentatie beweert — is noodzakelijk om wijzigingen te detecteren voordat ze datalekken worden.
Hoe Privacy Watch van cside zorgscriptrisico's aanpakt
Privacy Watch van cside monitort het runtime-gedrag van scripts van derden op webpagina's en identificeert welke gegevens elk script van de pagina leest en waarheen het die stuurt. Voor zorginstellingen betekent dit continue zichtbaarheid in de vraag of een ingezette trackingpixel PHI-gerelateerde gegevens verzamelt, welke domeinen die ontvangen en of er nieuwe scripts verschijnen op pagina's die beperkt zouden moeten zijn.
Wanneer een script wordt geladen op een pagina buiten het goedgekeurde bereik, kan Privacy Watch de gebeurtenis markeren en de uitvoering van het script blokkeren voordat patiëntgegevens de browser verlaten. Deze monitoringlaag legt runtime-gedrag vast dat op configuratie gebaseerde maatregelen en statische tagbeheeraudits niet kunnen detecteren.
