Google Analytics הוא פתרון למדידת ביצועים שיכול לשמש לקבלת תובנות עסקיות לגבי תנועה באתרים ובאפליקציות שלכם. חשוב לוודא שההטמעה של Google Analytics והנתונים שנאספים לגבי מבקרים בנכסים שלכם עומדים בכל הדרישות המשפטיות הרלוונטיות.
חשוב לזכור שכדי להגן על פרטיות המשתמשים, המדיניות והתנאים של Google Analytics קובעים כי אין להעביר ל-Google נתונים שהיא עשויה לזהות כפרטים אישיים מזהים (PII). כמו כן, אסור שהנתונים שאתם אוספים באמצעות Google Analytics יחשפו מידע רגיש על המשתמשים או יאפשרו לזהות אותם. אם אתם רוצים למחוק נתונים משרתי Analytics מכל סיבה שהיא, אתם יכולים לשלוח בקשה למחיקת נתונים או להשתמש ב-User Deletion API.
מה זה HIPAA ועל מי הוא חל?
Health Insurance Portability and Accountability Act (חוק היבילות ואחריות הדיווח של ביטוח בריאות (HIPAA)) משנת 1996 הוא חוק פדרלי של ארה"ב שחל על ישויות בפיקוח HIPAA. החוק והתקנות בדבר יישומו בדרך כלל אינם רלוונטיים ללקוחות Google Analytics שפועלים אך ורק מחוץ לארה"ב, וגם אינם רלוונטיים לכל לקוח שפועל בארה"ב. לקוחות Analytics אחראים לקבוע אם הם ישויות בפיקוח HIPAA ולברר מה המחויבויות שלהם בכפוף ל-HIPAA.
האם אפשר להשתמש ב-Google Analytics בהתאם ל-HIPAA?
אין להשתמש ב-Google Analytics בכל דרך שעלולה ליצור ל-Google התחייבויות לפי HIPAA. על ישויות בפיקוח של HIPAA שמשתמשות ב-Google Analytics להימנע מחשיפת מידע בפני Google שעשוי להיחשב כמידע רפואי מוגן (PHI), גם אם הוא לא מתואר במפורש כפרטים אישיים מזהים בחוזים ובמדיניות של Google. Google אינה מצהירה כי מערכת Google Analytics עומדת בדרישות של HIPAA ואינה מציעה הסכמי שותפות עסקית הקשורים לשירות זה.
ישויות בפיקוח של HIPAA שמעוניינות לברר איך להגדיר את Google Analytics בנכסים שלהן יכולות לעיין במידעון של HHS, שבו מוסבר במדויק מתי מידע נחשב כ-PHI ומתי לא. כמה שלבים נוספים שעליכם לבצע כדי לוודא שהשימוש שאתם עושים ב-Google Analytics מותר הם:
- ללקוחות שכפופים ל-HIPAA אסור להשתמש ב-Google Analytics בכל דרך שמערבת גישה של Google ל-PHI או איסוף מידע כזה, והם רשאים להשתמש ב-Google Analytics רק בדפים שלא נכללים בכיסוי ב-HIPAA.
- סביר להניח שדפים מאומתים נכללים בכיסוי של HIPAA, וללקוחות אסור להגדיר תגים של Google Analytics בדפים כאלה.
- קיימת סבירות גבוהה שדפים לא מאומתים הקשורים למתן שירותי בריאות, כולל כמתואר במידעון של HHS, נכללים בכיסוי של HIPAA, וללקוחות אסור להגדיר תגי Google Analytics בדפים שנכללים בכיסוי של HIPAA.
- מומלץ להתייעץ עם הצוות המשפטי שלכם כדי לזהות דפים באתר שלכם שאינם קשורים למתן שירותי בריאות, כדי שההגדרה של Google Analytics לא תוביל לאיסוף PHI.