Google Analytics, web siteleriniz ve uygulamalarınızdaki trafik hakkında işletme analizleri elde etmek için kullanılabilecek bir ölçüm çözümüdür. Google Analytics uygulamanız ve mülklerinizin ziyaretçileriyle ilgili toplanan veriler tüm geçerli yasal şartları karşılamalıdır.
Kullanıcı gizliliğini korumak amacıyla, Google Analytics politikaları ve şartları doğrultusunda Google'ın kimliği tanımlayabilecek bilgiler (PII) olarak niteleyebileceği hiçbir verinin Google'a iletilmemesi zorunlu kılınmıştır. Ayrıca, Google Analytics'i kullanarak topladığınız hiçbir veri, kullanıcının hassas bilgilerini ya da kimliklerini açığa çıkarmamalıdır. Analytics sunucularındaki verileri herhangi bir nedenle silmeniz gerekirse veri silme isteği planlayabilir veya User Deletion API'yi kullanabilirsiniz.
HIPAA nedir ve kimler için geçerlidir?
1996 Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), HIPAA düzenlemesine tabi tüzel kişiler için geçerli olan bir ABD federal yasasıdır. Genel olarak yasa ve uygulamadaki yönetmelikleri, yalnızca ABD dışında faaliyet gösteren Google Analytics müşterileri için geçerli değildir. Ayrıca, ABD'de faaliyet gösteren her müşteri için de alakalı değildir. HIPAA düzenlemesine tabi olan tüzel kişiler olup olmadıklarını ve HIPAA kapsamındaki yükümlülüklerini belirlemekte sorumluluğu Analytics müşterilerine aittir.
Google Analytics, HIPAA'ya uygun şekilde kullanılabilir mi?
Müşteriler, Google Analytics'i, Google için HIPAA kapsamında yükümlülükler oluşturabilecek şekilde kullanmaktan kaçınmalıdır. HIPAA düzenlemesine tabi olan ve Google Analytics kullanan tüzel kişiler, Google'ın sözleşme ve politikalarında kimliği tanımlayabilecek bilgiler (PII) olarak açıkça tanımlanmasa bile, korunan sağlık bilgileri (PHI) olarak kabul edilebilecek verileri Google'a iletmekten kaçınmalıdır. Google, Google Analytics'in HIPAA şartlarını karşıladığını beyan etmez ve bu hizmetle bağlantılı olarak ticari ortaklık sözleşmeleri sunmaz.
HIPAA düzenlemelerine tabi olan ve mülklerinde Google Analytics'i nasıl yapılandıracaklarını belirlemek isteyen tüzel kişiler için HHS bülteninde, verilerin hangi durumlarda PHI olarak kabul edilip hangi durumlarda edilemeyeceğine dair belirli yönergeler sağlanır. Google Analytics kullanımınızın uygunluğundan emin olmak için uygulamanız gereken ek adımlar:
- HIPAA'ya tabi olan müşteriler, Google Analytics'i, Google'ın PHI'ya eriştiğini veya bu bilgileri topladığını ima edecek şekilde kullanmamalıdır ve Google Analytics'i yalnızca HIPAA kapsamında olmayan sayfalarda kullanabilir.
- Kimlik doğrulaması yapılan sayfalar büyük olasılıkla HIPAA kapsamındadır ve müşteriler bu sayfalarda Google Analytics etiketleri ayarlamamalıdır.
- HHS bülteninde açıklananlar dahil olmak üzere, sağlık hizmetlerinin sağlanmasıyla ilgili olan ve kimlik doğrulaması yapılmayan sayfaların HIPAA kapsamında olma olasılığı daha yüksektir. Müşteriler, HIPAA kapsamındaki sayfalarda Google Analytics etiketleri ayarlamamalıdır.
- Google Analytics yapılandırmanızın PHI verilerinin toplanmasına yol açmaması için hukuk ekibinizle birlikte çalışarak sitenizde sağlık hizmetlerinin sağlanmasıyla alakalı olmayan sayfaları belirleyin.