Google Analytics är en mätningslösning som du kan använda för att få affärsinsikter om trafik på dina webbplatser och i dina appar. Det är viktigt att din Google Analytics-implementering och den data som samlas in om besökarna på dina egendomar uppfyller alla tillämpliga rättsliga krav.
För att skydda användarnas integritet kräver policyerna och villkoren för Google Analytics att det inte skickas med någon data till Google som kan utgöra personligt identifierande information (PII). Data som samlas in via Google Analytics får inte heller avslöja känsliga uppgifter om eller identifiera användare. Om du av någon anledning behöver radera data från Analytics-servrarna kan du schemalägga en begäran om dataradering eller använda User Deletion API.
Vad är HIPAA och vem omfattas av lagen?
HIPAA (Health Insurance Portability and Accountability Act) från 1996 är en amerikansk federal lag som omfattar HIPAA-reglerade rättssubjekt. Lagen och dess förordningar om implementering är vanligtvis inte relevanta för Google Analytics-kunder som enbart är verksamma utanför USA. De styr heller inte alla Analytics-kunder som är verksamma i USA. Analytics-kunder ansvarar själva för att ta reda på om de är HIPAA-reglerade rättssubjekt och vilka skyldigheter de har enligt HIPAA.
Kan Google Analytics användas i enlighet med HIPAA?
Kunder får inte använda Google Analytics på något sätt som kan medföra skyldigheter för Google enligt HIPAA. HIPAA-reglerade rättssubjekt som använder Google Analytics får inte exponera Google för data som kan betraktas som skyddad hälsoinformation (Protected Health Information, PHI), även om den inte uttryckligen beskrivs som PII i Googles avtal och policyer. Google gör inga utfästelser om att Google Analytics uppfyller kraven i HIPAA och erbjuder inte affärspartneravtal (Business Associate Agreements) i samband med denna tjänst.
HIPAA-reglerade rättssubjekt som vill veta hur de bör konfigurera Google Analytics på sina egendomar kan läsa HHS-bulletinen, som innehåller specifik vägledning om när data betraktas som PHI. Du kan även vidta andra åtgärder för att försäkra dig om att din användning av Google Analytics är tillåten:
- Kunder som omfattas av HIPAA får inte använda Google Analytics på ett sätt som innebär att Google har åtkomst till eller samlar in PHI, och får endast använda Google Analytics på sidor som inte omfattas av HIPAA.
- Autentiserade sidor omfattas sannolikt av HIPAA, och kunder ska inte placera Google Analytics-taggar på sådana sidor.
- Icke-autentiserade sidor relaterade till tillhandahållande av hälso- och sjukvårdstjänster, däribland enligt beskrivningen i HHS-bulletinen, omfattas med större sannolikhet av HIPAA. Kunder ska inte placera Google Analytics-taggar på sådana sidor.
- Identifiera tillsammans med ditt juridiska team vilka sidor på din webbplats som inte är relaterade till tillhandahållande av hälso- och sjukvård. På så sätt kan du undvika att din konfiguration av Google Analytics resulterar i insamling av PHI.