Google Analytics adalah solusi pengukuran yang dapat digunakan untuk memperoleh insight bisnis tentang traffic di situs dan aplikasi Anda. Penting untuk memastikan bahwa penerapan Google Analytics dan data yang dikumpulkan tentang pengunjung properti Anda memenuhi semua persyaratan hukum yang berlaku.
Ingat bahwa untuk melindungi privasi pengguna, kebijakan dan persyaratan Google Analytics mewajibkan data yang diteruskan ke Google tidak dapat dikenali Google sebagai informasi identitas pribadi (PII), dan data yang Anda kumpulkan menggunakan Google Analytics tidak boleh mengungkapkan informasi sensitif apa pun tentang pengguna, atau menunjukkan identitasnya. Jika Anda perlu menghapus data dari server Analytics karena alasan apa pun, Anda dapat menjadwalkan permintaan penghapusan data atau menggunakan User Deletion API.
Apa yang dimaksud dengan HIPAA dan untuk siapa HIPAA berlaku?
Health Insurance Portability and Accountability Act (HIPAA) tahun 1996 adalah hukum federal Amerika Serikat yang berlaku untuk entitas yang tunduk pada HIPAA. Hukum dan peraturan penerapannya biasanya tidak relevan bagi pelanggan Google Analytics yang beroperasi secara eksklusif di luar AS atau bagi setiap pelanggan yang beroperasi di dalam AS. Pelanggan Analytics bertanggung jawab untuk menentukan apakah mereka adalah entitas yang tunduk pada HIPAA dan apa saja kewajiban mereka berdasarkan HIPAA.
Dapatkah Google Analytics digunakan sesuai dengan HIPAA?
Pelanggan tidak boleh menggunakan Google Analytics dengan cara apa pun yang dapat menimbulkan kewajiban hukum bagi Google berdasarkan HIPAA. Entitas yang tunduk pada HIPAA yang menggunakan Google Analytics tidak boleh mengekspos data apa pun yang mungkin dianggap sebagai Informasi Kesehatan Terlindungi (PHI) kepada Google, meskipun jika tidak secara jelas dideskripsikan sebagai PII dalam kontrak dan kebijakan Google. Google tidak memberikan pernyataan bahwa Google Analytics sudah memenuhi persyaratan HIPAA dan tidak menawarkan Perjanjian Rekanan Bisnis sehubungan dengan layanan ini.
Untuk entitas yang tunduk pada HIPAA yang ingin menentukan cara mengonfigurasi Google Analytics di properti mereka, buletin HHS menyediakan panduan khusus tentang kapan data mungkin dan mungkin tidak dikualifikasikan sebagai PHI. Berikut beberapa langkah tambahan yang harus Anda lakukan untuk memastikan penggunaan Google Analytics oleh Anda diizinkan:
- Pelanggan yang tunduk pada HIPAA tidak boleh menggunakan Google Analytics dengan cara apa pun yang mengimplikasikan akses ke, atau pengumpulan, PHI, oleh Google dan hanya boleh menggunakan Google Analytics di halaman yang tidak tercakup dalam HIPAA.
- Halaman yang dilindungi dengan autentikasi kemungkinan akan tercakup dalam HIPAA dan pelanggan tidak boleh menetapkan tag Google Analytics di halaman tersebut.
- Halaman yang tidak dilindungi dengan autentikasi yang terkait dengan penyediaan layanan perawatan kesehatan, termasuk yang dideskripsikan dalam buletin HHS, kemungkinan besar akan tercakup dalam HIPAA, dan pelanggan tidak boleh menetapkan tag Google Analytics di halaman yang tercakup dalam HIPAA.
- Bekerjasamalah dengan tim hukum Anda untuk mengidentifikasi halaman di situs Anda yang tidak terkait dengan penyediaan layanan perawatan kesehatan, sehingga konfigurasi Google Analytics Anda tidak menyebabkan pengumpulan PHI.