Google Analytics er en måleløsning, som du kan bruge til at opnå forretningsrelateret indsigt vedrørende trafikken på dine websites og i dine apps. Det er vigtigt, at du sikrer dig, at din implementering af Google Analytics og de data, der indsamles om besøgende på dine ejendomme, opfylder alle gældende juridiske krav.
Husk! For at beskytte brugernes personlige oplysninger må der i henhold til Google Analytics-politikkerne og -vilkårene ikke overføres data, der kan betegnes som personhenførbare oplysninger, til Google, og ingen af de data, der indsamles via Google Analytics, må omfatte følsomme oplysninger om en bruger eller oplysninger, der kan bruges til identifikation af vedkommende. Hvis du af en eller anden årsag har behov for at få specifikke data på Analytics-serverne slettet, kan du sende en anmodning om sletning af data eller benytte API til brugersletning.
Hvad er HIPAA (Health Insurance Portability and Accountability Act), og hvem er underlagt den?
HIPAA (Health Insurance Portability and Accountability Act) af 1996 er en amerikansk føderal lov, som visse juridiske enheder er underlagt. Loven og dens bestemmelser vedrørende implementering er generelt ikke relevante for Google Analytics-kunder, der udelukkende driver virksomhed uden for USA, og heller ikke for alle kunder, der driver virksomhed i USA. Analytics-kunder er selv ansvarlige for at fastslå, om deres juridiske enhed er underlagt HIPAA, og hvilke forpligtelser de i givet fald har i henhold til HIPAA.
Er det muligt at bruge Google Analytics uden at overtræde HIPAA?
Kunder må ikke bruge Google Analytics på en måde, som kan medføre forpligtelser for Google i henhold til HIPAA. Når ejere eller administratorer af juridiske enheder, som er underlagt HIPAA, bruger Google Analytics, må de ikke give Google adgang til data, der kan betragtes som PHI (Protected Health Information), og dette gælder også, selvom disse data ikke er udtrykkeligt angivet som personhenførbare oplysninger i Googles kontrakter og politikker. Google garanterer ikke, at Google Analytics opfylder HIPAA-kravene, og tilbyder ikke Business Associate Agreements i forbindelse med denne tjeneste.
Hvis du er ejer eller administrator af en juridisk enhed, som er underlagt HIPAA, og gerne vil finde ud af, hvordan du konfigurerer Google Analytics på din ejendom, kan du i denne HHS-bulletin finde en specifik vejledning i, hvordan du afgør, om data betragtes som PHI. Her er nogle andre ting, du skal være opmærksom på for at sikre dig, at din brug af Google Analytics er tilladt:
- Kunder, som er underlagt HIPAA, må ikke bruge Google Analytics på en måde, der giver Google adgang til eller mulighed for indsamling af PHI, og de må kun bruge Google Analytics på sider med indhold, som ikke er underlagt HIPAA.
- Godkendte sider er sandsynligvis underlagt HIPAA, og kunder må derfor ikke implementere Google Analytics-tags på disse sider.
- Ikke-godkendte sider med relation til ydelse af sundhedsrelaterede tjenester, heriblandt dem, der er beskrevet i HHS-bulletinen, er med stor sandsynlighed underlagt HIPAA, og kunder må ikke implementere Google Analytics-tags på sider med indhold, som er underlagt HIPAA.
- Find sammen med dit juridiske team frem til de sider på dit website, der ikke har relation til ydelse af sundhedsrelaterede tjenester, så din konfiguration af Google Analytics ikke fører til indsamling af PHI.
