Google Analytics is een meetoplossing waarmee u bedrijfsinzichten in verkeer op uw websites en in uw apps kunt krijgen. Het is belangrijk dat uw implementatie van Google Analytics en de gegevens die u verzamelt over bezoekers van uw property's, voldoen aan alle toepasselijke wettelijke vereisten.
Ter bescherming van de privacy van de gebruiker verbieden het beleid en de voorwaarden van Google Analytics dat er gegevens aan Google worden doorgegeven die Google kan herkennen als persoonlijk identificeerbare informatie (PII). Bovendien mogen gegevens die u met Google Analytics verzamelt, geen gevoelige informatie over een gebruiker bevatten of duidelijk maken wie de gebruiker is. Als u om welke reden dan ook gegevens van de Analytics-servers wilt verwijderen, kunt u een verzoek voor gegevensverwijdering plannen of de API voor verwijderen van gebruikers gebruiken.
Wat is HIPAA en op wie is deze wet van toepassing?
De Health Insurance Portability and Accountability Act van 1996 (HIPAA) is een Amerikaanse federale wet die van toepassing is op entiteiten die door de HIPAA worden gereguleerd. De wet en de gerelateerde verordeningen zijn doorgaans niet relevant voor Google Analytics-klanten die alleen buiten de VS actief zijn en zijn evenmin relevant voor iedere klant die binnen de VS actief is. Analytics-klanten zijn er zelf verantwoordelijk voor om te bepalen of ze door de HIPAA gereguleerde entiteiten zijn en wat hun verplichtingen onder de HIPAA zijn.
Kan Google Analytics worden gebruikt in overeenstemming met de HIPAA?
Klanten mogen Google Analytics niet gebruiken op een manier waarop volgens de HIPAA verplichtingen voor Google kunnen ontstaan. Entiteiten die door de HIPAA worden gereguleerd en die Google Analytics gebruiken, mogen geen gegevens aan Google doorgeven die kunnen worden beschouwd als Beveiligde medische gegevens (Protected Health Information, PHI), zelfs als deze niet expliciet als PII worden beschreven in de contracten en het beleid van Google. Google doet geen toezegging dat Google Analytics voldoet aan de HIPAA-vereisten en biedt geen Overeenkomst voor zakelijke partners (Business Associate Agreement, BAA) in verband met deze service.
Entiteiten die door de HIPAA worden gereguleerd en die willen bepalen hoe ze Google Analytics moeten instellen voor hun property's, kunnen in het bulletin van het Amerikaanse ministerie van Gezondheid (Health and Human Services, HHS) specifieke richtlijnen vinden voor wanneer gegevens wel en niet worden aangemerkt als PHI. U kunt de aanvullende stappen hieronder uitvoeren om ervoor te zorgen dat uw gebruik van Google Analytics is toegestaan:
- Klanten waarop de HIPAA van toepassing is, mogen Google Analytics niet gebruiken op een manier die impliceert dat Google toegang heeft tot PHI of deze verzamelt. Ze mogen Google Analytics alleen gebruiken op pagina's die niet onder de HIPAA vallen.
- Geverifieerde pagina's vallen waarschijnlijk onder de HIPAA en klanten mogen geen Google Analytics-tags instellen op die pagina's.
- Niet-geverifieerde pagina's die gerelateerd zijn aan de levering van gezondheidszorgservices, bijvoorbeeld zoals beschreven in het HHS-bulletin, vallen waarschijnlijk onder de HIPAA en klanten mogen geen Google Analytics-tags instellen op pagina's die onder de HIPAA vallen.
- Werk samen met uw juridische team om te bepalen welke pagina's op uw site geen betrekking hebben op de levering van gezondheidszorgservices, zodat uw instelling van Google Analytics niet leidt tot verzameling van PHI.
