Google Analytics là một giải pháp đo lường có thể được dùng để thu thập thông tin chi tiết về hoạt động kinh doanh liên quan đến lưu lượng truy cập trên các trang web và ứng dụng của bạn. Điều quan trọng là phải đảm bảo rằng việc bạn triển khai Google Analytics và dữ liệu được thu thập về khách truy cập vào các tài sản của bạn đáp ứng tất cả các yêu cầu pháp lý hiện hành.
Xin lưu ý rằng để bảo vệ quyền riêng tư của người dùng, các chính sách và điều khoản của Google Analytics yêu cầu không gửi cho Google dữ liệu nào mà Google có thể nhận định là thông tin nhận dạng cá nhân (PII). Ngoài ra, dữ liệu mà bạn thu thập bằng Google Analytics không được tiết lộ bất kỳ thông tin nhạy cảm nào về người dùng hoặc nhận dạng họ. Nếu cần xoá dữ liệu khỏi máy chủ của Analytics vì bất kỳ lý do gì, bạn có thể lên lịch yêu cầu xoá dữ liệu hoặc sử dụng API Xoá người dùng.
HIPAA là gì và áp dụng cho ai?
Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế năm 1996 (HIPAA) là luật liên bang của Hoa Kỳ áp dụng cho các pháp nhân chịu sự quản lý của HIPAA. Luật và các quy định triển khai của luật đó thường không liên quan đến những khách hàng của Google Analytics chỉ hoạt động bên ngoài Hoa Kỳ và cũng không liên quan đến mọi khách hàng hoạt động ở Hoa Kỳ. Khách hàng của Analytics có trách nhiệm xác định xem họ có phải là các pháp nhân chịu sự quản lý của HIPAA hay không và họ có nghĩa vụ gì theo HIPAA.
Google Analytics có thể được sử dụng theo cách tuân thủ HIPAA không?
Khách hàng không được sử dụng Google Analytics theo bất kỳ cách nào có thể làm phát sinh nghĩa vụ theo HIPAA cho Google. Những pháp nhân chịu sự quản lý của HIPAA và sử dụng Google Analytics phải tiết lộ cho Google bất kỳ dữ liệu nào có thể được coi là Thông tin sức khoẻ được bảo vệ (PHI), ngay cả khi không được mô tả rõ ràng là PII trong các hợp đồng và chính sách của Google. Google không cam đoan rằng Google Analytics đáp ứng các yêu cầu của HIPAA và không cung cấp Thỏa thuận liên kết kinh doanh có liên quan đến dịch vụ này.
Đối với những pháp nhân chịu sự quản lý của HIPAA muốn xác định cách thiết lập Google Analytics trên các tài sản của họ, bản tin HHS sẽ cung cấp hướng dẫn cụ thể về việc khi nào dữ liệu đủ và không đủ điều kiện để được xem là PHI. Dưới đây là một số bước khác bạn nên thực hiện để đảm bảo bạn được phép sử dụng Google Analytics:
- Những khách hàng phải tuân thủ HIPAA không được sử dụng Google Analytics theo bất kỳ cách nào ngụ ý rằng Google có quyền truy cập hoặc thu thập PHI, và chỉ được sử dụng Google Analytics trên các trang không thuộc phạm vi quản lý của HIPAA.
- Những trang được xác thực có khả năng thuộc phạm vi quản lý của HIPAA và khách hàng không nên đặt thẻ Google Analytics trên những trang đó.
- Những trang chưa được xác thực và có liên quan đến việc cung cấp dịch vụ chăm sóc sức khoẻ (bao gồm cả việc được mô tả trong bản tin HHS) có nhiều khả năng thuộc phạm vi quản lý của HIPAA và khách hàng không nên đặt thẻ Google Analytics trên những trang thuộc phạm vi quản lý của HIPAA.
- Vui lòng làm việc với nhóm pháp lý của bạn để xác định các trang không liên quan đến việc cung cấp dịch vụ chăm sóc sức khoẻ trên trang web của bạn. Nhờ đó, cấu hình của bạn trong Google Analytics sẽ không dẫn đến việc thu thập PHI.