研究表明，与第三方共享医院网站用户数据很常见

对 90 个不同医院网站（从全国 100 家社区医院的代表性样本中抽取）进行的一项新统计分析发现，这些提供商在有可供使用的隐私政策时，在如何准确披露第三方跟踪技术的使用方面存在不足。给消费者。

除了比较所收集的用户数据的第三方接收者、用户权利和潜在用途的详细信息之外，该研究还考察了可用政策的可读性。

在该研究中确实在用户隐私政策中披露将数据传输给第三方的社区医院中，约四分之三指出用户信息将用于广告和营销目的，而一半则披露了第三方公司的名称。

为什么它很重要

这些统计数据表明，医院和卫生系统使用在线跟踪工具是多么普遍，尽管它们面临患者隐私倡导者的审查，有时甚至是诉讼。

在确定非联邦急症护理医院样本中网站隐私政策的可用性时，研究人员还根据以下网站发布的用户信息共享和医院网站隐私政策分析了解决用户信息收集和使用的网络用户隐私政策语言 贾马网络 上星期。

他们专门研究了社区医院如何解释网站访问者数据（IP 地址、网站内访问的页面、联系信息和网站可能收集的人口统计信息）如何与第三方（包括 Google 和 Meta）共享。

在对 100 家非联邦急症护理医院的全国代表性样本进行的横断面分析中，96% 的医院网站至少有一个第三方数据请求，而只有 71% 的医院网站制定了可公开访问的隐私政策。

大多数将数据传输给第三方，平均有 9 个第三方域，有 9 个第三方 cookie——“存储在用户浏览器上的小代码片段，可以充当持久标识符，使第三方能够跟踪用户跨多个站点，”研究人员指出。

他们表示：“大量医院网站没有向用户提供有关网站使用的隐私影响的足够信息，要么是因为它们缺乏隐私政策，要么是因为隐私政策中包含有关用户信息的第三方接收者的有限内容。”在里面 报告。

研究人员还报告称，56.3% 的可用政策（40 项）披露了接收用户信息的特定第三方公司，其中谷歌是最常被提及的像素跟踪器。

披露的第三方接收者最常见的类别是：

• 服务提供商 – 50 份保单或 70.4%
• 营销人员和广告商 – 27 项政策或 38.0%
• 随后的公司所有者 – 27 份保单或 38.0%

研究人员指出，他们在 2023 年 11 月至 2024 年 1 月进行的研究中没有包含单独的隐私实践文件通知。NPP 描述了 HIPAA 涵盖的实体将如何处理在临床就诊和计费期间收集的受保护的健康信息。

更大的趋势

HHS 民权办公室负责调查在临床就诊和索赔处理过程中收集的受保护健康信息的违规情况，旨在对 HIPAA 涵盖的实体使用在线跟踪工具设置防护栏，侵犯网站用户隐私的提供商可能会发现自己陷入困境。热水，即使未经患者同意，PHI 不会转移给第三方。

去年，OCR 和负责调查数据泄露的联邦贸易委员会向 130 家医院和卫生系统发出了一封联合信，警告他们与可以与广告合作伙伴共享敏感医疗数据的第三方跟踪工具相关的隐私和安全风险。

美国医院协会一直批评 OCR 试图限制网站用户数据的在线跟踪工具，并可能对其进行惩罚，并于去年提起诉讼。

虽然针对医院和卫生系统使用像素跟踪器的几起诉讼中的原告辩称，提供商允许非 HIPAA 覆盖的实体窃听敏感的健康通信，但 AHA 坚持认为，即使上个月 OCR 的在线跟踪工具政策进行了修订，但当涉及网站用户数据时，“监管越权”。

OCR 在修订后的指南中澄清说：“在没有个人符合 HIPAA 要求的授权的情况下，出于营销目的向跟踪技术供应商披露 PHI 将构成不允许的披露。”

记录在案

“这些调查结果表明，医院可能没有向患者和其他网站用户提供有关网站使用的隐私影响的充分信息，” 贾马网络 研究人员说。

“虽然联邦法律通常不要求医院制定网站隐私政策来披露其从网站访问者那里收集和传输数据的方法，但发布网站隐私政策的医院可能会受到联邦贸易委员会等监管机构的强制执行。 ”

Andrea Fox 是《医疗保健 IT 新闻》的高级编辑。
电子邮件：[email protected]
医疗保健 IT 新闻是 HIMSS 媒体出版物。