HIPAA и healthcare-аналитика: где начинается PHI
Факт: Branch опубликовала разбор HIPAA-eligible analytics для healthcare marketing. Ключевая точка риска: device ID, IP-адреса и cookies становятся PHI, когда связаны с health-related activity.
Что задето:
— healthcare-приложения и сайты
— mobile attribution
— analytics-платформы
— marketing agencies
— кампании, где события пользователя связаны с медицинским контекстом
Когда включается HIPAA: если организация является covered entity или business associate, обрабатывает PHI, а эти данные создаются, получаются, хранятся или передаются в рамках программ.
Отдельно: analytics-платформы, MMP и агентства становятся business associates, когда обрабатывают PHI. Это не вопрос названия инструмента, а вопрос того, какие данные и в каком контексте проходят через систему.
Что делать: разделять fully identifiable PHI, de-identified data и limited data sets; проверять, какие идентификаторы уходят в аналитику и атрибуцию; не считать IP/cookie/device ID “техническими” вне контекста.
Белый шум модерации
@rule_change
HIPAA и healthcare-аналитика: где начинается PHI
Источники:
Этот пост опубликован в Telegram-канале Белый шум модерации. Подписаться можно по ссылке: @rule_change.