HIPAA и mobile attribution: когда device_id/IP/cookie становятся PHI

HIPAA и mobile attribution: когда device_id/IP/cookie становятся PHI

Branch разобрал практику для healthcare marketing. Ключевой момент для аналитиков: цифровые идентификаторы сами по себе не всегда PHI, но становятся PHI, когда связаны с health-related activity.

Что это значит для attribution-стека:

— Device ID, IP, cookies в связке с медицинским действием = PHI
— Analytics platform / MMP / marketing agency, которые обрабатывают PHI, становятся business associates
— HIPAA применим к analytics, если одновременно:
1) организация — covered entity или business associate
2) она обрабатывает PHI
3) PHI создаётся, получается, хранится или передаётся для её программ

Практическое следствие: передавать health-related события в рекламные/атрибуционные системы как обычный marketing payload — рискованная зона. Нужно заранее определить категорию данных.

HIPAA даёт 3 рабочих класса:
— fully identifiable PHI
— de-identified data
— limited data sets

Для server-side схем это влияет на routing: какие события уходят в MMP/CAPI/GA4, какие остаются внутри HIPAA-eligible контура, какие должны быть де-идентифицированы до аналитики.

Источник: https://www.branch.io/resources/blog/hipaa-eligible-analytics-best-practices-for-healthcare-marketing