Résumé

  • L'avis de KAISER PERMANENTE concernant les technologies de suivi a transformé l'analyse de routine des produits en un test de responsabilité pour les données de santé, car le problème public n'était pas seulement de savoir si des pixels existaient, mais si la gouvernance des soins de santé pouvait démontrer quelles données ont été transmises, à qui, dans quel but et sous quelle attente du patient.
  • Le fait confirmé est que KAISER PERMANENTE a informé publiquement les personnes d'éventuelles divulgations non autorisées à des tiers publicitaires via des technologies sur les sites Web et les applications mobiles; la conclusion fondée sur des preuves concernant la responsabilité est que les programmes d'analyse dans le secteur de la santé nécessitent des inventaires de balises, une cartographie des fournisseurs, des contrôles de consentement et des examens des seuils de violation de données qui sont plus rigoureux que la pratique courante sur le Web grand public.
  • Dans le registre public, des inconnues subsistent, notamment l'historique complet des charges utiles balise par balise, chaque décision côté traitement des fournisseurs, chaque contexte de session utilisateur et l'analyse juridique interne ayant déterminé l'étendue de la notification.

Pourquoi ce cas appartient à un dossier de risque et de responsabilité

KAISER PERMANENTE a fait des pixels de suivi un test de responsabilité pour les données de santé car le cas se situe à l'intersection de la conception des services de santé, de la technologie publicitaire, du droit de la protection des données et de la commodité opérationnelle. L'avis public décrivait des technologies de suivi sur les sites Web et les applications mobiles susceptibles d'avoir transmis des informations à des tiers publicitaires. Il s'agit d'un type d'événement de confidentialité des données de santé différent d'une base de données volée ou d'un cryptage par ransomware.

C'est plus silencieux, plus routinier et donc plus révélateur. Le risque provient de l'infrastructure que les équipes produit peuvent considérer comme une infrastructure de mesure mais que les patients vivent comme faisant partie d'une structure relationnelle.

Le point de départ est la communication publique de KAISER PERMANENTE soushttps://about.kaiserpermanente.org/news/kaiser-foundation-health-plan-inc-notifies-individuals-of-potential-unauthorized-disclosures-to-third-party-advertisers. L'article traite cette source comme la preuve principale de ce que l'organisation a dit publiquement, et non comme un protocole médico-légal complet. Le portail des violations de HHS soushttps://ocrportal.hhs.gov/ocr/breach/breach_report.jsfest également important car il inscrit les incidents de confidentialité des données de santé dans un système de signalement public. Les directives de HHS du Bureau des droits civils sur les technologies de suivi en ligne soushttps://www.hhs.gov/hipaa/for-professionals/privacy/guidance/hipaa-online-tracking/index.htmlfournissent le contexte politique: les outils de suivi peuvent concerner la HIPAA lorsqu'ils collectent ou divulguent des informations de santé individuellement identifiables issues de contextes réglementés.

La question de la responsabilité est pratique: qui avait le contrôle effectif sur les balises de suivi sur les pages de santé, les flux de données des fournisseurs, les preuves de consentement des patients, les inventaires de pixels, les examens de confidentialité, les seuils de violation de données et la preuve que les outils d'analyse n'ont pas outrepassé les garanties des informations de santé protégées? Cette question ne présuppose pas de malveillance. Elle n'affirme pas que toute balise d'analyse est illégale.

Elle demande si un établissement de santé peut prouver que sa couche de mesure numérique est gérée avec le même sérieux que les autres flux d'informations de santé.

Les pixels de suivi et les kits de développement logiciel créent un enregistrement difficile car leur valeur dépend de la transmission de signaux. Une consultation de page, un accord de navigation, un terme de recherche, un identifiant d'appareil, un événement de clic, un référent ou un statut de connexion peuvent être anodins dans un contexte de vente au détail et sensibles dans un contexte de soins de santé. Le même outil fournisseur peut être à faible risque sur une page marketing publique, à risque plus élevé sur une page de symptômes et inacceptable dans un flux de travail patient authentifié.

Le dossier de responsabilité ne peut donc pas s'arrêter à savoir si une technologie est généralement courante. Il doit demander où la technologie fonctionnait, ce qu'elle capturait, quels identifiants étaient attachés, si l'utilisateur cherchait ou recevait des soins et si le fournisseur pouvait utiliser le signal pour la publicité ou le profilage.

Le dossier public doit être lu avec soin. KAISER PERMANENTE a divulgué d'éventuelles divulgations non autorisées. Cela ne donne pas aux étrangers un enregistrement complet des paquets, un fichier de contrat fournisseur, un audit de consentement ou un journal des privilèges internes. Les faits confirmés soutiennent une question de gouvernance, pas une licence pour inventer des détails techniques privés.

La conclusion fondée sur des preuves est qu'un opérateur de soins de santé disposant de sites Web et d'applications complexes a besoin d'un inventaire vivant des balises, des charges utiles d'événements, des finalités des fournisseurs, de la conservation des données, des états de consentement et du statut des partenaires commerciaux. Les inconnues sont précisément la raison pour laquelle la responsabilité compte: les patients ne peuvent pas vérifier ces flux eux-mêmes.

L'avis public a changé la signification de l'analyse ordinaire

... (translation continues)...