所有通常都是 即使个人与受监管实体没有现有关系,因为信息将个人与受监管实体联系起来。 该指南明确规定,受监管实体使用跟踪技术时不得导致向跟踪技术供应商非法披露 PHI 或任何其他违反 HIPAA 规则的行为。在向跟踪技术供应商披露 PHI 之前,使用跟踪技术的受监管实体必须确保以下事项: 确定跟踪技术供应商是否构成业务伙伴。如果跟踪技术供应商代表受监管实体创建、接收、维护或传输 PHI,用于医疗保健运营或 HIPAA 下的任何其他涵盖功能,或者向涵盖实体(或其他业务伙伴)提供某些服务,则属于业务伙伴)涉及 PHI 的披露。
如果跟踪技术供应商符
合业务伙伴的定义,则与该供应商建立 BAA。BAA 必须指定供应商允许和要求的 PHI 使用和披露,并确保供应商将保护 PHI 并向受监管 柬埔寨手机号码清单 实体报告与 PHI 相关的任何应报告的安全漏洞。 确保向跟踪技术供应商披露的所有 PHI 均得到 HIPAA 隐私规则的特别允许。 如果受监管实体未与跟踪技术供应商建立业务伙伴关系或没有 HIPAA 下适用的隐私规则许可,则获得个人授权。个人授权必须符合 HIPAA -网站上的隐私政策/通知、条款和条件或cookie 同意横幅是不够的,因为这些不构成有效的 HIPAA 授权。 向跟踪技术供应商披露的所有 PHI 都必须尽量减少到达到预期目的所需的程度。
认识到涵盖的实体在经
过用户身份验证、未经身份验证的网页以及移动应用程序上使用跟踪技术。 对于用户验证的网页 用户登录进一步使用该服务后,可以访问受 美國B2B列表 监管实体网站上经过用户验证的网页,例如登录基于网络的平台以检查个人病史或安排与医疗顾问的预约。这些网页启用了跟踪技术,允许他们跟踪和收集用户的 PHI,例如他们的病历号、IP 地址、预约时间表和类似的识别健康信息。 在这种情况下,受监管实体必须确保根据 HIPAA 隐私规则使用和披露 PHI,并根据 HIPAA 安全规则保护电子 PHI。 在这种情况下,HHS 要求受监管实体首先确保 HIPAA 隐私规则允许向跟踪技术供应商披露 。