Für Kunden im Gesundheitswesen: HIPAA und Vereinbarungen mit Geschäftspartnern (BAA)
Mit mehr als 900 Kunden in der Gesundheitsbranche haben wir ein tiefgreifendes Verständnis dafür, dass sich die Landschaft des Datenschutzes und der Regulierung ständig weiterentwickelt und wir möchten Ihnen, unseren Kunden, versichern, dass wir uns zur Einhaltung aller geltenden Gesetze und Vorschriften verpflichten.
Im Gegensatz zu anderen Anbietern, mit denen Sie möglicherweise zusammenarbeiten, ist Sprout Social nicht auf HIPAA-Compliance ausgelegt. In Übereinstimmung mit unseren Partnern in den sozialen Netzwerken untersagen die Nutzungsbedingungen von Sprout Social den Kunden das Teilen, Erfassen, Übertragen oder Speichern von sensiblen Informationen, einschließlich geschützter Gesundheitsinformationen (PHI), über die Plattform.
Sprout Social wird vollständig in der Cloud gehostet – die Plattform hat keinen Zugriff auf Ihr lokales Netzwerk und stellt keine Verbindung zu elektronischen Patientenakten her. Alle über Sprout Social verarbeiteten Daten werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt. Sprout Social sollte als Datenverarbeiter angesehen werden, der die Funktionalität der nativen sozialen Netzwerke erweitert, um die Interaktionen mit Ihren Kunden zu zentralisieren.
Wir nehmen diese Verantwortung und unsere Verpflichtung gegenüber unseren Partnern in den sozialen Netzwerken sehr ernst.
Wie steht Sprout Social zum HIPAA und zur Unterzeichnung von Vereinbarungen mit Geschäftspartnern (BAA)?
Anfang 2023 bildete Sprout Social ein spezielles Team für Kunden im Gesundheitswesen, um die Herausforderungen besser zu verstehen und zu überwinden, denen Marketing-, Kommunikations- und Kundenservice-Teams in großen Gesundheitssystemen gegenüberstehen. Wir haben festgestellt, dass unsere Kunden im Gesundheitswesen mit der Überschneidung von Social Media und HIPAA, dem im Dezember 2022 veröffentlichten Bulletin der OCR zu Nachverfolgung-Technologien und BAA-Vorgaben von Sicherheits- und Datenschutzteams zu kämpfen haben.
Um diese Bedenken auszuräumen, führte unser Team eine umfangreiche Bewertung der Social Media-Landschaft in Bezug auf HIPAA durch. Letztlich scheint sich die Branche einig zu sein, dass die sozialen Medien kein geeignetes Forum für persönliche Gesundheitsinformationen (PHI) darstellen. Soweit uns bekannt ist, unterzeichnen die sozialen Netzwerke selbst keine BAAs und schließen die Haftung für Inhalte auf ihren Plattformen aus.
Um Kunden aus dem Gesundheitswesen bei der Bewältigung dieser Probleme zu unterstützen, haben wir mehrere Methoden und Produktkonfigurationen beschrieben, um die Wahrscheinlichkeit, PHI in sozialen Netzwerken zu empfangen, zu verhindern oder zu minimieren. Wir haben einige Kunden im Rahmen des Vertragsprozesses durch diese Optionen geführt und können Kunden helfen, sie beim Onboarding zu aktivieren. Mit diesen Methoden haben unsere Kunden angesichts des geringen Risikos der betroffenen Daten durchweg erfolgreich BAA-Ausnahmen erwirkt.
Unser Standpunkt zur Notwendigkeit eines BAA hat sich zwar nicht geändert hat, aber wir erstehen, dass es Situationen geben kann, in denen interne Richtlinien trotz der verfügbaren Funkionen zur Risikominderung eine BAA erfordern. Aus diesem Grund haben wir eine bedarfsgerechte BAA vorbereitet, das auf die Beschaffenheit und das eingeschränkte Risikoprofil der von uns angebotenen Services zugeschnitten ist. Die BAA kommt zum Einsatz, wenn ein Social Media-Benutzer versehentlich sensible Informationen hochlädt, die Ihre Organisation nicht kontrollieren kann.
Warum untersagt Sprout Social sensible Daten, wie PHI auf seiner Plattform?
Die sozialen Netzwerke sind nicht für die Einhaltung der Gesetze für PHI und andere sensible Daten konzipiert. Soweit uns bekannt ist, unterzeichnen die sozialen Netzwerke keine BAAs und schließen in ihren Nutzungsbedingungen die Haftung für alle diese Inhalte auf ihren Plattformen aus. Daher erfordern es unsere Partnerschaft-Vereinbarungen mit den sozialen Netzwerken, dass wir die Verarbeitung von sensiblen Daten, einschließlich PHI, auf unserer Plattform untersagen.
Ähnlich wie Sprout Social untersagen auch unsere Konkurrenten im Social Media-Management ihren Kunden die Verarbeitung von sensiblen Daten, einschließlich PHI, auf ihren Plattformen. Letztlich scheint der Konsens in der gesamten Social Media-Branche zu sein, dass Social Media kein geeignetes Forum für sensible Daten wie PHI sind.
Welche Arten von Daten verarbeitet Sprout Social?
Die überwiegende Mehrheit der von Sprout Social verarbeiteten Daten ist bereits öffentlich zugänglich. Als Auftragsverarbeiter ruft Sprout Social Informationen von Social Media-Konten ab, die Sie mit unserer Plattform verbinden. Mit anderen Worten: Die Informationen, die Sie an Sprout Social weitergeben, sind bereits auf Ihren Social Media-Konten vorhanden. Für ausführlichere Informationen zu den von Sprout Social verarbeiteten Daten und den aus den sozialen Netzwerken erhaltenen Daten, laden Sie bitte hier unsere Datenschutzerklärung herunter.
Wie können wir als Gesundheitsorganisation Sprout Social sicher nutzen?
Um Kunden aus dem Gesundheitswesen bei der Einhaltung ihrer Compliance-Verpflichtungen zu unterstützen, haben wir mehrere Methoden und Produktkonfigurationen entwickelt (siehe unten), um die Wahrscheinlichkeit zu minimieren, sensible Daten wie PHI in den Social Media zu empfangen. Unsere Teams für Vertrieb und Solutions Engineering können jede Option während des Vertragsprozesses ausführlich besprechen. Unsere Teams für Support und Integration können Sie auch dabei unterstützen, diese Optionen beim Onboarding zu aktivieren.
- Haftungsausschlüsse für Profile – Kunden können ihren sozialen Profilen einen Haftungsausschluss hinzufügen, um die Benutzer von Social Media aufzufordern, keine Gesundheitsinformationen weiterzugeben und sie darüber zu informieren, wohin diese Informationen weitergeleitet werden sollen.
- Haftungsausschlüsse für Direktnachrichten – Auf ähnliche Weise können Kunden einen Haftungsausschluss hinzufügen, der automatisch eingeblendet wird, wenn Benutzer von Social Media beginnen, eine Direktnachricht zu ihrem Profil verfassen. Der Haftungsausschluss könnte zum Beispiel lauten: „Vielen Dank, dass Sie uns kontaktiert haben. Bitte beachten Sie, dass wir über Social Media keine medizinischen Fragen beantworten oder medizinische Ratschläge erteilen können. Wir werden alle anderen Fragen in Kürze beantworten.“
- Chatbots – Unsere Plattform bietet ein Tool zur Erstellung von Chatbots, mit dem Benutzer von Social Media zu einer E-Mail-Adresse oder einem anderen sicheren Kanal für Gespräche im Zusammenhang mit dem Gesundheitswesen umgeleitet werden können.
- Smart Inbox – Unsere Smart Inbox kann so konfiguriert werden, dass Nachrichten, die möglicherweise Informationen zum Gesundheitswesen enthalten, automatisch getaggt und zur Überprüfung und Löschung an einen Ordner weitergeleitet werden.
- Rollen und Berechtigungen – Kunden können Benutzerrollen und Berechtigungen festlegen, die den Zugriff auf Profile und Tag-Ordner einschränken oder verhindern, dass Benutzer überhaupt auf Kundennachrichten antworten.
- Gespeicherte Antworten – Kunden können vorformulierte Antworten speichern, mit denen sie schnell auf Kunden reagieren und das Gespräch zu einem sicheren Kanal für Gespräche im Zusammenhang mit dem Gesundheitswesen weiterleiten können.
Häufig gestellte Fragen
Stellt Sprout Social eine Verbindung zu unserem lokalen Netzwerk oder zu einem unserer anderen Systeme her?
Nein, Sprout Social wird vollständig in der Cloud bei Amazon Web Services (AWS) gehostet und hat keinen Zugriff auf Ihr lokales Netzwerk.
Verschlüsselt Sprout Social die empfangenen und übertragenen Daten?
Ja, alle Daten werden gemischt, logisch getrennt und im Ruhezustand mit AES-256 oder höher verschlüsselt gespeichert, einschließlich der Backups. Die gesamte Kommunikation über öffentliche Netzwerke mit Anwendungen und APIs von Sprout Social wird über HTTPS mit TLS 1.2 oder höher durchgeführt.
Wie speichert Sprout Social die Daten und wie bewahrt sie diese auf?
Gemäß der Datenaufbewahrungsrichtlinie von Sprout Social können wir Kundendaten für einen Zeitraum von 13 Monaten ab dem Datum der Kündigung zum Zwecke der Kontoreaktivierung aufbewahren. Kunden können Daten auf der Plattform selbständig löschen. Nach der Kündigung löscht Sprout Social die Kundendaten auf schriftliche Anfrage hin unverzüglich.
Wo kann ich Informationen über die Sicherheitsstandards von Sprout Social finden?
Ausführliche Informationen zu unseren Sicherheitsstandards finden Sie hier. Informationen zu unseren Sicherheitszertifizierungen finden Sie in unserem Kundenvertrauensportal. Schließlich enthält unser Auftragsverarbeitungsvertrag (DPA) auch unseren Standard-Sicherheitsanhang, der in alle Kundenverträge aufgenommen wird.
Erfasst Sprout die IP-Adressen von Sociel Media-Benutzern?
Nein, die sozialen Netzwerke stellen uns keine IP-Adressen der Nutzer von sozialen Medien zur Verfügung. Wenn wir eine Social Media-Nachricht von einem Ihrer Patienten oder Kunden verarbeiten, erhalten, verarbeiten oder speichern wir deren IP-Adresse nicht . Wie die meisten Cloud-basierten Anwendungen erhalten wir die IP-Adressen von Personen, die sich mit Sprout Social-Anmeldedaten bei der Sprout Social-Plattform anmelden (d.h. die Mitglieder Ihres Social Media Management-Teams).