Pour les clients du secteur de la santé : loi HIPAA et accord de partenariat commercial (BAA)
Avec plus de 900 clients dans le secteur de la santé, nous avons parfaitement conscience que le paysage de la confidentialité et de la réglementation des données est en constante évolution, et nous tenons à vous réaffirmer notre engagement à respecter l'ensemble des lois et réglementations applicables.
Contrairement à d’autres fournisseurs avec lesquels vous avez l’habitude de travailler, Sprout Social n’est pas conçu en conformité avec la loi HIPAA. En accord avec nos partenaires de réseaux sociaux, les Conditions d’utilisation de Sprout Social interdisent aux clients de partager, collecter, transmettre ou stocker des informations sensibles, y compris des informations de santé protégées (PHI) via la plateforme.
Sprout Social est entièrement hébergé dans le cloud : la plateforme n'a pas accès à votre réseau local et ne se connecte à aucun système de dossiers médicaux électroniques. L'ensemble des données traitées par le biais de Sprout Social sont chiffrées à la fois en transit et au repos. Sprout Social doit être considéré comme sous-traitant des données, élargissant les fonctionnalités des réseaux sociaux natifs pour centraliser les interactions avec vos clients.
Nous prenons très au sérieux cette responsabilité ainsi que notre engagement envers nos partenaires de réseaux sociaux.
Quelle est la position de Sprout concernant la loi HIPAA et la signature d’accords de partenariat commercial (BAA) ?
Au début de l’année 2023, Sprout Social a formé une équipe dédiée aux comptes du secteur de la santé afin de mieux comprendre et gérer les difficultés auxquelles sont confrontées les équipes de marketing, de communication et de service client au sein des principaux systèmes de santé. Ce faisant, nous avons constaté que nos clients du secteur de la santé peinent à faire face à l’intersection des médias sociaux et de la loi HIPAA, le communiqué publié en décembre 2022 par l’OCR sur les technologies de suivi et les mandats BAA des équipes chargées de la sécurité et de la confidentialité.
Pour répondre à ces préoccupations, notre équipe a procédé à une évaluation approfondie du paysage des médias sociaux en ce qui concerne la loi HIPAA. En fin de compte, les acteurs du secteur semblent s'accorder à dire que les médias sociaux ne sont pas une tribune appropriée pour les informations de santé protégées (PHI). À notre connaissance, les réseaux sociaux eux-mêmes ne signent aucun BAA et déclinent toute responsabilité quant au contenu de leurs plateformes.
Pour aider les clients du secteur de la santé à résoudre ces problèmes, nous avons décrit plusieurs méthodes et configurations de produits qui éliminent ou limitent la probabilité de recevoir des PHI sur les réseaux sociaux. Nous avons présenté ces options à un certain nombre de clients dans le cadre du processus de passation de contrats, et nous pouvons aider les clients à les activer lors de l’intégration. En utilisant ces méthodes, nos clients ont réussi à obtenir des exceptions BAA à tous les niveaux, compte tenu du faible risque associé à la nature des données concernées.
Bien que notre position sur la nécessité d’un BAA n’ait pas changé, nous comprenons qu'il existe certaines situations où les politiques internes nécessitent la procédure sans un BAA, malgré les fonctionnalités d’atténuation des risques disponibles. À ce titre, nous avons préparé un BAA sur mesure, adapté à la nature et au profil de risque limité des services que nous fournissons. Le BAA est utilisé en cas de téléchargement involontaire d’informations sensibles par un utilisateur de médias sociaux que votre organisation ne peut pas contrôler.
Pourquoi Sprout Social interdit-il les données sensibles, telles que les informations de santé protégées (PHI), sur sa plateforme ?
Les réseaux sociaux ne sont pas conçus pour être conformes aux lois régissant les PHI et autres données sensibles. À notre connaissance, les réseaux sociaux ne signent aucun BAA et leurs conditions d’utilisation déclinent toute responsabilité quant audit contenu sur leurs plateformes. À ce titre, nos accords de partenariat avec les réseaux sociaux nous contraignent à interdire le traitement d’informations sensibles, y compris les PHI, sur notre plateforme.
À l’instar de Sprout Social, nos concurrents dans le domaine de la gestion des médias sociaux interdisent également à leurs clients de traiter les informations sensibles, y compris les PHI, sur leurs plateformes. En fin de compte, les acteurs du secteur semblent s'accorder à dire que les médias sociaux ne sont pas une tribune appropriée pour les données sensibles telles que les PHI.
Quels sont les types de données traitées par Sprout Social ?
La grande majorité des données traitées par Sprout Social sont déjà accessibles au public. En tant que sous-traitant, Sprout Social extrait des informations des comptes de médias sociaux que vous choisissez de connecter à notre plateforme. Cela signifie que les informations que vous partagez avec Sprout Social existent déjà sur vos comptes de médias sociaux. Pour plus d’informations sur les données traitées par Sprout Social et les données reçues des réseaux sociaux, veuillez télécharger notre Engagement en matière de protection des données ici.
Comment pouvons-nous utiliser Sprout Social en toute sécurité en tant qu’organisme de soins de santé ?
Pour aider les clients du secteur de la santé à respecter leurs obligations en matière de conformité, nous avons élaboré plusieurs méthodes et configurations de produits (décrites ci-dessous) qui limitent la probabilité de recevoir des informations sensibles telles que des PHI sur les réseaux sociaux. Nos équipes de vente et d’ingénierie des solutions sont disponibles pour discuter de chaque option en détail au cours du processus de passation de contrats. Nos équipes d’assistance et d’intégration peuvent également vous aider à activer ces options lors de l’intégration.
- Clause de non-responsabilité pour les profils : les clients peuvent ajouter une clause de non-responsabilité à leurs profils sociaux pour demander aux utilisateurs des médias sociaux de s’abstenir de partager des informations médicales et pour les rediriger vers les ressources pouvant recueillir ces informations.
- Clauses de non-responsabilité pour les messages directs : de même, les clients peuvent ajouter une clause de non-responsabilité qui s’affiche automatiquement lorsque les utilisateurs de médias sociaux commencent à rédiger un message direct sur leur profil. Voici un exemple de clause de non-responsabilité : « Merci de nous avoir contactés. Veuillez noter que nous ne sommes pas en mesure de répondre aux questions médicales ou de fournir des conseils médicaux par le biais des médias sociaux. Nous répondrons à toute autre question dans les plus brefs délais. »
- Chatbots : notre plateforme fournit un outil de création de chatbot qui peut rediriger les utilisateurs de médias sociaux vers une adresse e-mail ou un autre canal sécurisé pour les conversations d'ordre médical.
- Smart Inbox : notre Smart Inbox peut être configurée pour étiqueter automatiquement les messages susceptibles de contenir des informations médicales et les acheminer vers un dossier à des fins d'examen et de suppression.
- Rôles et autorisations : les clients peuvent désigner des rôles et des autorisations d’utilisateur pour restreindre l’accès aux profils et aux dossiers d'étiquettes, ou pour empêcher les utilisateurs de répondre aux messages des clients.
- Réponses enregistrées : les clients peuvent enregistrer des réponses pré-rédigées qui peuvent être utilisées pour répondre rapidement aux clients et rediriger la conversation vers un canal sécurisé dédié aux conversations d'ordre médical.
Questions fréquentes
Sprout Social se connecte-t-il à notre réseau local ou à l’un de nos autres systèmes ?
Non, Sprout Social est entièrement hébergé dans le cloud sur Amazon Web Services (AWS) et n'a pas accès à votre réseau local.
Sprout Social chiffre-t-il les données qu’il reçoit et transmet ?
Oui, toutes les données sont stockées mélangées, séparées logiquement et chiffrées au repos à l’aide d’AES-256 ou supérieur, y compris les sauvegardes. Toutes les communications sur les réseaux publics avec l'application et l'API Sprout Social utilisent le protocole HTTPS avec TLS 1.2 ou supérieur.
Comment Sprout Social stocke-t-il et conserve-t-il les données ?
En vertu de la politique de conservation des données de Sprout Social, nous pouvons être amenés à conserver les données des clients pendant une période de 13 mois à compter de la date d’annulation à des fins de réactivation du compte. Les clients peuvent supprimer les données en libre-service au sein de la plateforme. Après résiliation, Sprout Social supprimera rapidement les données du client sur demande écrite.
Où puis-je trouver des informations sur les normes de sécurité de Sprout Social ?
Des informations détaillées sur nos normes de sécurité sont disponibles ici. Des informations sur nos certifications de sécurité sont disponibles sur notre centre de confiance. Enfin, notre addenda relatif au traitement des données comprend notre annexe de sécurité standard qui est intégrée à tous les contrats clients.
Sprout collecte-t-il les adresses IP des utilisateurs de médias sociaux ?
Non, les réseaux sociaux ne nous communiquent aucune adresse IP d'utilisateur des médias sociaux. Si nous traitons un message sur les réseaux sociaux de l’un de vos patients ou clients, nous ne recevrons, ne traiterons, ni ne stockerons son adresse IP. Comme pour la plupart des applications basées sur le cloud, nous recevons les adresses IP des personnes qui se connectent à la plateforme Sprout Social avec des identifiants Sprout Social (c’est-à-dire les membres de votre équipe de gestion des médias sociaux).