Per i clienti del settore sanitario: HIPAA e Business Associate Agreement (BAA)
Con oltre 900 clienti nel settore sanitario, abbiamo maturato una profonda comprensione del fatto che il panorama relativo alla privacy e alla regolamentazione dei dati è in continua evoluzione e vogliamo rassicurare i clienti sul nostro impegno a rispettare tutte le leggi e i regolamenti vigenti.
A differenza di altri fornitori con cui potresti avere abitudine a lavorare, Sprout Social non è progettato per la conformità HIPAA. In linea con i nostri partner social network, i Termini di servizio di Sprout Social vietano ai clienti di condividere, raccogliere, trasmettere o archiviare informazioni sensibili, comprese le informazioni sanitarie protette (PHI) tramite la piattaforma.
Sprout Social è interamente in hosting nel cloud: la piattaforma non accede alla tua rete locale né si connette ad alcun sistema di cartelle cliniche elettroniche. Tutti i dati elaborati tramite Sprout Social sono crittografati sia in transito che a riposo. Sprout Social deve essere considerato un elaboratore di dati, dato che espande le funzionalità dei social network nativi per centralizzare le interazioni con i tuoi clienti.
Prendiamo molto sul serio questa responsabilità e il nostro impegno nei confronti dei nostri partner social network.
Qual è la posizione di Sprout in merito all'HIPAA e alla firma Business Associate Agreements (BAA)?
All'inizio del 2023, Sprout Social ha formato un team dedicato agli account per il settore sanitario, per comprendere e affrontare meglio le sfide dei team di marketing, comunicazione e assistenza clienti all'interno dei principali sistemi sanitari. Abbiamo scoperto che i nostri clienti del settore sanitario si stanno confrontando faticosamente con l'intersezione tra social media e HIPAA, il bollettino emesso nel dicembre 2022 dall'OCR sulle tecnologie di tracciamento e i mandati BAA dei team di sicurezza e privacy.
Per rispondere a queste preoccupazioni, il nostro team ha effettuato un'ampia valutazione del panorama dei social media in relazione all'HIPAA. In definitiva, il consenso del settore sembra convergere sul fatto che i social media non sono un forum appropriato per le PHI. Per quanto ne sappiamo, i social network stessi non firmano BAA e declinano ogni responsabilità per i contenuti presenti sulle loro piattaforme.
Per aiutare i clienti del settore sanitario ad affrontare questi problemi, abbiamo delineato diversi metodi e configurazioni di prodotto che eliminano o riducono al minimo la probabilità di ricevere informazioni sanitarie protette sui social. Abbiamo proposto queste opzioni a un certo numero di clienti come parte integrante del processo di contrattazione e possiamo aiutarli ad abilitarle durante l'onboarding. Utilizzando questi metodi, i nostri clienti sono riusciti a ottenere eccezioni per quanto riguarda il BAA su tutta la linea, data la natura a basso rischio dei dati coinvolti.
Sebbene la nostra posizione sulla necessità di un BAA non sia cambiata, sappiamo bene che potrebbero verificarsi situazioni in cui policy interne richiederanno un BAA, nonostante le funzionalità di mitigazione del rischio disponibili. Pertanto, abbiamo preparato un BAA su misura, adatto alle caratteristiche e al profilo di rischio limitato dei servizi che forniamo. Il BAA viene utilizzato nel caso in cui si verifichi il caricamento involontario di informazioni sensibili da parte di un utente di social media che l'organizzazione non può controllare.
Perché Sprout Social vieta i dati sensibili, come le PHI, sulla sua piattaforma?
I social network non sono progettati per essere conformi alle leggi che regolano le informazioni sanitarie protette e altri dati sensibili. Per quanto ne sappiamo, i social network non firmano nessun BAA e le loro condizioni d'uso declinano ogni responsabilità per tutti i contenuti di questo tipo sulle loro piattaforme. Pertanto, i nostri accordi di partnership con i social network richiedono il divieto di trattamento di informazioni sensibili, comprese le informazioni sanitarie protette, sulla nostra piattaforma.
Analogamente a Sprout Social, anche i nostri concorrenti nello spazio di gestione dei social media vietano ai loro clienti di elaborare dati sensibili sulle loro piattaforme, comprese le PHI. In definitiva, nel settore dei social media sembra che siano tutti d'accordo nel dire che i social media non sono un forum appropriato per dati sensibili come le PHI.
Quali tipi di dati vengono trattati da Sprout Social?
La stragrande maggioranza dei dati trattati da Sprout Social è già disponibile pubblicamente. In qualità di responsabile del trattamento, Sprout Social recupera le informazioni dagli account dei social media che l'utente sceglie di collegare alla piattaforma. Ciò significa che le informazioni condivise con Sprout Social esistono già sui tuoi account di social media. Per informazioni più dettagliate sui dati trattati da Sprout Social e sui dati ricevuti dai social network, scarica il nostro Impegno per la privacy dei dati qui.
Come facciamo a utilizzare in sicurezza Sprout Social come organizzazione sanitaria?
Per aiutare i clienti del settore sanitario a ottemperare agli obblighi di conformità, abbiamo ideato diversi metodi e configurazioni di prodotti (descritti di seguito) che riducono al minimo la probabilità di ricevere dati sensibili come i PHI sui social media. I nostri team di vendita e di progettazione delle soluzioni possono discutere in dettaglio di ogni opzione durante il processo di contrattazione. Inoltre, i nostri team di supporto e integrazione possono aiutarti ad abilitare queste opzioni durante l'onboarding.
- Esclusione di responsabilità del profilo: i clienti possono aggiungere un'esclusione di responsabilità ai profili social per richiedere agli utenti dei social media di astenersi dal condividere informazioni sanitari e per informarli su dove instradare tali informazioni
- Esclusione di responsabilità per messaggi diretti: analogamente, i clienti possono aggiungere un'esclusione di responsabilità che si visualizza automaticamente quando gli utenti dei social media iniziano a scrivere un messaggio diretto al loro profilo. Ad esempio, l'esclusione di responsabilità potrebbe recitare "Grazie per averci contattato. Si ricorda che non possiamo rispondere a domande mediche o fornire consigli medici tramite i social media. Risponderemo a breve a qualsiasi altra domanda".
- Chatbot: la nostra piattaforma fornisce uno strumento per la creazione di chatbot in grado di reindirizzare gli utenti dei social media a un indirizzo e-mail o a un altro canale sicuro per conversazioni relative all'assistenza sanitaria.
- Smart Inbox: la nostra Smart Inbox può essere configurata per contrassegnare automaticamente i messaggi che possono contenere informazioni sanitarie e indirizzarli a una cartella per la revisione e l'eliminazione.
- Ruoli e autorizzazioni: i clienti possono designare ruoli utente e autorizzazioni che limitano l'accesso alle cartelle di profili e tag o per impedire agli utenti di rispondere del tutto ai messaggi dei clienti.
- Risposte salvate: i clienti possono salvare risposte predefinite da utilizzare per rispondere rapidamente ai clienti e reindirizzare la conversazione a un canale sicuro per le conversazioni relative all'assistenza sanitaria.
Domande frequenti
Sprout Social si connette alla nostra rete locale o a uno dei nostri altri sistemi?
No, Sprout Social è interamente in hosting nel cloud su Amazon Web Services (AWS) e non accede alla tua rete locale.
Sprout Social crittografa i dati che riceve e trasmette?
Sì, tutti i dati vengono archiviati in modo combinato, separati logicamente e crittografati a riposo utilizzando AES-256 o versioni successive, inclusi i backup. Tutte le comunicazioni su reti pubbliche effettuate tramite l'app e l'API di Sprout Social utilizzano il protocollo HTTPS con crittografia TLS 1.2 o superiore.
In che modo Sprout Social archivia e conserva i dati?
Ai sensi della policy di conservazione dei dati di Sprout Social, possiamo conservare i dati dei clienti per un periodo di 13 mesi dalla data di cancellazione ai fini della riattivazione dell'account. I clienti possono eliminare i dati in modalità self-service all'interno della piattaforma. Dopo la risoluzione, Sprout Social cancellerà immediatamente i dati del cliente su richiesta scritta.
Dove posso trovare informazioni sugli standard di sicurezza di Sprout Social?
Le informazioni dettagliate sui nostri standard di sicurezza sono disponibili qui. Le informazioni sulle nostre certificazioni di sicurezza sono disponibili nel nostro portale Trust clienti. Infine, il DPA comprende il nostro allegato di sicurezza standard, integrato in tutti gli accordi con i clienti.
Sprout raccoglie gli indirizzi IP degli utenti dei social media?
No, i social network non ci forniscono gli indirizzi IP degli utenti dei social media. Se elaboriamo un messaggio sui social media da parte di uno dei tuoi pazienti o clienti, non riceveremo, elaboreremo o archivieremo il suo indirizzo IP. Come la maggior parte delle applicazioni basate su cloud, riceviamo gli indirizzi IP delle persone che accedono alla piattaforma Sprout Social con le credenziali di Sprout Social (ad esempio, i membri del team di gestione dei social media dell'utente).