Für Kunden im Gesundheitswesen: HIPAA und Vereinbarungen mit Geschäftspartnern (BAA)
Mit mehr als 900 Kunden in der Gesundheitsbranche haben wir ein tiefgreifendes Verständnis dafür, dass sich die Landschaft des Datenschutzes und der Regulierung ständig weiterentwickelt und wir möchten Ihnen, unseren Kunden, versichern, dass wir uns zur Einhaltung aller geltenden Gesetze und Vorschriften verpflichten.
Im Gegensatz zu anderen Anbietern, mit denen Sie möglicherweise zusammenarbeiten, ist Sprout Social nicht auf HIPAA-Compliance ausgelegt. Ohne Guardian und in Übereinstimmung mit unseren Partnern in den sozialen Netzwerken untersagen die Nutzungsbedingungen von Sprout Social den Kunden das Teilen, Erfassen, Übertragen oder Speichern von sensiblen Informationen, einschließlich geschützter Gesundheitsinformationen (PHI), über die Plattform.
Sprout Social wird vollständig in der Cloud gehostet – die Plattform hat keinen Zugriff auf Ihr lokales Netzwerk und stellt keine Verbindung zu elektronischen Patientenakten her. Alle über Sprout Social verarbeiteten Daten werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt. Sprout Social sollte als Datenverarbeiter angesehen werden, der die Funktionalität der nativen sozialen Netzwerke erweitert, um die Interaktionen mit Ihren Kunden zu zentralisieren.
Wir nehmen diese Verantwortung und unsere Verpflichtung gegenüber unseren Partnern in den sozialen Netzwerken sehr ernst.
Wie ändert sich die Erfassung von PHI mit Guardian?
Guardian von Sprout Social, ein Zusatzprodukt, ermöglicht es Kunden, geschützte Gesundheitsinformationen (Protected Health Information, PHI) über sichere Formulare mithilfe eines geprüften Drittanbieters sicher zu erfassen.
Alle über unseren Drittanbieter verarbeiteten Daten werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt.
Diese Funktionalität ist speziell für unsere Kunden im Gesundheitswesen konzipiert, um ihnen eine effiziente und nahtlose Interaktion in sozialen Netzwerken zu ermöglichen und gleichzeitig das Risiko drastisch zu reduzieren, da sensible Daten niemals von Sprout Social oder Netzwerkpartnern weitergegeben oder gespeichert werden.
Warum verbietet Sprout Social ohne Guardian den direkten Zugriff auf sensible Daten wie PHI auf seiner Plattform?
Die sozialen Netzwerke sind nicht für die Einhaltung der Gesetze für PHI und andere sensible Daten konzipiert. Soweit uns bekannt ist, unterzeichnen die sozialen Netzwerke keine BAAs und schließen in ihren Nutzungsbedingungen die Haftung für alle diese Inhalte auf ihren Plattformen aus. Daher erfordern es unsere Partnerschaft-Vereinbarungen mit den sozialen Netzwerken, dass wir die Verarbeitung von sensiblen Daten, einschließlich PHI, auf unserer Plattform untersagen.
Ähnlich wie Sprout Social untersagen auch unsere Konkurrenten im Social-Media-Management ihren Kunden die Verarbeitung von sensiblen Daten, einschließlich PHI, auf ihren Plattformen. Letztendlich herrscht in der gesamten Social-Media-Branche ein Konsens darüber, dass Social-Media-Plattformen keine geeigneten Foren für die direkte Erfassung sensibler Daten wie PHI sind.
Wie steht Sprout Social zum HIPAA und zur Unterzeichnung von Vereinbarungen mit Geschäftspartnern (BAA)?
Anfang 2023 gründete Sprout Social ein spezielles Team für Kunden in der Gesundheitsbranche, um die Herausforderungen der großen Gesundheitssysteme besser zu verstehen und zu bewältigen. Wir haben festgestellt, dass unsere Kunden im Gesundheitswesen mit der Überschneidung von Social Media und HIPAA, dem im Dezember 2022 veröffentlichten Bulletin der OCR zu Nachverfolgung-Technologien und BAA-Vorgaben von Sicherheits- und Datenschutzteams zu kämpfen haben.
Im Anschluss an diese Bewertung haben wir begonnen, ein maßgeschneidertes BAA anzubieten, das sich auf das unbeabsichtigte Hochladen von geschützten Gesundheitsinformationen (Protected Health Information, PHI) durch einen Social-Media-Benutzer bezieht. 2025 haben wir unser Produktangebot „Sichere Formulare von Guardian” erweitert, um PHI zu unterstützen, wobei wir ein aktualisiertes BAA nutzen, das die Beziehung zwischen Kunden, Sprout und unserem sicheren Drittanbieter, mit dem Sprout eine Vereinbarung mit Geschäftspartnern und Subunternehmern (Business Associate Subcontractor Agreement, BASA) unterzeichnet hat, festlegt.
Indem Sie Ihre Social-Media-Benutzer daran erinnern, dass sie sensible Informationen nicht direkt in sozialen Medien teilen sollten, und indem Sie „Sichere Formulare von Guardian“ nutzen (einschließlich der Unterzeichnung eines BAA mit Sprout, wenn Sie beabsichtigen, PHI über sichere Formulare zu erfassen), können Sie das Risiko für Ihre Benutzer erheblich reduzieren und gleichzeitig Vertrauen zu ihnen aufbauen.
- Maßgeschneiderter Zweck des BAA: Das BAA ist auf die Art und das begrenzte Risikoprofil der Kerndienstleistungen von Sprout Social zugeschnitten. Es kommt zum Einsatz, falls ein Social-Media-Nutzer versehentlich geschützte Gesundheitsinformationen hochlädt, die Ihre Organisation nicht kontrollieren kann. Das BAA bietet Schutz und klare Verfahrensweisen für den Umgang mit dieser seltenen, zufälligen Gefährdung.
- BAA und sichere Formulare von Guardian: Die Bestimmungen dieses maßgeschneiderten BAA bezüglich unbeabsichtigter PHI sind nicht relevant für Daten, die über sichere Formulare übermittelt werden. Da die Funktion „Sichere Formulare“ einen separaten, sicheren Anbieter verwendet, der die Sprout Social-Plattform nicht in die Datenverarbeitung einbezieht, entfällt das Risiko einer unbeabsichtigten PHI-Exposition gegenüber Sprout Social in diesem speziellen Workflow.
Welche Arten von Daten verarbeitet Sprout Social?
Die überwiegende Mehrheit der von Sprout Social verarbeiteten Daten ist bereits öffentlich zugänglich. Als Auftragsverarbeiter ruft Sprout Social Informationen von Social Media-Konten ab, die Sie mit unserer Plattform verbinden. Mit anderen Worten: Die Informationen, die Sie an Sprout Social weitergeben, sind bereits auf Ihren Social Media-Konten vorhanden. Für ausführlichere Informationen zu den von Sprout Social verarbeiteten Daten und den aus den sozialen Netzwerken erhaltenen Daten, laden Sie bitte hier unsere Datenschutzerklärung herunter.
Wie können wir als Gesundheitsorganisation Sprout Social sicher nutzen?
Um Kunden aus dem Gesundheitswesen bei der Einhaltung ihrer Compliance-Verpflichtungen zu unterstützen, haben wir mehrere Methoden und Produktkonfigurationen entwickelt (siehe unten), um die Wahrscheinlichkeit zu minimieren, sensible Daten wie PHI in den Social Media zu empfangen. Unsere Teams für Vertrieb und Solutions Engineering können jede Option während des Vertragsprozesses ausführlich besprechen. Unsere Teams für Support und Integration können Sie auch dabei unterstützen, diese Optionen beim Onboarding zu aktivieren.
- Sichere Formulare (über Guardian) – Sichere Formulare ermöglichen es Kunden, notwendige PHI direkt von Nutzern zu sammeln und dabei eine sichere Drittanbieter-Plattform zu nutzen. Diese Informationen werden von der Sprout Social-Plattform niemals verarbeitet oder gespeichert.
- BAA – Unterzeichnen Sie ein BAA mit Sprout (entweder zur Abdeckung der unbeabsichtigten Weitergabe von PHI durch Ihre Benutzer oder zur Abdeckung der beabsichtigten Weitergabe unter Verwendung von sicheren Formularen)
- Haftungsausschlüsse für Profile – Kunden können ihren sozialen Profilen einen Haftungsausschluss hinzufügen, um die Benutzer von Social Media aufzufordern, keine Gesundheitsinformationen weiterzugeben und sie darüber zu informieren, wohin diese Informationen weitergeleitet werden sollen.
- Haftungsausschlüsse für Direktnachrichten – Auf ähnliche Weise können Kunden einen Haftungsausschluss hinzufügen, der automatisch eingeblendet wird, wenn Social-Media-Nutzer beginnen, eine Direktnachricht zu ihrem Profil verfassen. Der Haftungsausschluss könnte zum Beispiel lauten: „Vielen Dank, dass Sie uns kontaktiert haben. Bitte beachten Sie, dass wir über Social Media keine medizinischen Fragen beantworten oder medizinische Ratschläge erteilen können. Wir werden alle anderen Fragen in Kürze beantworten.“
- Chatbots – Unsere Plattform bietet ein Tool zur Erstellung von Chatbots, mit dem Benutzer von Social Media zu einer E-Mail-Adresse oder einem anderen sicheren Kanal für Gespräche im Zusammenhang mit dem Gesundheitswesen umgeleitet werden können.
- Smart Inbox – Unsere Smart Inbox kann so konfiguriert werden, dass Nachrichten, die möglicherweise Informationen zum Gesundheitswesen enthalten, automatisch getaggt und zur Überprüfung und Löschung an einen Ordner weitergeleitet werden.
- Rollen und Berechtigungen – Kunden können Benutzerrollen und Berechtigungen festlegen, die den Zugriff auf Profile und Tag-Ordner einschränken oder verhindern, dass Benutzer überhaupt auf Kundennachrichten antworten.
- Gespeicherte Antworten – Kunden können vorformulierte Antworten speichern, mit denen sie schnell auf Kunden reagieren und das Gespräch zu einem sicheren Kanal für Gespräche im Zusammenhang mit dem Gesundheitswesen weiterleiten können.
Häufig gestellte Fragen
Stellt Sprout Social eine Verbindung zu unserem lokalen Netzwerk oder zu einem unserer anderen Systeme her?
Nein, Sprout Social wird vollständig in der Cloud bei Amazon Web Services (AWS) gehostet und hat keinen Zugriff auf Ihr lokales Netzwerk.
Verschlüsselt Sprout Social die empfangenen und übertragenen Daten?
Ja, alle Daten werden gemischt, logisch getrennt und im Ruhezustand mit AES-256 oder höher verschlüsselt gespeichert, einschließlich der Backups. Die gesamte Kommunikation über öffentliche Netzwerke mit Anwendungen und APIs von Sprout Social wird über HTTPS mit TLS 1.2 oder höher durchgeführt.
Wie speichert Sprout Social die Daten und wie bewahrt sie diese auf?
Gemäß der Datenaufbewahrungsrichtlinie von Sprout Social können wir Kundendaten für einen Zeitraum von 13 Monaten ab dem Datum der Kündigung zum Zwecke der Kontoreaktivierung aufbewahren. Kunden können Daten auf der Plattform selbständig löschen. Nach der Kündigung löscht Sprout Social die Kundendaten auf schriftliche Anfrage hin unverzüglich. Daten, die über die sicheren Formulare von Guardian übermittelt werden, werden vollständig im sicheren Speicher eines Drittanbieters aufbewahrt. Sprout Social greift niemals auf diese Informationen zu, sieht sie sich nicht an und speichert sie auch nicht.
Wo kann ich Informationen über die Sicherheitsstandards von Sprout Social finden?
Ausführliche Informationen zu unseren Sicherheitsstandards finden Sie hier. Informationen zu unseren Sicherheitszertifizierungen finden Sie in unserem Kundenvertrauensportal. Schließlich enthält unser DPA unseren Standard-Sicherheitsanhang, der in alle Kundenvereinbarungen enthalten ist.
Erfasst Sprout die IP-Adressen von Sociel Media-Benutzern?
Nein, die sozialen Netzwerke stellen uns keine IP-Adressen der Nutzer von sozialen Medien zur Verfügung. Wenn wir eine Social Media-Nachricht von einem Ihrer Patienten oder Kunden verarbeiten, erhalten, verarbeiten oder speichern wir deren IP-Adresse nicht . Wie die meisten Cloud-basierten Anwendungen erhalten wir die IP-Adressen von Personen, die sich mit Sprout Social-Anmeldedaten bei der Sprout Social-Plattform anmelden (d.h. die Mitglieder Ihres Social Media Management-Teams).
Sind die sicheren Formulare von Guardian HIPAA-konform?
Sprout Social kann Kunden nicht zur Einhaltung rechtlicher Vorschriften beraten. Wir haben jedoch eine gründliche Überprüfung unseres Anbieters der sicheren Formulare mithilfe des vom US-Gesundheitsministerium und dem Office for Civil Rights (OCR) herausgegebenen Tools zur Sicherheitsrisikobewertung (Security Risk Assessment, SRA) durchgeführt. Dieses Rahmenwerk unterstützte uns bei der Bewertung der Sicherheitskontrollen des Anbieters und stellte sicher, dass die Lösung die HIPAA-Compliance-Standards erfüllt.