Für Kunden im Gesundheitswesen: HIPAA und Vereinbarungen mit Geschäftspartnern (BAA)
Mit mehr als 900 Kunden in der Gesundheitsbranche haben wir ein tiefgreifendes Verständnis dafür, dass sich die Landschaft des Datenschutzes und der Regulierung ständig weiterentwickelt und wir möchten Ihnen, unseren Kunden, versichern, dass wir uns zur Einhaltung aller geltenden Gesetze und Vorschriften verpflichten.
Unlike other vendors you may be accustomed to working with, Sprout Social is not designed for HIPAA compliance. Consistent with our social network partners, Sprout Social’s Nutzungsbedingungen prohibit customers from sharing, collecting, transmitting, or storing sensitive information, including protected health information (PHI) through the platform.
Sprout Social wird vollständig in der Cloud gehostet – die Plattform hat keinen Zugriff auf Ihr lokales Netzwerk und stellt keine Verbindung zu elektronischen Patientenakten her. Alle über Sprout Social verarbeiteten Daten werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt. Sprout Social sollte als Datenverarbeiter angesehen werden, der die Funktionalität der nativen sozialen Netzwerke erweitert, um die Interaktionen mit Ihren Kunden zu zentralisieren.
Wir nehmen diese Verantwortung und unsere Verpflichtung gegenüber unseren Partnern in den sozialen Netzwerken sehr ernst.
Wie steht Sprout Social zum HIPAA und zur Unterzeichnung von Vereinbarungen mit Geschäftspartnern (BAA)?
In early 2023, Sprout Social formed a dedicated Healthcare account team to better understand and address the challenges facing marketing, communications and customer service teams within major health systems. What we’ve uncovered is that our healthcare customers are struggling with the intersection of social media and HIPAA, the Bulletin issued in December 2022 from the OCR on tracking technologies, and BAA mandates from security & privacy teams.
Um diese Bedenken auszuräumen, führte unser Team eine umfangreiche Bewertung der Social Media-Landschaft in Bezug auf HIPAA durch. Letztlich scheint sich die Branche einig zu sein, dass die sozialen Medien kein geeignetes Forum für persönliche Gesundheitsinformationen (PHI) darstellen. Soweit uns bekannt ist, unterzeichnen die sozialen Netzwerke selbst keine BAAs und schließen die Haftung für Inhalte auf ihren Plattformen aus.
Um Kunden aus dem Gesundheitswesen bei der Bewältigung dieser Probleme zu unterstützen, haben wir mehrere Methoden und Produktkonfigurationen beschrieben, um die Wahrscheinlichkeit, PHI in sozialen Netzwerken zu empfangen, zu verhindern oder zu minimieren. Wir haben einige Kunden im Rahmen des Vertragsprozesses durch diese Optionen geführt und können Kunden helfen, sie beim Onboarding zu aktivieren. Mit diesen Methoden haben unsere Kunden angesichts des geringen Risikos der betroffenen Daten durchweg erfolgreich BAA-Ausnahmen erwirkt.
Unser Standpunkt zur Notwendigkeit eines BAA hat sich zwar nicht geändert hat, aber wir erstehen, dass es Situationen geben kann, in denen interne Richtlinien trotz der verfügbaren Funkionen zur Risikominderung eine BAA erfordern. Aus diesem Grund haben wir eine bedarfsgerechte BAA vorbereitet, das auf die Beschaffenheit und das eingeschränkte Risikoprofil der von uns angebotenen Services zugeschnitten ist. Die BAA kommt zum Einsatz, wenn ein Social Media-Benutzer versehentlich sensible Informationen hochlädt, die Ihre Organisation nicht kontrollieren kann.
Warum untersagt Sprout Social sensible Daten, wie PHI auf seiner Plattform?
Die sozialen Netzwerke sind nicht für die Einhaltung der Gesetze für PHI und andere sensible Daten konzipiert. Soweit uns bekannt ist, unterzeichnen die sozialen Netzwerke keine BAAs und schließen in ihren Nutzungsbedingungen die Haftung für alle diese Inhalte auf ihren Plattformen aus. Daher erfordern es unsere Partnerschaft-Vereinbarungen mit den sozialen Netzwerken, dass wir die Verarbeitung von sensiblen Daten, einschließlich PHI, auf unserer Plattform untersagen.
Ähnlich wie Sprout Social untersagen auch unsere Konkurrenten im Social Media-Management ihren Kunden die Verarbeitung von sensiblen Daten, einschließlich PHI, auf ihren Plattformen. Letztlich scheint der Konsens in der gesamten Social Media-Branche zu sein, dass Social Media kein geeignetes Forum für sensible Daten wie PHI sind.
Welche Arten von Daten verarbeitet Sprout Social?
Die überwiegende Mehrheit der von Sprout Social verarbeiteten Daten ist bereits öffentlich zugänglich. Als Auftragsverarbeiter ruft Sprout Social Informationen von Social Media-Konten ab, die Sie mit unserer Plattform verbinden. Mit anderen Worten: Die Informationen, die Sie an Sprout Social weitergeben, sind bereits auf Ihren Social Media-Konten vorhanden. Für ausführlichere Informationen zu den von Sprout Social verarbeiteten Daten und den aus den sozialen Netzwerken erhaltenen Daten, laden Sie bitte hier unsere Datenschutzerklärung herunter.
Wie können wir als Gesundheitsorganisation Sprout Social sicher nutzen?
Um Kunden aus dem Gesundheitswesen bei der Einhaltung ihrer Compliance-Verpflichtungen zu unterstützen, haben wir mehrere Methoden und Produktkonfigurationen entwickelt (siehe unten), um die Wahrscheinlichkeit zu minimieren, sensible Daten wie PHI in den Social Media zu empfangen. Unsere Teams für Vertrieb und Solutions Engineering können jede Option während des Vertragsprozesses ausführlich besprechen. Unsere Teams für Support und Integration können Sie auch dabei unterstützen, diese Optionen beim Onboarding zu aktivieren.
- Haftungsausschlüsse für Profile – Kunden können ihren sozialen Profilen einen Haftungsausschluss hinzufügen, um die Benutzer von Social Media aufzufordern, keine Gesundheitsinformationen weiterzugeben und sie darüber zu informieren, wohin diese Informationen weitergeleitet werden sollen.
- Direct Message Disclaimers – Similarly, customers can add a disclaimer that automatically pops up when social media users begin drafting a direct message to their profile. For example, the disclaimer may read “Thank you for reaching out to us. Please note that we are unable to answer medical questions or provide medical advice through social media. We will reply to any other questions shortly.”
- Chatbots – Unsere Plattform bietet ein Tool zur Erstellung von Chatbots, mit dem Benutzer von Social Media zu einer E-Mail-Adresse oder einem anderen sicheren Kanal für Gespräche im Zusammenhang mit dem Gesundheitswesen umgeleitet werden können.
- Smart Inbox – Unsere Smart Inbox kann so konfiguriert werden, dass Nachrichten, die möglicherweise Informationen zum Gesundheitswesen enthalten, automatisch getaggt und zur Überprüfung und Löschung an einen Ordner weitergeleitet werden.
- Rollen und Berechtigungen – Kunden können Benutzerrollen und Berechtigungen festlegen, die den Zugriff auf Profile und Tag-Ordner einschränken oder verhindern, dass Benutzer überhaupt auf Kundennachrichten antworten.
- Gespeicherte Antworten – Kunden können vorformulierte Antworten speichern, mit denen sie schnell auf Kunden reagieren und das Gespräch zu einem sicheren Kanal für Gespräche im Zusammenhang mit dem Gesundheitswesen weiterleiten können.
Häufig gestellte Fragen
Stellt Sprout Social eine Verbindung zu unserem lokalen Netzwerk oder zu einem unserer anderen Systeme her?
Nein, Sprout Social wird vollständig in der Cloud bei Amazon Web Services (AWS) gehostet und hat keinen Zugriff auf Ihr lokales Netzwerk.
Verschlüsselt Sprout Social die empfangenen und übertragenen Daten?
Ja, alle Daten werden gemischt, logisch getrennt und im Ruhezustand mit AES-256 oder höher verschlüsselt gespeichert, einschließlich der Backups. Die gesamte Kommunikation über öffentliche Netzwerke mit Anwendungen und APIs von Sprout Social wird über HTTPS mit TLS 1.2 oder höher durchgeführt.
Wie speichert Sprout Social die Daten und wie bewahrt sie diese auf?
Gemäß der Datenaufbewahrungsrichtlinie von Sprout Social können wir Kundendaten für einen Zeitraum von 13 Monaten ab dem Datum der Kündigung zum Zwecke der Kontoreaktivierung aufbewahren. Kunden können Daten auf der Plattform selbständig löschen. Nach der Kündigung löscht Sprout Social die Kundendaten auf schriftliche Anfrage hin unverzüglich.
Wo kann ich Informationen über die Sicherheitsstandards von Sprout Social finden?
Ausführliche Informationen zu unseren Sicherheitsstandards finden Sie here. Information on our security certifications is available in our customer trust portal. Finally, our DPA unseren Standard-Sicherheitsanhang, der in alle Kundenvereinbarungen enthalten ist.
Erfasst Sprout die IP-Adressen von Sociel Media-Benutzern?
Nein, die sozialen Netzwerke stellen uns keine IP-Adressen der Nutzer von sozialen Medien zur Verfügung. Wenn wir eine Social Media-Nachricht von einem Ihrer Patienten oder Kunden verarbeiten, erhalten, verarbeiten oder speichern wir deren IP-Adresse nicht . Wie die meisten Cloud-basierten Anwendungen erhalten wir die IP-Adressen von Personen, die sich mit Sprout Social-Anmeldedaten bei der Sprout Social-Plattform anmelden (d.h. die Mitglieder Ihres Social Media Management-Teams).