Para nuestros clientes del sector salud: HIPAA y Acuerdos de socios comerciales (BAA)
Con más de 900 clientes en el sector de la atención médica, estamos plenamente conscientes de que el panorama de la privacidad y la regulación de datos está en constante evolución, por lo que queremos refrendar ante ti, que eres nuestro cliente, nuestro compromiso de cumplir con todas las leyes y regulaciones aplicables.
A diferencia de otros proveedores con los que puedes estar acostumbrado a trabajar, Sprout Social no está diseñado para cumplir con la HIPAA. De acuerdo con nuestros socios de redes sociales, los Términos de servicio de Sprout Social prohíben a los clientes compartir, recopilar, transmitir o almacenar información confidencial, incluida la información médica protegida (PHI, por sus siglas en inglés) a través de la plataforma.
Sprout Social se aloja completamente en la nube: la plataforma no accede a tu red local ni se conecta a ningún sistema de registros médicos electrónicos. Todos los datos cuyo tratamiento se realiza a través de Sprout Social se cifran tanto en tránsito como durante la inactividad. Sprout Social debe considerarse un encargado del tratamiento de datos, al ampliar la funcionalidad de las redes sociales nativas para centralizar las interacciones con tus clientes.
Nos tomamos muy en serio esta responsabilidad y nuestro compromiso con nuestros socios de redes sociales.
¿Cuál es la postura de Sprout acerca de la HIPAA y la firma de Acuerdos de socios comerciales (BAA)?
A principios de 2023, Sprout Social formó un equipo de cuentas específicamente para el sector de atención médica a fin de comprender y abordar mejor los desafíos que enfrentan los equipos de marketing, comunicaciones y servicio al cliente dentro de los principales sistemas de atención médica. Lo que hemos descubierto es que nuestros clientes del sector de la atención médica están teniendo dificultades con la intersección de las redes sociales y la HIPAA, el boletín emitido en diciembre de 2022 por la Oficina de Derechos Civiles (OCR, por sus siglas en inglés) sobre tecnologías de seguimiento y los mandatos de BAA de los equipos de seguridad y privacidad.
Para abordar estas inquietudes, nuestro equipo realizó una evaluación exhaustiva del panorama de las redes sociales en relación con la HIPAA. En definitiva, el consenso de la industria parece ser que las redes sociales no son un foro apropiado para la PHI. Hasta donde sabemos, las propias redes sociales no firman BAA y se eximen de responsabilidad por el contenido de sus plataformas.
Para ayudar a los clientes de atención médica a resolver estos problemas, hemos descrito varios métodos y configuraciones de productos que eliminan o minimizan la probabilidad de recibir información personal de salud en las redes sociales. Hemos orientado a varios clientes a través de estas opciones como parte del proceso de contratación y podemos ayudar a los clientes a habilitarlas durante la incorporación del cliente. Con estos métodos, nuestros clientes han tenido éxito en la obtención de excepciones a los BAA en todos los ámbitos, dada la naturaleza de bajo riesgo de los datos involucrados.
Si bien nuestra postura sobre la necesidad de firmar un BAA no ha cambiado, entendemos que puede haber situaciones en las que las políticas internas exigen un BAA, a pesar de las características de mitigación de riesgos disponibles. Como tal, hemos preparado un BAA a la medida que se adapta a la naturaleza y al perfil de riesgo limitado de los servicios que brindamos. El BAA se utiliza en caso de que ocurra una carga inadvertida de información confidencial por parte de un usuario de redes sociales que tu organización no pueda controlar.
¿Por qué Sprout Social prohíbe los datos confidenciales, como la información personal de salud, en su plataforma?
Las redes sociales no están diseñadas para cumplir con las leyes que rigen la información personal de salud y otros datos confidenciales. Hasta donde sabemos, las redes sociales no firman un BAA y sus condiciones de uso se eximen de responsabilidad por todo el contenido de sus plataformas. Como tal, nuestros acuerdos de asociación con las redes sociales requieren que prohibamos el tratamiento de información confidencial, incluida la información personal de salud, en nuestra plataforma.
Al igual que Sprout Social, nuestros competidores en el espacio de administración de redes sociales también prohíben a sus clientes procesar datos confidenciales, incluida la información personal de salud, en sus plataformas. En definitiva, el consenso en toda la industria de las redes sociales parece ser que las redes sociales no son un foro apropiado para datos confidenciales como la información personal de salud.
¿Qué tipos de datos procesa Sprout Social?
La gran mayoría de los datos cuyo tratamiento realiza Sprout Social ya están disponibles públicamente. Como encargado del tratamiento, Sprout Social recupera información de las cuentas de redes sociales que eliges para conectarte a nuestra plataforma. Esto significa que la información que compartes con Sprout Social ya existe en tus cuentas de redes sociales. Para obtener más información sobre los datos procesados por Sprout Social y los datos recibidos de las redes sociales, descarga aquí nuestro Compromiso de privacidad de datos.
Si somos una organización de atención médica, ¿cómo podemos usar Sprout Social de manera segura?
Para ayudar a los clientes del sector de la salud con sus obligaciones de cumplimiento normativo, hemos diseñado varios métodos y configuraciones de productos (descritos a continuación) que minimizan la probabilidad de recibir datos confidenciales, como información personal de salud en las redes sociales. Nuestros equipos de ventas e ingeniería de soluciones pueden analizar cada opción a detalle durante el proceso de contratación. Nuestros equipos de soporte e integración también pueden ayudar a habilitar estas opciones durante la incorporación.
- Descargos de responsabilidad del perfil. Los clientes pueden agregar un descargo de responsabilidad a sus perfiles sociales para solicitar que los usuarios de las redes sociales se abstengan de compartir cualquier información de atención médica y para informarles a dónde dirigir dicha información
- Descargo de responsabilidad de mensaje directo. De manera similar, los clientes pueden agregar un descargo de responsabilidad que aparezca automáticamente cuando los usuarios de las redes sociales comiencen a redactar un mensaje directo en su perfil. Por ejemplo, el descargo de responsabilidad puede decir "Gracias por comunicarte con nosotros. Ten en cuenta que no podemos responder preguntas médicas ni proporcionar asesoramiento médico a través de las redes sociales. Responderemos a cualquier otra pregunta en breve".
- Chatbots. Nuestra plataforma proporciona una herramienta de creación de chatbots que puede redirigir a los usuarios de las redes sociales a una dirección de correo electrónico u otro canal seguro para conversaciones relacionadas con la atención médica.
- Entrada inteligente. Nuestra Entrada inteligente puede configurarse para etiquetar automáticamente los mensajes que pueden contener información de atención médica, y enrutarlos a una carpeta para su revisión y eliminación.
- Roles y permisos. Los clientes pueden designar roles y permisos de usuario que restrinjan el acceso a perfiles y carpetas de etiquetas, o para evitar que los usuarios respondan a los mensajes de los clientes por completo.
- Respuestas guardadas. Los clientes pueden guardar respuestas escritas previamente que se pueden utilizar para responder rápidamente a los clientes y redirigir la conversación a un canal seguro para conversaciones relacionadas con la atención médica.
Preguntas frecuentes
¿Sprout Social se conecta a nuestra red local o a cualquiera de nuestros otros sistemas?
No. Sprout Social está completamente alojado en la nube en Amazon Web Services (AWS) y no accede a tu red local.
¿Sprout Social cifra los datos que recibe y transmite?
Sí, todos los datos se almacenan mezclados, separados lógicamente y cifrados en inactividad mediante AES-256 o superior, incluidas las copias de seguridad. Toda comunicación en redes públicas con la aplicación y la API de Sprout Social se realiza a través de HTTPS con TLS 1.2 o superior.
¿Cómo almacena y conserva Sprout Social los datos?
De acuerdo con la política de retención de datos de Sprout Social, podemos conservar los datos de los clientes durante un período de 13 meses a partir de la fecha de cancelación con el fin de reactivar la cuenta. Los clientes pueden eliminar datos de forma autogestionada dentro de la plataforma. Después de la rescisión del acuerdo, Sprout Social eliminará los datos del cliente de inmediato previa solicitud por escrito.
¿Dónde puedo encontrar información sobre las normas de seguridad de Sprout Social?
La información detallada sobre nuestras normas de seguridad está disponible aquí. La información sobre nuestras certificaciones de seguridad está disponible en nuestro portal de confianza del cliente. Por último, nuestro APD incluye nuestro anexo de seguridad estándar que se incorpora en todos los contratos con los clientes.
¿Sprout recopila las direcciones IP de los usuarios de las redes sociales?
No. Las redes sociales no nos proporcionan las direcciones IP de los usuarios de las redes sociales. Si realizamos el procesamiento de un mensaje de redes sociales de uno de tus pacientes o clientes, no recibiremos, procesaremos ni almacenaremos su dirección IP. Como la mayoría de las aplicaciones basadas en la nube, recibimos las direcciones IP de las personas que inician sesión en la plataforma de Sprout Social con credenciales de Sprout Social (es decir, los miembros de tu equipo de administración de redes sociales).