Per i clienti del settore sanitario: HIPAA e Business Associate Agreement (BAA)
Con oltre 900 clienti nel settore sanitario, abbiamo maturato una profonda comprensione del fatto che il panorama relativo alla privacy e alla regolamentazione dei dati è in continua evoluzione e vogliamo rassicurare i clienti sul nostro impegno a rispettare tutte le leggi e i regolamenti vigenti.
A differenza di altri fornitori con cui potresti avere abitudine a lavorare, Sprout Social non è progettato per la conformità HIPAA. Senza Guardian, e in linea con i nostri partner social network, i Termini di servizio di Sprout Social Condizioni generali vietano ai clienti di condividere, raccogliere, trasmettere o archiviare informazioni sensibili, comprese le informazioni sanitarie protette (PHI) tramite la piattaforma.
Sprout Social è interamente in hosting nel cloud: la piattaforma non accede alla tua rete locale né si connette ad alcun sistema di cartelle cliniche elettroniche. Tutti i dati elaborati tramite Sprout Social sono crittografati sia in transito che a riposo. Sprout Social deve essere considerato un elaboratore di dati, dato che espande le funzionalità dei social network nativi per centralizzare le interazioni con i tuoi clienti.
Prendiamo molto sul serio questa responsabilità e il nostro impegno nei confronti dei nostri partner social network.
Come cambia la raccolta di PHI con Guardian?
Il prodotto aggiuntivo Guardian by Sprout Social consente ai clienti di raccogliere in modo sicuro le informazioni sanitarie protette (PHI) utilizzando un fornitore di terze parti verificato attraverso Moduli Sicuri.
Tutti i dati elaborati attraverso il nostro fornitore terzo sono crittografati sia in transito che a riposo.
Questa funzionalità è stata progettata specificamente per i nostri clienti del settore sanitario, consentendo loro di interagire in modo efficiente e senza intoppi sui social media e riducendo drasticamente i rischi, poiché i dati sensibili non vengono mai trasmessi o archiviati da Sprout Social o dai partner di rete.
Senza Guardian, perché Sprout Social vieta i dati sensibili come le PHI direttamente sulla sua piattaforma?
I social network non sono progettati per essere conformi alle leggi che regolano le informazioni sanitarie protette e altri dati sensibili. Per quanto ne sappiamo, i social network non firmano nessun BAA e le loro condizioni d'uso declinano ogni responsabilità per tutti i contenuti di questo tipo sulle loro piattaforme. Pertanto, i nostri accordi di partnership con i social network richiedono il divieto di trattamento di informazioni sensibili, comprese le informazioni sanitarie protette, sulla nostra piattaforma.
Analogamente a Sprout Social, anche i nostri concorrenti nello spazio di gestione dei social media vietano ai clienti di elaborare dati sensibili sulle loro piattaforme, comprese le PHI. In definitiva, nel settore dei social media tutti concordano sul fatto che i social media non siano una piazza appropriata per la raccolta diretta di dati sensibili come le PHI.
Qual è la posizione di Sprout in merito all'HIPAA e alla firma Business Associate Agreements (BAA)?
All'inizio del 2023, Sprout Social ha formato un team dedicato agli account per il settore sanitario, per comprendere e affrontare meglio le sfide dei principali sistemi di quel settore. Abbiamo scoperto che i nostri clienti del settore sanitario si stanno confrontando faticosamente con l'intersezione tra social media e HIPAA, il bollettino emesso nel dicembre 2022 dall'OCR sulle tecnologie di tracciamento e i mandati BAA dei team di sicurezza e privacy.
A seguito di quella revisione, abbiamo iniziato a offrire un BAA personalizzato, limitato al caricamento involontario di informazioni sanitarie protette da parte di un utente dei social media. Nel 2025, abbiamo ampliato la nostra offerta Moduli Sicuri di Guardian per supportare la gestione delle informazioni sanitarie protette, sfruttando un BAA aggiornato che definisce il rapporto tra i clienti, Sprout e il nostro fornitore terzo sicuro (con il quale Sprout ha sottoscritto un Business Associate Subcontractor Agreement, BASA).
Ricordando agli utenti di non condividere informazioni sensibili direttamente sui social media e utilizzando Moduli Sicuri di Guardian (inclusa la firma di un BAA con Sprout se intendi raccogliere informazioni sanitarie protette tramite Moduli Sicuri), puoi ridurre significativamente il rischio per i tuoi utenti e, allo stesso tempo, rafforzare la loro fiducia.
- Scopo del BAA su misura: il BAA è strutturato sulla natura e sul profilo di rischio limitato dei servizi principali di Sprout Social. Viene utilizzato nel caso in cui si verifichi il caricamento involontario di PHI da parte di un utente di social media che l'organizzazione non può controllare. Fornisce copertura e procedure chiare per gestire questa rara esposizione accidentale.
- BAA e Moduli Sicuri di Guardian: le disposizioni di questo BAA personalizzato relative a eventuali informazioni sanitarie protette involontarie non si applicano ai dati trasmessi tramite Secure Forms. Poiché Moduli Sicuri utilizza un fornitore separato e sicuro, che non coinvolge la piattaforma Sprout Social nell’elaborazione dei dati, il rischio di esposizione involontaria di informazioni sanitarie protette a Sprout Social è eliminato in questo specifico flusso di lavoro.
Quali tipi di dati vengono trattati da Sprout Social?
La stragrande maggioranza dei dati trattati da Sprout Social è già disponibile pubblicamente. In qualità di responsabile del trattamento, Sprout Social recupera le informazioni dagli account dei social media che l'utente sceglie di collegare alla piattaforma. Ciò significa che le informazioni condivise con Sprout Social esistono già sui tuoi account di social media. Per informazioni più dettagliate sui dati trattati da Sprout Social e sui dati ricevuti dai social network, scarica il nostro Impegno per la privacy dei dati qui.
Come facciamo a utilizzare in sicurezza Sprout Social come organizzazione sanitaria?
Per aiutare i clienti del settore sanitario a ottemperare agli obblighi di conformità, abbiamo ideato diversi metodi e configurazioni di prodotti (descritti di seguito) che riducono al minimo la probabilità di ricevere dati sensibili come i PHI sui social media. I nostri team di vendita e di progettazione delle soluzioni possono discutere in dettaglio di ogni opzione durante il processo di contrattazione. Inoltre, i nostri team di supporto e integrazione possono aiutarti ad abilitare queste opzioni durante l'onboarding.
- Moduli Sicuri (tramite Guardian) – Moduli Sicuri consente ai clienti di raccogliere le PHI necessarie direttamente presso gli utenti, sfruttando una piattaforma sicura di terze parti. Queste informazioni non vengono mai elaborate o conservate dalla piattaforma Sprout Social.
- BAA – Firma un BAA con Sprout (sia per coprire la condivisione involontaria di informazioni sanitarie protette da parte degli utenti, sia per coprire la condivisione intenzionale tramite Moduli Sicuri)
- Esclusione di responsabilità del profilo: i clienti possono aggiungere un'esclusione di responsabilità ai profili social per richiedere agli utenti dei social media di astenersi dal condividere informazioni sanitari e per informarli su dove instradare tali informazioni
- Esclusione di responsabilità per messaggi diretti: analogamente, i clienti possono aggiungere un'esclusione di responsabilità che si visualizza automaticamente quando gli utenti dei social media iniziano a scrivere un messaggio diretto al loro profilo. Ad esempio, l'esclusione di responsabilità potrebbe essere la seguente: “Grazie per averci contattato. Si ricorda che non possiamo rispondere a domande mediche o fornire consigli medici tramite i social media. Risponderemo a breve a qualsiasi altra domanda.”
- Chatbot: la nostra piattaforma fornisce uno strumento per la creazione di chatbot in grado di reindirizzare gli utenti dei social media a un indirizzo e-mail o a un altro canale sicuro per conversazioni relative all'assistenza sanitaria.
- Smart Inbox: la nostra Smart Inbox può essere configurata per contrassegnare automaticamente i messaggi che possono contenere informazioni sanitarie e indirizzarli a una cartella per la revisione e l'eliminazione.
- Ruoli e autorizzazioni: i clienti possono designare ruoli utente e autorizzazioni che limitano l'accesso alle cartelle di profili e tag o per impedire agli utenti di rispondere del tutto ai messaggi dei clienti.
- Risposte salvate: i clienti possono salvare risposte predefinite da utilizzare per rispondere rapidamente ai clienti e reindirizzare la conversazione a un canale sicuro per le conversazioni relative all'assistenza sanitaria.
Domande frequenti
Sprout Social si connette alla nostra rete locale o a uno dei nostri altri sistemi?
No, Sprout Social è interamente in hosting nel cloud su Amazon Web Services (AWS) e non accede alla tua rete locale.
Sprout Social crittografa i dati che riceve e trasmette?
Sì, tutti i dati vengono archiviati in modo combinato, separati logicamente e crittografati a riposo utilizzando AES-256 o versioni successive, inclusi i backup. Tutte le comunicazioni su reti pubbliche effettuate tramite l'app e l'API di Sprout Social utilizzano il protocollo HTTPS con crittografia TLS 1.2 o superiore.
In che modo Sprout Social archivia e conserva i dati?
Ai sensi della policy di conservazione dei dati di Sprout Social, possiamo conservare i dati dei clienti per un periodo di 13 mesi dalla data di cancellazione ai fini della riattivazione dell'account. I clienti possono eliminare i dati in modalità self-service all'interno della piattaforma. Dopo la risoluzione, Sprout Social cancellerà immediatamente i dati del cliente su richiesta scritta. I dati inviati tramite i Moduli Sicuri di Guardian vengono conservati interamente all'interno di un archivio sicuro di terze parti. Sprout Social non accede, visualizza o conserva mai tali informazioni.
Dove posso trovare informazioni sugli standard di sicurezza di Sprout Social?
Le informazioni dettagliate sui nostri standard di sicurezza sono disponibili qui. Le informazioni sulle nostre certificazioni di sicurezza sono disponibili nel nostro Customer Trust Portal. Infine, il nostro DPA comprende il nostro allegato di sicurezza standard, integrato in tutti gli accordi con i clienti.
Sprout raccoglie gli indirizzi IP degli utenti dei social media?
No, i social network non ci forniscono gli indirizzi IP degli utenti dei social media. Se elaboriamo un messaggio sui social media da parte di uno dei tuoi pazienti o clienti, non riceveremo, elaboreremo o archivieremo il suo indirizzo IP. Come la maggior parte delle applicazioni basate su cloud, riceviamo gli indirizzi IP delle persone che accedono alla piattaforma Sprout Social con le credenziali di Sprout Social (ad esempio, i membri del team di gestione dei social media dell'utente).
I moduli Guardian Secure sono conformi agli standard HIPAA?
Sprout Social non può fornire consulenza ai clienti in materia di conformità legale. Tuttavia, abbiamo condotto una revisione approfondita del nostro fornitore di Moduli Sicuri utilizzando lo strumento Security Risk Assessment (SRA) rilasciato dall'U.S Department of Health and Human Services Office for Civil Rights (OCR). Questo quadro di riferimento ci ha aiutato a valutare i controlli di sicurezza del fornitore e a garantire che la soluzione supporti gli standard di conformità HIPAA.