Para clientes do setor de saúde: HIPAA e Contrato de Associação Comercial (CAC)
Com mais de 900 clientes no setor de saúde, temos plena ciência de que o cenário de privacidade e regulamentação de dados está em constante evolução e queremos garantir a você, nosso cliente, nosso compromisso de cumprir todas as leis e regulamentações aplicáveis.
Ao contrário de outros fornecedores com os quais você pode estar acostumado a trabalhar, o Sprout Social não foi criado para conformidade com a HIPAA. Conforme nossos parceiros de redes sociais, os Termos de Serviço do Sprout Social impedem os clientes de compartilhar, coletar, transmitir ou armazenar informações sigilosas, incluindo informações de saúde protegidas (PHI) por meio da plataforma.
O Sprout Social é totalmente hospedado na nuvem, a plataforma não acessa sua rede local nem se conecta a nenhum sistema eletrônico de registros médicos. Todos os dados processados pelo Sprout Social são criptografados em trânsito e em repouso. O Sprout Social deve ser considerado um processador de dados, expandindo a funcionalidade das redes sociais nativas para centralizar as interações com seus clientes.
Levamos muito a sério essa responsabilidade e nosso compromisso com nossos parceiros de redes sociais.
Qual é a posição do Sprout sobre a HIPAA e a assinatura de Contratos de Associação Comercial (CAC)?
No início de 2023, o Sprout Social formou uma equipe dedicada a contas de saúde para melhor entender e resolver os desafios enfrentados pelas equipes de marketing, comunicação e atendimento ao cliente nos principais sistemas de saúde. Descobrimos que nossos clientes da área de saúde estão enfrentando dificuldades com a interseção das redes sociais e da HIPAA, o Boletim emitido em dezembro de 2022 pelo OCR sobre tecnologias de rastreamento e os mandatos dos CAC das equipes de privacidade de segurança.
Para tratar dessas questões, nossa equipe fez uma ampla avaliação do cenário das redes sociais no que se refere à HIPAA. Por fim, o consenso do setor indica que as redes sociais não são um fórum apropriado para informações de saúde protegidas (PHI). Até onde sabemos, as próprias redes sociais não assinam um CAC e isentam-se da responsabilidade pelo conteúdo em suas plataformas.
Para ajudar os clientes do setor de saúde a tratar desses problemas, descrevemos vários métodos e configurações de produtos que eliminam ou minimizam a probabilidade de receber PHI nas redes sociais. Orientamos vários clientes sobre essas opções, como parte do processo de contratação, e podemos ajudá-los a prepará-las durante a integração. Com esses métodos, nossos clientes conseguiram exceções do CAC em todos os setores, dada a natureza de baixo risco dos dados envolvidos.
Embora nossa posição sobre a necessidade de um CAC não tenha mudado, entendemos que pode haver situações em que as partes interessadas de dentro do negócio precisem de um CAC, apesar dos recursos disponíveis de mitigação de risco. Dessa forma, preparamos um CAC adequado à natureza e ao perfil de risco limitado dos serviços que prestamos. O CAC é utilizado em caso de envio involuntário de informações confidenciais por parte de um usuário da rede social sobre o qual sua organização não tenha controle.
Por que o Sprout Social proíbe dados confidenciais, como PHI, em sua plataforma?
As redes sociais não foram concebidas para estar em conformidade com as leis que regem PHI e outros dados confidenciais. Até onde sabemos, as redes sociais não assinam um BAA e seus termos de uso as isentam de responsabilidade por todo esse conteúdo em suas plataformas. Dessa forma, nossos acordos de parceria com as redes sociais exigem que proibamos o processamento de informações confidenciais, incluindo PHI, em nossa plataforma.
Da mesma forma que o Sprout Social, nossos concorrentes na área de gerenciamento de redes sociais também proíbem que seus clientes processem dados confidenciais, incluindo PHI, em suas plataformas. Por fim, o consenso em todo o setor indica que as redes sociais não são um fórum apropriado para dados confidenciais, como PHI.
Quais tipos de dados o Sprout Social processa?
A grande maioria dos dados processados pelo Sprout Social já está disponível publicamente. Como processador, o Sprout Social extrai informações das contas de redes sociais que você opta por conectar à nossa plataforma. Isso significa que as informações que você compartilha com o Sprout Social já existem em suas contas nas redes sociais. Para ver informações mais detalhadas sobre os dados processados pelo Sprout Social e os dados recebidos das redes sociais, baixe nosso Compromisso com a Privacidade de Dados aqui.
Como podemos usar o Sprout Social com segurança como uma organização para o setor de saúde?
Para ajudar os clientes do setor de saúde a cumprirem suas obrigações referentes à conformidade, criamos vários métodos e configurações de produtos (descritos abaixo) que minimizam a probabilidade de recebimento de dados confidenciais, como PHI, nas redes sociais. Nossas equipes de venda e engenharia de soluções podem discutir cada opção em detalhes durante o processo de contratação. Nossas equipes de suporte e integração podem ajudar também a ativar essas opções durante a integração.
- Isenção de responsabilidade do perfil: os clientes podem adicionar uma isenção de responsabilidade aos seus perfis solicitando que os usuários das redes sociais não compartilhem nenhuma informação de saúde e para informá-los para onde encaminhar essas informações
- Isenções de responsabilidade por mensagem direta: da mesma forma, os clientes podem adicionar uma isenção de responsabilidade que será apresentada automaticamente quando os usuários das redes sociais começarem a redigir uma mensagem direta em seus perfis. Por exemplo, a isenção de responsabilidade pode ser “Obrigado por entrar em contato conosco. Não podemos responder perguntas de saúde nem oferecer orientação médica por meio das redes sociais. Responderemos em breve a qualquer outra pergunta.”
- Chatbots: nossa plataforma oferece uma ferramenta de criação de chatbots que pode redirecionar usuários das redes sociais para um endereço de e-mail ou outro canal seguro para conversas relacionadas à saúde.
- Inbox inteligente: nossa inbox inteligente pode ser configurada para marcar automaticamente mensagens que possam conter informações de saúde e encaminhá-las para uma pasta para análise e exclusão.
- Funções e permissões: os clientes podem estabelecer funções e permissões de usuário que restrinjam o acesso a perfis e pastas de etiquetas ou impedir que os usuários respondam às mensagens dos clientes.
- Respostas salvas: os clientes podem salvar respostas escritas com antecedência que podem ser usadas para responder rapidamente aos clientes e redirecionar a conversa para um canal seguro para conversas relacionadas à saúde.
Perguntas Frequentes
O Sprout Social se conecta à nossa rede local ou a qualquer outro sistema?
Não, o Sprout Social é totalmente hospedado na nuvem, na Amazon Web Services (AWS), e não acessa sua rede local.
O Sprout Social criptografa os dados que recebe e transmite?
Sim, todos os dados são armazenados misturados, separados logicamente e criptografados em repouso usando o AES-256 ou superior, incluindo backups. Todas as comunicações em redes públicas com o aplicativo e a API do Sprout Social utilizam HTTPS com TLS 1.2 ou superior.
Como o Sprout Social armazena e mantém os dados?
De acordo com a política de retenção de dados do Sprout Social, podemos guardar os dados do cliente por um período de 13 meses a partir da data de cancelamento para fins de reativação da conta. Os clientes podem excluir os dados por autoatendimento na plataforma. Após a rescisão, o Sprout Social excluirá os dados do cliente imediatamente mediante solicitação por escrito.
Onde encontro informações sobre os padrões de segurança do Sprout Social?
Há informações detalhadas sobre nossos padrões de segurança disponíveis aqui. Há informações sobre nossas certificações de segurança disponíveis em nosso portal de confiança do cliente. E, por fim, nosso APD contém nosso anexo de segurança padrão incorporado em todos os nossos contratos com clientes.
O Sprout coleta os endereços IP dos usuários de redes sociais?
Não, as redes sociais não nos informam os endereços IP dos usuários das redes sociais. Se processarmos uma mensagem de rede social de um de seus pacientes ou clientes, não receberemos, processaremos nem armazenaremos o endereço IP dele. Assim como na maioria dos aplicativos na nuvem, recebemos os endereços IP das pessoas que acessam a plataforma Sprout Social com as credenciais do Sprout Social (ou seja, os membros da sua equipe de gerenciamento de redes sociais).