Para clientes do setor de saúde: HIPAA e Contrato de Associação Comercial (CAC)
Com mais de 900 clientes no setor de saúde, temos plena ciência de que o cenário de privacidade e regulamentação de dados está em constante evolução e queremos garantir a você, nosso cliente, nosso compromisso de cumprir todas as leis e regulamentações aplicáveis.
Ao contrário de outros fornecedores com os quais você possa estar acostumado a trabalhar, o Sprout Social não foi projetado para conformidade com a HIPAA. Sem o Guardian e em conformidade com nossos parceiros de redes sociais, os Termos de Serviço proíbem os clientes de compartilhar, coletar, transmitir ou armazenar informações confidenciais, inclusive informações de saúde protegidas (PHI), por meio da plataforma.
O Sprout Social é totalmente hospedado na nuvem, a plataforma não acessa sua rede local nem se conecta a nenhum sistema eletrônico de registros médicos. Todos os dados processados pelo Sprout Social são criptografados em trânsito e em repouso. O Sprout Social deve ser considerado um processador de dados, expandindo a funcionalidade das redes sociais nativas para centralizar as interações com seus clientes.
Levamos muito a sério essa responsabilidade e nosso compromisso com nossos parceiros de redes sociais.
Como a coleta de PHI muda com o Guardian?
O Guardian by Sprout Social, um produto adicional, permite que os clientes coletem PHI de forma segura usando um fornecedor terceirizado avaliado por meio de Formulários Seguros.
Todos os dados processados por meio de nosso fornecedor terceirizado são criptografados em trânsito e em repouso.
Essa funcionalidade foi pensada especificamente para nossos clientes de saúde, permitindo que eles interajam de forma eficiente e fluida nas redes sociais, reduzindo drasticamente o risco, já que dados sensíveis nunca são transmitidos nem armazenados pelo Sprout Social ou por parceiros de rede.
Sem o Guardian, por que o Sprout Social proíbe dados confidenciais, como PHI, diretamente na plataforma?
As redes sociais não foram concebidas para estar em conformidade com as leis que regem PHI e outros dados confidenciais. Até onde sabemos, as redes sociais não assinam um BAA e seus termos de uso as isentam de responsabilidade por todo esse conteúdo em suas plataformas. Dessa forma, nossos acordos de parceria com as redes sociais exigem que proibamos o processamento de informações confidenciais, incluindo PHI, em nossa plataforma.
Da mesma forma que o Sprout Social, nossos concorrentes na área de gerenciamento de redes sociais também proíbem que seus clientes processem dados confidenciais, incluindo PHI, em suas plataformas. Em última análise, o consenso em todo o setor de mídias sociais é que as plataformas de mídias sociais não são fóruns apropriados para a coleta direta de dados sensíveis, como informações de saúde protegidas (PHI).
Qual é a posição do Sprout sobre a HIPAA e a assinatura de Contratos de Associação Comercial (CAC)?
No início de 2023, a Sprout Social formou uma equipe dedicada de contas para o setor de saúde, com o objetivo de compreender melhor e lidar com os desafios enfrentados pelos grandes sistemas de saúde. O que descobrimos é que nossos clientes do setor de saúde estão enfrentando dificuldades na interseção entre redes sociais e HIPAA. o boletim emitido em dezembro de 2022 do OCR sobre tecnologias de rastreamento e das exigência de BAA das equipes de segurança e privacidade.
Após essa análise, começamos a oferecer um BAA personalizado para levar em conta o envio involuntário de PHI por usuários de redes sociais. E, em 2025, ampliamos nossa oferta de Formulários Seguros do Guardian para dar suporte a PHI. Isso se tornou possível graças a um BAA atualizado que define a relação entre os clientes, o Sprout e nosso fornecedor terceirizado seguro (com o qual o Sprout assinou um Contrato de Subcontratação de Parceiro Comercial, ou BASA).
Ao lembrar os usuários das suas redes sociais que eles não devem compartilhar diretamente informações sigilosas nessas plataformas, e ao utilizar os Formulários Seguros do Guardian (incluindo a assinatura de um BAA com o Sprout caso você deseje coletar PHI por meio dos Formulários Seguros), você pode reduzir consideravelmente os riscos para seus usuários, ao mesmo tempo em que reforça a confiança deles.
- Propósito personalizado do BAA: o BAA é adaptado à natureza e ao perfil de risco limitado dos serviços principais da Sprout Social. É utilizado caso haja um upload inadvertido de PHI por um usuário de redes sociais que sua organização não consiga controlar. Oferece cobertura e procedimentos claros para lidar com essa exposição rara e acidental.
- BAA e Formulários seguros do Guardian: As disposições deste BAA personalizado referentes a PHI inadvertido não são relevantes para os dados transmitidos por meio dos Formulários seguros. Dado que os Formulários seguros utilizam um fornecedor terceirizado distinto e seguro, e que o processamento dos dados é independente da plataforma Sprout Social, o risco de exposição involuntária de dados PHI ao Sprout Social é eliminado nesse fluxo de trabalho específico.
Quais tipos de dados o Sprout Social processa?
A grande maioria dos dados processados pelo Sprout Social já está disponível publicamente. Como processador, o Sprout Social extrai informações das contas de redes sociais que você opta por conectar à nossa plataforma. Isso significa que as informações que você compartilha com o Sprout Social já existem em suas contas nas redes sociais. Para ver informações mais detalhadas sobre os dados processados pelo Sprout Social e os dados recebidos das redes sociais, baixe nosso Compromisso com a Privacidade de Dados aqui.
Como podemos usar o Sprout Social com segurança como uma organização para o setor de saúde?
Para ajudar os clientes do setor de saúde a cumprirem suas obrigações referentes à conformidade, criamos vários métodos e configurações de produtos (descritos abaixo) que minimizam a probabilidade de recebimento de dados confidenciais, como PHI, nas redes sociais. Nossas equipes de venda e engenharia de soluções podem discutir cada opção em detalhes durante o processo de contratação. Nossas equipes de suporte e integração podem ajudar também a ativar essas opções durante a integração.
- Secure Forms (através do Guardian) – O Secure Forms permite que os clientes coletem as PHI necessárias diretamente dos usuários, utilizando uma plataforma segura de terceiros. Essas informações nunca são processadas ou retidas pela plataforma Sprout Social.
- BAA – Assine um BAA com o Sprout (seja para cobrir o compartilhamento involuntário de PHI pelos seus usuários, seja para o compartilhamento intencional por meio dos Formulários Seguros)
- Isenção de responsabilidade do perfil: os clientes podem adicionar uma isenção de responsabilidade aos seus perfis solicitando que os usuários das redes sociais não compartilhem nenhuma informação de saúde e para informá-los para onde encaminhar essas informações
- Isenções de responsabilidade por mensagem direta: da mesma forma, os clientes podem adicionar uma isenção de responsabilidade que será apresentada automaticamente quando os usuários das redes sociais começarem a redigir uma mensagem direta em seus perfis. Por exemplo, o texto da isenção de responsabilidade pode ser “Agradecemos o contato conosco. Não podemos responder a perguntas sobre saúde nem oferecer orientação médica por meio das redes sociais. Responderemos em breve a qualquer outra pergunta”.
- Chatbots: nossa plataforma oferece uma ferramenta de criação de chatbots que pode redirecionar usuários das redes sociais para um endereço de e-mail ou outro canal seguro para conversas relacionadas à saúde.
- Inbox inteligente: nossa inbox inteligente pode ser configurada para marcar automaticamente mensagens que possam conter informações de saúde e encaminhá-las para uma pasta para análise e exclusão.
- Funções e permissões: os clientes podem estabelecer funções e permissões de usuário que restrinjam o acesso a perfis e pastas de etiquetas ou impedir que os usuários respondam às mensagens dos clientes.
- Respostas salvas: os clientes podem salvar respostas escritas com antecedência que podem ser usadas para responder rapidamente aos clientes e redirecionar a conversa para um canal seguro para conversas relacionadas à saúde.
Perguntas Frequentes
O Sprout Social se conecta à nossa rede local ou a qualquer outro sistema?
Não, o Sprout Social é totalmente hospedado na nuvem, na Amazon Web Services (AWS), e não acessa sua rede local.
O Sprout Social criptografa os dados que recebe e transmite?
Sim, todos os dados são armazenados misturados, separados logicamente e criptografados em repouso usando o AES-256 ou superior, incluindo backups. Todas as comunicações em redes públicas com o aplicativo e a API do Sprout Social utilizam HTTPS com TLS 1.2 ou superior.
Como o Sprout Social armazena e mantém os dados?
De acordo com a política de retenção de dados do Sprout Social, podemos guardar os dados do cliente por um período de 13 meses a partir da data de cancelamento para fins de reativação da conta. Os clientes podem apagar os dados por autoatendimento na plataforma. Após a rescisão, o Sprout Social apaga os dados do cliente imediatamente mediante solicitação por escrito. Os dados enviados pelos Formulários Seguros do Guardian são mantidos inteiramente em armazenamento seguro de terceiros. O Sprout Social nunca acessa, vê nem retém essas informações.
Onde encontro informações sobre os padrões de segurança do Sprout Social?
Há informações detalhadas sobre nossos padrões de segurança disponíveis aqui. Há informações sobre nossas certificações de segurança disponíveis em nosso portal de confiança do cliente. Por último, nosso DPA inclui nosso anexo de segurança padrão que está incorporado em todos os contratos com clientes.
O Sprout coleta os endereços IP dos usuários de redes sociais?
Não, as redes sociais não nos informam os endereços IP dos usuários das redes sociais. Se processarmos uma mensagem de rede social de um de seus pacientes ou clientes, não receberemos, processaremos nem armazenaremos o endereço IP dele. Assim como na maioria dos aplicativos na nuvem, recebemos os endereços IP das pessoas que acessam a plataforma Sprout Social com as credenciais do Sprout Social (ou seja, os membros da sua equipe de gerenciamento de redes sociais).
Os Formulários Seguros Guardian cumprem a HIPAA?
O Sprout Social não pode aconselhar os clientes sobre conformidade legal. No entanto, realizamos uma revisão minuciosa do nosso fornecedor de Formulários Seguros usando a ferramenta de Avaliação de Risco de Segurança (SRA), lançada pelo Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos dos EUA. Essa estrutura nos ajudou a avaliar os controles de segurança do fornecedor e a garantir que a solução atendesse aos padrões da HIPAA.