S’applique à

Smartsheet

Smartsheet et HIPAA

PLANS

  • Smartsheet

Cet article d’aide est destiné à aider les directeurs de la sécurité, les directeurs de la conformité, les administrateurs informatiques et d’autres employés des clients de Smartsheet (« vous », « votre », etc.) qui sont autorisés à utiliser les Services payants de Smartsheet pour stocker ou traiter des informations médicales protégées (ou « IMP »), de manière à leur permettre de s’acquitter de leurs obligations au titre de la loi Health Insurance Portability and Accountability Act (« HIPAA »), telle que modifiée, y compris la loi Health Information Technology for Economic and Clinical Health (« HITECH »).

Cet article ne constitue pas, ni n’a vocation à constituer un conseil juridique. Toutes les informations fournies dans cet article sont au contraire destinées à être vérifiées dans le cadre des mesures que vous adoptez pour vous mettre en conformité avec la loi HIPAA. Tous les termes en majuscules utilisés dans les présentes mais non définis auront les définitions attribuées en vertu de la HIPAA ou du contrat régissant votre utilisation des services en ligne par abonnement de Smartsheet (« Contrat d’abonnement »). 

HIPAA

HIPAA est une loi fédérale qui réglemente au niveau national la façon dont les systèmes de santé, les organismes de centralisation des données de santé et les prestataires de soins de santé (« Entités couvertes ») accèdent aux informations des patients désignées sous le nom de « Informations médicales protégées » ou « IMP », les utilisent ou les divulguent.  Les normes nationales édictées dans le cadre de la loi HIPAA peuvent également s’appliquer aux sous-traitants qui fournissent des services aux Entités couvertes (« Partenaires commerciaux ») ou à leurs sous-traitants (« Sous-traitants des partenaires commerciaux ») et qui peuvent avoir accès aux IMP en leur nom. La loi HIPAA est appliquée par le Département américain de la santé et des services sociaux (DHHS).

Description du service

Smartsheet propose à ses clients des services et des applications en ligne par abonnement (ensemble, les « Services payants ») qui sont fournis aux clients éligibles avec des mesures de sécurité supplémentaires conçues pour permettre aux clients de s’acquitter de leurs obligations en vertu de la loi HIPAA. Smartsheet instaure des obligations de renforcement et de configuration conformes, dans leur approche, aux recommandations du SANS Institute, du National Institute of Standards and Technology (NIST) et/ou du Center for Internet Security (CIS), ou aux normes qui leur succèdent et qui sont largement utilisées dans le secteur, afin de vous permettre de vous acquitter de vos obligations en vertu de la loi HIPAA. Toutes les données, pièces jointes, textes, images, rapports, informations personnelles ou autres contenus que vos Utilisateurs ou vous-même chargez ou envoyez aux Services en ligne, et qui sont traités par Smartsheet en votre nom, sont conservés sous forme chiffrée (en transit et au repos). Les données que vous envoyez aux Services en ligne sont protégées contre tout accès non autorisé, par le biais de contrôles de sécurité qui fournissent une protection équivalente à une séparation logique. Smartsheet a conclu ou conclura des contrats de partenariat commercial avec ses sous-traitants qui traitent les données des clients, vous autorisant ainsi de stocker des pièces jointes contenant des IMP dans les Services payants, de sorte à vous permettre de vous acquitter de vos obligations au titre de la loi HIPAA. Si vous choisissez d’intégrer ou de stocker des pièces jointes par l’intermédiaire d’un tiers, vous assumez l’entière responsabilité de la mise en place des contrôles appropriés et des contrats. Smartsheet est agnostique s’agissant des données, quant au traitement et au type ou à la substance des données que vous transmettez aux Services. Smartsheet n’accédera à vos données, ou n’en analysera la teneur (a) uniquement si vous le demandez pour permettre la prestation de services ou d’assistance ; et (b) par nécessité, pour que Smartsheet (i) se mette en conformité avec la loi applicable ou les procédures légales, ou (ii) enquête sur les abus, les fraudes ou les violation présumés du Contrat d’abonnement ou prenne des mesures face à ceux-ci.

Organisation d’évaluation tierce partie (3PAO)

 

Smartsheet fait appel chaque année à des évaluateurs tiers (3PAO) pour vérifier que ses mesures de sécurité entourant les Services payants sont adéquates. Cet audit : (a) comprendra le test de toute la période d’analyse à partir de la fin de la période d’analyse précédente ; (b) sera réalisé conformément aux normes AICPA SOC2 ou à d’autres normes alternatives, en majeure partie équivalentes à AICPA SOC2 ; (c) sera réalisé par des professionnels tiers indépendants de la sécurité, sélectionnés et rémunérés par Smartsheet ; et (d) donnera lieu à la génération d’un rapport d’audit (« Rapport d’audit ») concernant les Services payants, lequel rapport sera rendu public par Smartsheet.

Un Rapport d’audit sera mis à votre disposition sur demande écrite, moins d’une fois par an, sous réserve des conditions de non-divulgation convenues d’un commun accord couvrant ledit rapport. Afin de lever toute ambiguïté, tout Rapport d’audit mis à votre disposition sera une information confidentielle de Smartsheet.

Responsabilité du client

Pour pouvoir stocker des Informations médicales protégées (IMP) dans les Services en ligne, vous devez avoir souscrit un forfait Entreprise (à l’exception de l’ancien forfait Entreprise) et avoir conclu le Contrat de partenariat commercial (« BAA »). Seuls les utilisateurs ayant souscrit un forfait Entreprise ont la possibilité de mettre en œuvre les fonctionnalités nécessaires pour utiliser Smartsheet de sorte à vous permettre de vous acquitter de vos obligations en vertu de la loi HIPAA. Si vous pensez avoir besoin de capacités d’audit des utilisateurs plus détaillées, nous vous recommandons de profiter de la Génération de rapports d’événement ou d’accéder à Smartsheet Advance.

Modèle de responsabilité partagée

Smartsheet utilise un modèle de logiciel en tant que service (« SaaS ») fondé sur le partage de responsabilité entre Smartsheet et vous. Smartsheet est tenu de fournir des mesures à notre plateforme qui vous permettent de satisfaire à vos exigences de conformité réglementaire. Ces mesures consistent notamment à assurer la restauration des systèmes d’information en intégrant des capacités de protection, de détection et de réaction, comme indiqué dans la figure 1 ci-dessous. Pour des instructions et des recommandations de contrôle spécifiques, veuillez consulter la section Responsabilité du client dans la configuration des paramètres de sécurité ci-dessous.

Il vous appartient de juger de la nécessité de conclure un contrat de partenariat commercial avec Smartsheet et de faire en sorte que vos utilisateurs et vous-même utilisiez les Services payants conformément à vos obligations en vertu de la loi HIPAA. Cela inclut la compréhension et la mise en œuvre des contrôles de sécurité personnalisables fournis par Smartsheet que vous jugez nécessaires pour vous acquitter de vos obligations de conformité au titre de la loi HIPAA. 

Modèle de responsabilité partagée de Smartsheet pour SaaS

Responsabilité du client dans la configuration des paramètres de sécurité

Smartsheet fournit des paramètres personnalisables conçus pour garantir la sécurité de vos données. Ces paramètres sont conçus pour assurer que les IMP que vous envoyez aux Services payants sont utilisés, et/ou accessibles, conformément à vos instructions, et/ou tel qu’autorisé par le Contrat de partenariat commercial que vous avez conclu avec Smartsheet. Il vous appartient pleinement de veiller à ce que votre utilisation des Services en ligne vous permette de vous acquitter de vos obligations au titre de la loi HIPAA. Veuillez consulter la section Configurer les contrôles de sécurité pour un forfait Entreprise et d’autres articles d’aide connexes pour obtenir plus de détails et d’instructions.

Ressources supplémentaires

Les ressources supplémentaires accessibles en cliquant sur les liens ci-dessous, bien qu’elles ne soient pas spécifiques à la loi HIPAA, peuvent vous aider à comprendre comment le Service payant est conçu dans le souci de la protection de la vie privée, de la confidentialité et de la disponibilité des données. Vous pouvez également visiter notre page Smartsheet pour le secteur de la santé et contacter notre équipe de spécialistes de la santé pour en savoir plus.

Cet article d’aide est fourni à titre d’information uniquement. Chaque Client doit évaluer en toute impartialité sa propre utilisation des Services payants afin de s’acquitter de ses obligations de conformité légale en vigueur. SMARTSHEET N’ACCORDE AUCUNE GARANTIE, EXPRESSE, IMPLICITE OU LÉGALE QUANT AUX INFORMATIONS CONTENUES DANS CE DOCUMENT.

Cet article a-t-il été utile ?
OuiNon