Smartsheet et conformité HIPAA

Cet article ne constitue pas, et n’est pas destiné à constituer, un conseil juridique ; au lieu de cela, toutes les informations fournies dans cet article sont à votre disposition dans le cadre de vos propres efforts de conformité HIPAA.

Les termes en majuscule utilisés ici mais non définis auront les définitions attribuées en vertu de l’HIPAA ou de l’accord régissant votre utilisation des services en ligne par abonnement de Smartsheet (Contrat d'abonnement). 

HIPAA

La Loi sur la portabilité et la responsabilité en assurance santé (Health Insurance Portability and Accountability Act, ou HIPAA) est une loi fédérale américaine établissant des normes nationales sur la façon dont les régimes d’assurance maladie, les centres d’information sur les soins de santé et les fournisseurs de soins de santé (les « Entités couvertes ») accèdent aux informations sur les patients, appelées informations de santé protégées (Protected Health Information, ou PHI) et utilisent ou divulguent ces informations. 

Les normes nationales établies par l’HIPAA peuvent également s’étendre aux sous-traitants qui fournissent des services aux Entités couvertes (« Associés commerciaux ») ou à leurs propres sous-traitants (« Sous-traitants des associés commerciaux ») et qui viennent en contact avec des PHI en leur nom.L’HIPAA est appliquée par le département de la Santé et des Services sociaux des États-Unis.

DESCRIPTION DES SERVICES

Smartsheet propose à ses clients des services et des applications en ligne par abonnement (ensemble, les services d’abonnement) qui sont fournis aux clients éligibles avec des mesures de sécurité supplémentaires conçues pour permettre aux clients de respecter leurs obligations en vertu de l’HIPAA.

Smartsheet met en œuvre des exigences de renforcement et de configuration cohérentes avec l’approche du SANS Institute, du National Institute of Standards and Technology (NIST) et/ou des recommandations du Center for Internet Security (CIS), ou des normes successeurs largement utilisées dans le secteur et conçues pour vous permettre de respecter vos obligations en vertu de l’HIPAA.

« Contenu client » désigne toutes les données, pièces jointes, textes, images, rapports, informations personnelles, ou tout autre contenu, chargés ou envoyés aux Services en ligne par le Client ou les Utilisateurs et qui sont traités par Smartsheet au nom du Client. Les données que vous soumettez aux Services en ligne sont protégées contre les accès non autorisés par des contrôles de sécurité offrant une protection équivalente à la ségrégation logique.

Smartsheet conclut des accords d’association d’affaires avec ses sous-traitants qui traitent les données des clients, ce qui vous permet de stocker des pièces jointes contenant des PHI dans les services d’abonnement, ce qui vous permet de :Respectez vos obligations HIPAA.

Si vous choisissez d’intégrer ou de stocker des pièces jointes par l’intermédiaire d’un tiers, vous êtes seul responsable de la mise en place des contrôles appropriés et des accords sont en place. Smartsheet est indépendante des données en ce qui concerne son traitement et le type ou la substance des données que vous soumettez aux Services.

Smartsheet n’accèdera à vos données ou ne les analysera que sur le fond (a) comme vous l’avez demandé pour permettre la fourniture de services ou d’une assistance ; et (b) comme nécessaire pour que Smartsheet (i) se conforme à la loi ou à la procédure judiciaire applicable, ou (ii) enquête, prévienne ou prenne des mesures contre les soupçons d’abus, de fraude ou de violation de l’accord d’abonnement.

Organisation d’évaluation tierce (3PAO)

 

Smartsheet fait appel à des évaluateurs tiers (3PAO) pour vérifier chaque année si ses mesures de sécurité relatives aux services d’abonnement sont adéquates. Cet audit :

a) Comprendra des essais sur l'ensemble de la période de mesure écoulée depuis la fin de la période de mesure précédente ;

(b) seront effectuées conformément aux normes SOC2 de l’AICPA ou à d’autres normes alternatives qui sont substantiellement équivalentes à la norme SOC2 de l’AICPA ;

(c) sera effectué par des professionnels de la sécurité indépendants, à la sélection et aux frais de Smartsheet ; et

d) Entraînera la production d'un rapport d'audit (Rapport d'audit) en ce qui concerne les Services d'abonnement qui seront mis à disposition de manière générale par Smartsheet.

Un rapport d’audit sera mis à votre disposition sur demande écrite et seulement une fois par an, sous réserve des conditions de non-divulgation mutuellement convenues couvrant le rapport d’audit. Pour éviter toute ambiguïté, tout rapport d’audit de ce type mis à votre disposition constituera des informations confidentielles de Smartsheet.

    Responsabilités des Clients.

Pour stocker des PHI dans les services en ligne, vous devez être abonné à un forfait Entreprise (à l’exception de Legacy Enterprise) et avoir souscrit à Smartsheet Contrat d’associé commercial (BAA).

Seuls les utilisateurs disposant d’un compte Entreprise ont la possibilité de mettre en œuvre les fonctionnalités de Smartsheet nécessaires pour respecter leurs obligations en vertu de l’HIPAA. Si vous déterminez que vous avez besoin de fonctionnalités d’audit des utilisateurs plus détaillées, il est recommandé de profiter de Rapports d’événements ou avoir accès à Smartsheet Advance.

Modèle de responsabilité partagée

Smartsheet utilise un logiciel en tant que service (SaaS) un modèle de responsabilité partagée entre vous et Smartsheet. Smartsheet est chargée de fournir à sa plateforme des mesures qui vous permettent de répondre à vos exigences de conformité réglementaire. Ces mesures comprennent la restauration des systèmes d’information en intégrant des capacités de protection, de détection et de réaction, comme indiqué dans la figure 1 ci-dessous. Pour obtenir des instructions et des recommandations de contrôle spécifiques, veuillez consulter la Responsabilité client pour configurer la section Paramètres de sécurité ci-dessous.

Il vous incombe de déterminer si un accord d’association d’affaires avec Smartsheet est nécessaire et pour vous assurer que vous et vos utilisateurs utilisez les services d’abonnement conformément à vos obligations en vertu de l’HIPAA. Cela comprend la compréhension et la mise en œuvre des contrôles de sécurité personnalisables fournis par Smartsheet que vous jugez nécessaires pour répondre à vos obligations de conformité HIPAA. 

Responsabilité du client dans la configuration des paramètres de sécurité

Smartsheet fournit des paramètres personnalisables conçus pour garantir la sécurité de vos données. Ces paramètres sont conçus pour garantir que tous les PHI que vous soumettez aux services d’abonnement sont utilisé et/ou accessible conformément à vos instructions et/ou tel que permis par l’accord d’association entre vous et Smartsheet. L’obligation de vous assurer que votre utilisation des Services en ligne vous permet de respecter vos obligations HIPAA relève de votre seule responsabilité.

Veuillez consulter Configurer les contrôles de sécurité pour un forfait Entreprise et d’autres articles d’aide connexes pour plus de détails et d’instructions.

Ressources supplémentaires

Les ressources supplémentaires ci-dessous, bien que non spécifiques à l’HIPAA, peuvent vous aider à comprendre comment le service d’abonnement est conçu en tenant compte de la confidentialité, de la disponibilité des données et de la confidentialité. 

• Déclaration de confidentialité de Smartsheet
• Articles d’aide Smartsheet
• Smartsheet pour la santé

Cet article d’aide est uniquement fourni à titre d’information. Chaque client doit évaluer indépendamment les siens l’utilisation des services d’abonnement appropriés pour soutenir ses obligations de conformité juridique. Smartsheet ne donne aucune garantie, expresse, implicite ou légale, quant aux informations contenues dans ce document.

 

Pour toute assistance supplémentaire concernant l’HIPAA, veuillez contacter notre Équipe financière