Smartsheet et HIPAA

Cet article d’aide décrit de manière générale la façon dont les services éligibles au traitement de au traitement des données de santé protégées (PHI) sont gérés et sécurisés d’une manière qui vous permet de respecter vos obligations de conformité en vertu de la Loi sur la transférabilité et la responsabilité de l’assurance maladie (HIPAA), telle qu’amendée, y compris la loi, y compris la loi HITECH (Health Information Technology for Economic and Clinical Health).

Qui peut l’utiliser ?

Forfaits :

  • Smartsheet
  • Smartsheet Advance Package

Autorisations :

Seuls les utilisateurs Entreprise peuvent mettre en œuvre les fonctionnalités de Smartsheet nécessaires pour vous permettre de respecter vos obligations en vertu de l’HIPAA.

Découvrez si cette fonctionnalité est incluse dans Régions Smartsheet ou Smartsheet pour le secteur public.

Smartsheet propose des services en ligne par abonnement (services d’abonnement), avec des types de forfaits spécifiques désignés comme services éligibles au traitement de au traitement de PHI (répertoriés ci-dessous). Les clients Smartsheet (vous, votre, etc.) peuvent utiliser les services éligibles au traitement de au traitement de PHI avec les forfaits éligibles pour stocker ou traiter des informations de santé protégées (PHI, pour Protected Health Information).

les clients ne sont autorisés à charger des phi dans les services d’abonnement que si (1) ils utilisent les services éligibles au traitement de au traitement de phi et (2) ils ont conclu un contrat de partenariat (business associate agreement, baa) avec smartsheet.

Cet article ne constitue pas, et n’a pas pour but de constituer, un conseil juridique. Toutes les informations fournies dans cet article sont destinées à être consultées dans le cadre de vos propres efforts de conformité HIPAA. Si vous avez des questions ou si vous souhaitez conclure un Contrat de partenariat (BAA) avec Smartsheet, contactez votre gestionnaire de compte Smartsheet ou remplissez le formulaire Smartsheet pour la santé.

services éligibles au traitement de au traitement de PHI

  • Forfait Entreprise Smartsheet (sous réserve des limitations ci-dessous)

Services non éligibles PHI

  • Essais de Smartsheet, forfaits Pro et Affaire
  • Membres du programme PAA, indépendamment du forfait
  • Brandfolder
  • Smartsheet University, communauté et autres sites Smartsheet

Pour plus d’informations sur les types de forfait et les fonctionnalités incluses, consultez notre page Tarifs.

Description des services

Smartsheet propose à ses clients des services en ligne par abonnement offrant des mesures de sécurité, des fonctions et des fonctionnalités supplémentaires conçues pour permettre aux clients de se conformer à leurs obligations en vertu de l’HIPAA (les services éligibles au traitement de au traitement de PHI). Ces mesures de sécurité sont évaluées chaque année par des auditeurs tiers conformément aux normes SOC2 de l’AICPA (ou à des normes sensiblement équivalentes) afin de démontrer comment Smartsheet se conforme aux contrôles et objectifs clés en matière de conformité.

Pour plus d’informations sur le rapport SOC2 de Smartsheet ou pour demander une copie de ce rapport, consultez la page du Trust Center consacrée à la conformité.

Smartsheet met en œuvre des exigences de renforcement et de configuration cohérentes avec le SANS Institute, le National Institute of Standards and Technology (NIST) et/ou les recommandations du Center for Internet Security (CIS), ou les normes ultérieures largement utilisées dans le secteur. 

L’ensemble des données, pièces jointes, textes, images, rapports, informations personnelles ou autres contenus que vous ou vos utilisateurs chargez ou envoyez aux services en ligne sont conservés sous forme chiffrée (pendant leur transfert et leur stockage).

Des paramètres configurables, y compris des contrôles d’accès, sont également disponibles via les services éligibles au traitement de au traitement de PHI afin de garantir que les PHI sont utilisées ou accessibles conformément à vos instructions et comme autorisé dans votre BAA conclu avec Smartsheet. Ces données sont protégées contre les accès non autorisés par des contrôles de sécurité configurables par les clients et qui offrent une protection équivalente à une séparation logique.

Accédez à notre Trust Center et passez en revue nos Pratiques de sécurité pour plus d’informations sur la façon dont vos données sont sécurisées et protégées.

La sécurité en tant que responsabilité partagée

Dans la mesure où vous savez ce qu’il convient de faire pour protéger vos données, Smartsheet utilise un modèle de responsabilité partagée SaaS (logiciel en tant que service) pour répondre au mieux à vos besoins en matière de conformité et réglementaires. Qu’est-ce que cela signifie ? Concrètement, Smartsheet et vous êtes tous deux responsables de la protection de vos données.

Smartsheet est responsable de la fourniture des mesures de sécurisation, d’assistance et de maintenance des Services d’abonnement. Ces mesures comprennent la restauration des systèmes d’information en intégrant des capacités de protection, de détection et de réaction, comme illustré dans la figure 1 ci-dessous.

Il vous incombe de vous assurer que vous et vos utilisateurs utilisez les Services d’abonnement conformément à vos obligations en vertu des lois applicables (y compris l’HIPAA), votre BAA conclu avec Smartsheet et comme indiqué dans cet article. Cela inclut la compréhension et la mise en œuvre des contrôles de sécurité personnalisables pris en charge par Smartsheet que vous jugez nécessaires pour répondre à vos obligations légales et de conformité. Smartsheet ne prend aucune mesure spécifique aux données en votre nom, car le traitement et le type de données que vous soumettez aux services sont indépendants des données elles-mêmes.

Measures for maintaining security as a shared responsibility

 

Pour en savoir plus sur la personnalisation et la configuration des Services d’abonnement, consultez notre article Configurer une politique de partage sécurisé et d’autres articles d’aide connexes pour plus de détails et d’instructions. 

Si vous choisissez d’intégrer ou de stocker des pièces jointes par l’intermédiaire d’un tiers, vous êtes seul responsable de la mise en place de l’ensemble des contrôles et accords appropriés.

Ressources supplémentaires

Les ressources ci-dessous, bien que non spécifiques à l’HIPAA, peuvent vous aider à comprendre comment le Service d’abonnement a été conçu dans le respect de la confidentialité et de la disponibilité des données.

Cet article d’aide est uniquement fourni à titre d’information. Chaque client doit évaluer de manière indépendante sa propre utilisation des Services d’abonnement, le cas échéant, afin de respecter ses obligations légales en matière de conformité. Smartsheet ne donne aucune garantie, expresse, implicite ou légale, quant aux informations contenues dans ce document.

si vous utilisez les services éligibles au traitement de phi et que vous déterminez que vous devez conclure un baa avec smartsheet, contactez votre gestionnaire de compte smartsheet ou envoyez le formulaire smartsheet pour la santé pour contacter notre équipe commerciale.