Smartsheet e la conformità HIPAA

Il presente articolo non costituisce, e non intende costituire, una consulenza legale; al contrario, tutte le informazioni fornite in questo articolo sono da rivedere come parte dei propri sforzi di conformità HIPAA.

Tutti i termini in maiuscolo utilizzati nel presente documento ma non definiti avranno le definizioni assegnate ai sensi dell'HIPAA o dell'accordo che disciplina l'utilizzo dei servizi online basati su abbonamento di Smartsheet (Contratto di abbonamento).

HIPAA

L'HIPAA è una legge federale che stabilisce standard nazionali in merito alla modalità con cui i programmi sanitari, le camere di compensazione del settore sanitario e i fornitori di assistenza sanitaria ("Entità coperte") accedono, utilizzano o divulgano le informazioni sui pazienti definite "Informazioni sanitarie protette" o "PHI". 

Gli standard nazionali stabiliti ai sensi dell'HIPAA possono estendersi anche ai subappaltatori che forniscono servizi alle Entità coperte ("Soci") o ai loro subappaltatori (Subappaltatori dei soci") ed entrano in contatto con le PHI per loro conto.L'HIPAA è applicato dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti.

DESCRIZIONE DEL SERVIZIO

Smartsheet offre ai propri clienti servizi e applicazioni online basati su abbonamento (collettivamente, i Servizi in abbonamento) forniti ai clienti idonei con misure di sicurezza aggiuntive progettate per consentire ai clienti di rispettare gli obblighi previsti dalla normativa HIPAA.

Smartsheet implementa requisiti di protezione avanzata e configurazione coerenti nell'approccio con le raccomandazioni del SANS Institute, del National Institute of Standards and Technology (NIST) e/o del Center for Internet Security (CIS) o con gli standard successivi ampiamente utilizzati nel settore, progettati per consentirti di rispettare gli obblighi previsti dall'HIPAA.

Per "Contenuti del Cliente" si intendono tutti i dati, i file allegati, i testi, le immagini, i report, le informazioni personali o altri contenuti caricati o inviati ai Servizi online dal Cliente o dagli Utenti ed elaborati da Smartsheet per conto del Cliente. I dati inviati ai Servizi online sono protetti da accessi non autorizzati da controlli di sicurezza che offrono una protezione equivalente alla segregazione logica.

Smartsheet stipula accordi di società in affari con i suoi subappaltatori che elaborano i dati dei clienti, consentendoti di archiviare file allegati contenenti PHI nei Servizi di abbonamento, consentendoti di adempiereai tuoi obblighi HIPAA.

Se scegli di integrare o archiviare gli allegati tramite una terza parte, sei l'unico responsabile di garantire che siano in atto i controlli e gli accordi appropriati. Smartsheet è indipendente dai dati per quanto riguarda il loro trattamento e il tipo o la sostanza dei dati che invii ai Servizi.

Smartsheet accederà o analizzerà solo la sostanza dei tuoi dati (a) come da te richiesto per consentire la fornitura di servizi o supporto; e (b) nella misura necessaria a Smartsheet per (i) rispettare la legge applicabile o i procedimenti legali, o (ii) indagare, prevenire o intraprendere azioni contro sospetti abusi, frodi o violazioni del Contratto di abbonamento.

Organizzazione di valutazione di terze parti (3PAO)

 

Smartsheet si avvale di valutatori di terze parti (3PAO) per verificare annualmente l'adeguatezza delle misure di sicurezza relative ai Servizi in abbonamento. Questo audit:

a) comprenderà la verifica dell'intero periodo di misurazione dalla fine del precedente periodo di misurazione;

(b) saranno eseguiti secondo gli standard AICPA SOC2 o altri standard alternativi che sono sostanzialmente equivalenti a AICPA SOC2;

(c) saranno eseguiti da professionisti della sicurezza terzi indipendenti a discrezione e spese di Smartsheet; e

(d) Comporterà la generazione di un report di audit (Rapporto di audit) relativo ai Servizi in abbonamento, che sarà reso generalmente disponibile da Smartsheet.

Un rapporto di audit sarà disponibile su richiesta scritta e solo una volta all'anno, soggetti a termini di non divulgazione reciprocamente concordati che coprono il rapporto di audit. A scanso di equivoci, tali report di audit messi a tua disposizione costituiranno informazioni riservate di Smartsheet.

Responsabilità del Cliente.

Per memorizzare le PHI nei Servizi online, devi avere un piano Aziendale (esclusa l'Enterprise legacy) e aver stipulato il Contratto di socio in affari (BAA) di Smartsheet.

Solo gli utenti Aziendali hanno la capacità di implementare le caratteristiche e le funzionalità Smartsheet necessarie per rispettare gli obblighi previsti dalla normativa HIPAA. Se si determina che sono necessarie funzionalità di controllo utente più dettagliate, si consiglia di sfruttare la segnalazione eventi o di avere accesso a Smartsheet Advance .

Modello di responsabilità condivisa

Smartsheet utilizza un modello di responsabilità condivisa SaaS (Software-as-a-Service) tra te e Smartsheet. Smartsheet è responsabile di fornire alla propria piattaforma misure che consentano di soddisfare i requisiti di conformità alle normative. Queste misure includono il ripristino dei sistemi informativi incorporando capacità di protezione, rilevamento e reazione, come descritto nella figura 1 di seguito. Per istruzioni e raccomandazioni specifiche sul controllo, consultare la sezione Responsabilità del cliente per configurare le impostazioni di sicurezza di seguito.

Sei responsabile di determinare se sia necessarioun contratto di socio in affari con Smartsheet e di garantire che tu e i tuoi Utenti utilizziate i Servizi in abbonamento in conformità ai vostri obblighi ai sensi dell'HIPAA. Ciò include la comprensione e l'implementazione dei controlli di sicurezza personalizzabili forniti da Smartsheet che ritieni necessari per soddisfare gli obblighi di conformità HIPAA. 

Responsabilità del cliente per configurare le impostazioni di sicurezza

Smartsheet fornisce impostazioni personalizzabili progettate per garantire la sicurezza dei tuoi dati. Queste impostazioni sono concepite per assicurare che qualsiasi PHI che invii ai Servizi in abbonamento sia utilizzato e/o accessibile in conformità con le tue istruzioni e/o come consentito dal BAA tra te e Smartsheet. L'obbligo di garantire che l'utilizzo dei Servizi online consenta all'utente di soddisfare gli obblighi HIPAA è di esclusiva responsabilità dell'utente.

Per ulteriori dettagli e istruzioni, consulta Configurare Controlli di sicurezza per un piano Aziendale e altri articoli della guida correlati.

Risorse supplementari

Le risorse aggiuntive collegate di seguito, sebbene non specifiche per HIPAA, possono aiutarti a capire come il Servizio di abbonamento è progettato tenendo conto della privacy, della riservatezza e della disponibilità dei dati.

• Informativa sulla privacy di Smartsheet
• Articoli della Guida di Smartsheet
• Smartsheet per la sanità

Questo articolo della guida è solo a scopo informativo. Ciascun Cliente deve valutare in modo indipendente il proprio utilizzo dei Servizi in abbonamento come appropriato per supportare i propri obblighi legali di conformità. Smartsheet non fornisce alcuna garanzia, esplicita, implicita o legale, in merito alle informazioni contenute in questo documento.

 

Per ulteriore assistenza con HIPAA, contatta il nostro team finanziario