Smartsheet e a conformidade com a HIPAA (Lei de Portabilidade e Prestação de Contas do Seguro de Saúde)

Este artigo não constitui e não se destina a constituir aconselhamento jurídico; em vez disso, todas as informações fornecidas neste artigo são para você revisar como parte de seus próprios esforços de conformidade com a HIPAA.

Quaisquer termos em maiúsculas usados neste documento, mas não definidos, terão as definições atribuídas pela HIPAA ou pelo contrato que rege o uso dos serviços online baseados em assinatura do Smartsheet (Contrato de Assinatura). 

HIPAA

A HIPAA é uma lei federal dos EUA que estabelece padrões nacionais de como os planos de saúde, centros de saúde e prestadores de serviços de saúde (“Entidades Cobertas”) acessam, usam ou divulgam informações do paciente chamadas “Informações de Saúde Protegidas”  ou “PHI”.  

Os padrões nacionais estabelecidos pela HIPAA também podem se estender a subcontratados que prestam serviços a Entidades Cobertas (“Associados de Negócios”) ou seus subcontratados (“Subcontratados de Associados de Negócios”) e entrar em contato com PHI em seu nome. A HIPAA é aplicada pelo Departamento de Saúde e Serviços Humanos dos EUA.

DESCRIÇÃO DO SERVIÇO

Smartsheet oferece aos seus clientes serviços e aplicativos online baseados em assinatura (juntos, os Serviços de Assinatura) que são fornecidos a clientes elegíveis com medidas de segurança adicionais projetadas para permitir que os clientes cumpram suas obrigações sob a HIPAA.

Smartsheet implementa requisitos de fortalecimento e configuração consistentes na abordagem com as recomendações do Instituto SANS, do Instituto Nacional de Padrões e Tecnologia (NIST) e/ou do Centro de Segurança na Internet (CIS), ou padrões sucessores amplamente utilizados no setor, projetados para permitir que você cumpra suas obrigações sob a HIPAA.

“Conteúdo do Cliente” significaquaisquer dados, arquivos anexos, textos, imagens, relatórios, informações pessoais ou outro conteúdo que seja carregado ou enviado aos Serviços on-line pelo Cliente ou pelos Usuários e processado pela Smartsheet em nome do Cliente. Os dados que você envia para os Serviços online estão protegidos contra acesso não autorizado por controles de segurança que oferecem proteção equivalente à segregação lógica.

Smartsheet celebra contratos de parceria comercial com seus subcontratados que processam dados do cliente, o que permite armazenar anexos de arquivos contendo PHI nos Serviços de Assinatura, permitindo que você cumpra suas obrigações de HIPAA.

Se você optar por se integrar ou armazenar anexos por meio de terceiros, será o único responsável por garantir que os controles e acordos adequados estejam em vigor. Smartsheet é independente de dados em relação ao seu tratamento e ao tipo ou substância dos dados que você envia aos Serviços.

A Smartsheet só acessará ou analisará a substância de seus dados (a) conforme solicitado por você para permitir a prestação de serviços ou suporte; e (b) conforme necessário para que a Smartsheet (i) cumpra a lei aplicável ou procedimentos legais, ou (ii) investigue, previna ou tome medidas contra suspeita de abuso, fraude ou violação do Contrato de Assinatura.

Organização de Avaliação de Terceiros (3PAO)

 

Smartsheet usa avaliadores terceirizados (3PAOs) para verificar a adequação de suas medidas de segurança em torno dos Serviços de Assinatura anualmente. Esta auditoria:

(a) Incluirá o teste de todo o período de medição desde o término do período de medição anterior;

(b) Será realizado de acordo com os padrões AICPA SOC2 ou outros padrões alternativos que sejam substancialmente equivalentes ao AICPA SOC2;

(c) Será realizado por profissionais de segurança terceirizados independentes, com os custos por conta da Smartsheet; e

(d) resultará na geração de um relatório de auditoria (Relatório de Auditoria) com relação aos Serviços de Assinatura que serão disponibilizados de forma geral pela Smartsheet.

Um Relatório de Auditoria estará disponível para você mediante sua solicitação por escrito e apenas uma vez por ano, sujeito aos termos de não divulgação mutuamente acordados que abrangem o Relatório de Auditoria. Para evitar dúvidas, qualquer Relatório de Auditoria disponibilizado a você será uma informação confidencial do Smartsheet.

Responsabilidades do Cliente.

Para armazenar PHI nos Serviços online, você deve estar em um plano Enterprise (excluindo Legacy Enterprise) e ter celebrado o Business Associate Agreement (BAA) do Smartsheet.

Somente os usuários Enterprise têm a capacidade de implementar os recursos e funcionalidadesSmartsheet necessários para que você cumpra suas obrigações sob a HIPAA. Se você determinar que precisa de recursos de auditoria de usuário mais detalhados, é recomendável aproveitar os relatórios de eventos ou ter acesso ao Smartsheet Advance.

Modelo de responsabilidade compartilhada

Smartsheet emprega um modelo de responsabilidade compartilhada Software-as-a-Service (SaaS) entre você e Smartsheet. Smartsheet é responsável por fornecer medidas à nossa plataforma que permitem que você atenda aos seus requisitos de conformidade regulamentar. Essas medidas incluem fornecer restauração de sistemas de informação incorporando capacidades de proteção, detecção e reação, conforme descrito na Figura 1 abaixo. Para obter instruções e recomendações de controle específicas, consulte a seção Responsabilidade do cliente para configurar as configurações de segurança abaixo.

Você é responsável por determinar se um contrato de associação comercial com o Smartsheet é necessário e por garantir que você e seus Usuários usem os Serviços de Assinatura em conformidade com suas obrigações sob a HIPAA. Isso inclui entender e implementar os controles de segurança personalizáveis fornecidos pelo Smartsheet que você considera necessários para cumprir suas obrigações de conformidade com a HIPAA. 

Responsabilidade do Cliente para Configurar as Configurações de Segurança

Smartsheet fornece configurações personalizáveis projetadas para garantir que seus dados estejam protegidos. Essas configurações são projetadas para garantir que qualquer PHI que você enviar aos Serviços de Assinatura seja usada e/ou acessada de acordo com suas instruções e/ou conforme permitido pela BAA entre você e a Smartsheet. A obrigação de garantir que seu uso dos Serviços online permita que você cumpra suas obrigações com a HIPAA é de sua exclusiva responsabilidade.

Consulte Configurar Controles de segurança para um Plano Empresa e outros Artigos de ajuda relacionados para obter mais detalhes e instruções.

Recursos adicionais

Os recursos adicionais vinculados abaixo, embora não sejam específicos da HIPAA, podem ajudá-lo a entender como o Serviço de assinatura é projetado com privacidade, confidencialidade e disponibilidade de dados em mente. 

• Aviso de privacidade da Smartsheet
• Artigos de ajuda do Smartsheet
• Smartsheet para o setor de saúde

O Artigo de ajuda é apenas para fins informativos. Cada Cliente deve avaliar independentemente seu próprio uso dos Serviços de Assinatura, conforme apropriado, para apoiar suas obrigações de conformidade legal. Smartsheet não oferece garantias, expressas, implícitas ou estatutárias, quanto às informações contidas neste documento.

 

Para obter assistência adicional com a HIPAA, entre em contato com nossa Equipe de Finanças