Svennis Partner Zoho Romania Logo

Întrebări frecvente: Conformitate HIPAA

Capturile de ecran din acest articol sunt in limba engleza. Interfata Zoho CRM poate varia in functie de versiune si limba setata.

Cum ajută Zoho CRM organizațiile să respecte HIPAA?

În Zoho CRM, permitem organizațiilor să fie conforme cu ghidurile HIPAA prin furnizarea următoarelor opțiuni:

  1. Selectează modulele care conțin date de sănătate personale: Toate modulele care conțin informații de sănătate protejate trebuie selectate. Atât modulele standard, cât și cele personalizate pot fi selectate. Se pot selecta maximum 10 module.
  2. Marchează câmpurile ca și conținând informații de sănătate personale: Într-un modul, pot exista doar câteva câmpuri care conțin detalii de sănătate personale ale unui client. De exemplu, istoricul chirurgical, simptome, detalii despre medicație etc. Marcarea acestor câmpuri ca date de sănătate personale va ajuta sistemul să identifice și să restricționeze accesul la aceste câmpuri prin API și să prevină exportul valorilor din aceste câmpuri. Un total de 25 de câmpuri din fiecare modul pot fi marcate ca și câmpuri care conțin date de sănătate personale.
    Notă: Câmpurile de tip Lookup, multi-select lookup și autonumber nu pot fi marcate ca date de sănătate personale.
  3. Setează restricții pentru datele marcate ca PHI: Există patru opțiuni pentru restricționarea datelor personale de la accesul din afara Zoho CRM. Oricare dintre aceste opțiuni poate fi activată în funcție de cerințele organizației:
    1. Restricționează accesul la date prin API: Alte aplicații se pot conecta la CRM folosind API și datele pot fi transferate. Poți asigura că datele de sănătate personale ale clienților tăi nu sunt partajate în acest proces, restricționând transferul datelor de sănătate personale către alte aplicații prin API.
    2. Restricționează exportul datelor: Când exporti date din contul CRM, poate dorești să reții informațiile de sănătate personale de la export bifând această opțiune.
    3. Restricționează transferul de date către aplicațiile Zoho: Dacă contul CRM este integrat cu alte aplicații Zoho precum Desk, Campaigns, Projects etc., datele vor curge din CRM către aceste aplicații. Această opțiune va preveni transferul datelor de sănătate personale către alte aplicații. Pentru a verifica restricțiile fluxului de date, consultă tabelul.
    4. Restricționează transferul de date către aplicații terțe: Dacă contul tău CRM este integrat cu aplicații terțe din motive legate de afaceri, există posibilitatea ca datele să curgă din CRM către aceste aplicații. Această opțiune va preveni transferul datelor de sănătate personale către alte aplicații. Pentru a verifica restricțiile fluxului de date, consultă tabelul.
  4. Criptează câmpurile PHI: Câmpurile care conțin informații de sănătate personale pot fi criptate pentru securitate suplimentară. Deși criptarea câmpurilor nu este un pas obligatoriu în Zoho CRM, îți recomandăm cu tărie să activezi criptarea, deoarece este cea mai bună practică pentru a preveni accesul neautorizat la datele confidențiale.
Citește mai mult pentru a configura criptarea și a înțelege limitările acesteia. De asemenea, consultă documentul Zoho privind criptarea pentru a înțelege în detaliu procesul de criptare și gestionarea cheilor.

Unde găsesc opțiunea de a marca câmpurile ca informații de sănătate personale?

Într-un modul, pot exista doar câteva câmpuri care conțin detalii de sănătate personale ale unui client. De exemplu, istoricul chirurgical, simptome, detalii despre medicație etc. Marcarea acestor câmpuri ca date de sănătate personale va ajuta sistemul să identifice și să restricționeze accesul la aceste câmpuri prin API și să prevină exportul valorilor din aceste câmpuri. Un total de 25 de câmpuri din fiecare modul pot fi marcate ca și câmpuri care conțin date de sănătate personale.
NotesNotă: Câmpurile de tip Lookup, multi-select lookup și autonumber nu pot fi marcate ca date de sănătate personale.
Pentru a marca câmpurile care conțin date de sănătate personale
  1. Mergi la Setup > Customization > Modules and Fields.
  2. Selectează un modul și apasă pe iconița More pentru a selecta layout-ul dorit.
    Alternativ, poți apăsa pe iconița More și selecta Edit Layout.
  3. Mergi la câmpul dorit și apasă pe iconița More.
  4. Apasă pe Edit Properties și bifează caseta Contains Personal Health Data.
    Reține că această opțiune va apărea doar dacă modulul a fost selectat pentru conformitatea HIPAA.

Unde pot vedea înregistrările cu date de sănătate personale în CRM?

Toate câmpurile marcate ca și conținând date de sănătate personale vor fi listate în pagina de detalii a înregistrării. Sub Data Privacy, în secțiunea Personal Data, poți apăsa pe tab-ul Health pentru a vizualiza câmpurile care au date de sănătate personale.


Zoho oferă un jurnal de audit ca parte a conformității HIPAA?

Ca entitate acoperită, este responsabilitatea și cea mai bună practică să exporți jurnalele periodic și să le păstrezi pentru perioada necesară. Pentru a facilita acest lucru, îți permitem să exporți datele ori de câte ori este necesar folosind opțiunea Export Audit Log. În Zoho CRM, jurnalul de audit este disponibil implicit pentru 60 de zile.

Pentru a exporta înregistrările din jurnalul de audit
  1. Conectează-te la Zoho CRM cu privilegii de Administrator.
  2. Mergi la Setup > Security Control > Audit Log.
  3. În pagina Audit Log, apasă pe Export Audit Log.
    Înregistrările vor fi exportate în format .csv.
InfoÎn cazul în care ai nevoie de date mai vechi de 60 de zile, poți contacta support@zohocrm.com.

Cum configurez conformitatea HIPAA în contul meu CRM?

Odată cu numărul tot mai mare de organizații din domeniul sănătății care folosesc CRM pentru a-și gestiona activitatea și a stoca informațiile clienților într-o bază de date partajată, este esențial ca acestea să poată asigura confidențialitatea informațiilor de sănătate ale persoanelor. În Zoho CRM, oferim modalități pentru ca organizațiile din domeniul sănătății să securizeze și să restricționeze exportul informațiilor de sănătate ale persoanelor și să rămână conforme cu ghidurile HIPAA.

Pentru a configura conformitatea HIPAA
  1. Mergi la Setup > Security Control > Compliance Settings.
  2. Apasă pe tab-ul HIPAA Compliance.
  3. Activează butonul Enable HIPAA Compliance Settings.
    Selectează modulele din lista dropdown. Poți selecta până la 10 module.
  4. În Personal Health Data Handling, activează Restrict Data access through API, Restrict Data in Export, sau ambele, după cum este necesar.

Pentru a marca câmpurile care conțin date de sănătate personale
  1. Mergi la Setup > Customization > Modules and Fields.
  2. Selectează un modul și apasă pe iconița More pentru a selecta layout-ul dorit.
    Alternativ, poți apăsa pe iconița More și selecta Edit Layout.
  3. Mergi la câmpul dorit și apasă pe iconița More.
  4. Apasă pe Edit Properties și bifează caseta Contains Personal Health Data.
    Reține că această opțiune va apărea doar dacă modulul a fost selectat pentru conformitatea HIPAA.


Unde pot obține șablonul Business Associate Agreement?

HIPAA solicită Entităților Acoperite să semneze un Business Associate Agreement (BAA) cu Asociații lor de Afaceri. Poți solicita șablonul nostru BAA trimițând un e-mail la legal@zohocorp.com.

Ce tip de criptare este aplicată câmpurilor PHI?

Câmpurile care conțin informații de sănătate personale ale persoanelor pot fi criptate pentru a preveni accesul neautorizat. Odată criptate, câmpurile primesc atributul EAR.

Criptare în repaus (Encryption at Rest)
Se referă la datele care sunt criptate atunci când sunt stocate (nu în tranzit) — fie pe un disc, într-o bază de date sau în altă formă de suport media. Pe lângă criptarea datelor în tranzit, criptarea datelor atunci când sunt stocate pe servere oferă un nivel și mai ridicat de securitate. EAR protejează împotriva oricărei posibile scurgeri de date din cauza compromiterii serverului sau a accesului neautorizat.

Criptarea se efectuează la nivelul aplicației folosind algoritmul AES-256, care este un algoritm de criptare simetrică ce utilizează blocuri de 128 de biți și chei de 256 de biți. Cheia folosită pentru a converti datele din text simplu în text cifrat se numește Cheie de Criptare a Datelor (DEK). DEK este criptată ulterior folosind KEK (Key Encryption Key), oferind astfel un alt strat de securitate. Cheile sunt generate și gestionate de Serviciul nostru intern de Gestionare a Cheilor (KMS). Citește mai mult

Limitări și compromisuri aplicate câmpurilor criptate:
  1. Câmpurile criptate sunt supuse anumitor limitări.
  2. Doar căutarea după text complet este suportată în căutarea globală. De exemplu, dacă datele criptate sunt „Ion Popescu", înregistrarea câmpului criptat nu apare în rezultatele unei căutări după „Ion".
  3. Câmpurile criptate nu pot fi folosite în Filtre Avansate.
  4. Câmpurile criptate nu pot fi găsite folosind Căutare după Criterii.
  5. Câmpurile criptate nu sunt vizibile în opțiunea de Sortare.
  6. Informațiile criptate sunt stocate doar în domeniul crm.zoho.com. Folosirea informațiilor criptate în alte domenii sau servicii terțe se face pe propria răspundere.
  7. În modulul Forecasts, câmpurile criptate nu pot fi folosite ca Câmpuri Țintă.
NotesReține că criptarea câmpurilor este o entitate separată și nu face parte din Conformitatea HIPAA. Câmpurile PHI pot fi criptate chiar și fără a fi marcate ca și conținând PHI (obligatoriu pentru conformitatea HIPAA).
Pentru a ajuta organizațiile să fie conforme cu reglementările HIPAA, Zoho CRM le permite să marcheze câmpurile ca și conținând informații de sănătate personale. Procedând astfel, pot restricționa exportul informațiilor de sănătate ale persoanelor către aplicații terțe prin integrare sau prin API. Citește mai mult despre Conformitatea HIPAA aici.

Ce tipuri de restricții pot fi setate pentru câmpurile PHI în cadrul Conformității HIPAA?

Un total de 25 de câmpuri din fiecare modul pot fi marcate ca și câmpuri care conțin date de sănătate personale. Odată marcate, pot fi setate anumite restricții pentru a preveni accesul neautorizat la valorile sensibile prezente în câmpuri.

Notes
Notă
Câmpurile de tip Lookup, multi-select lookup și autonumber nu pot fi marcate ca date de sănătate personale.
Următoarele restricții pot fi setate pentru câmpurile PHI:
  • Restricționează accesul la date prin API: Alte aplicații se pot conecta la CRM folosind API și datele pot fi transferate. Poți asigura că datele de sănătate personale ale clienților tăi nu sunt partajate în acest proces, restricționând transferul datelor de sănătate personale către alte aplicații prin API.
  • Restricționează exportul datelor: Când exporti date din contul CRM, poate dorești să reții informațiile de sănătate personale de la export bifând această opțiune.
  • Restricționează transferul de date către aplicațiile Zoho: Dacă contul CRM este integrat cu alte aplicații Zoho precum Desk, Campaigns și Projects, datele vor curge din CRM către aceste aplicații. Această opțiune va preveni transferul datelor de sănătate personale către alte aplicații.
Tabelul următor îți va furniza detalii despre diversele integrări și implicațiile atunci când datele personale sunt restricționate. Există anumite câmpuri care sunt obligatorii pentru integrare, precum Email pentru integrarea Zoho Projects. Dacă marchezi email-ul ca un câmp personal, datele nu vor fi trimise din CRM către Projects.

Integrări cu aplicațiile Zoho


Integrări cu aplicațiile Zoho
Câmpuri obligatorii pentru integrare
Ce se întâmplă când datele de sănătate personale sunt restricționate?
Nume de familie și Email
Datele nu vor fi trimise din Zoho CRM.
Zoho Projects
Email
Utilizatorul client nu va fi adăugat prin crearea sau asocierea proiectului.
Zoho Finance Suite
Nume de familie și Email
Datele nu vor fi trimise din Zoho CRM.
Email
Datele nu vor fi trimise din Zoho CRM.
Email
Datele nu vor fi trimise din Zoho CRM.
NA
Detaliile, altele decât cele din câmpurile personale, vor fi partajate prin Zoho Cliq.
NA
Dacă unul dintre câmpurile sincronizate anterior este restricționat, rapoartele bazate pe acele câmpuri vor fi șterse.
NA
NA
Zoho Motivator
NA
NA
NA
NA
NA
NA
NA
NA
NA
NA
Zoho Sales IQ
NA
NA
NA
NA
  • Restricționează transferul de date către aplicații terțe: Dacă contul tău CRM este integrat cu aplicații terțe din motive legate de afaceri, există posibilitatea ca datele să curgă din CRM către aceste aplicații. Această opțiune va preveni transferul datelor de sănătate personale către alte aplicații.
Integrări cu aplicații terțe
Integrări cu alte aplicații
Câmpuri obligatorii pentru integrare
Ce se întâmplă când datele de sănătate personale sunt restricționate?
Microsoft Office 365
Prenume
Deoarece Prenumele nu poate fi marcat ca un câmp personal, integrarea va funcționa ca de obicei.
Microsoft Outlook
Prenume
Deoarece Prenumele nu poate fi marcat ca un câmp personal, integrarea va funcționa ca de obicei.
Google Contacts
Prenume
Deoarece Prenumele nu poate fi marcat ca un câmp personal, integrarea va funcționa ca de obicei.
Slack
NA
Detaliile, altele decât cele din câmpurile personale, vor fi partajate prin Slack.
Android sau iOS Speech Recognizer (Zia Voice)
NA
Doar acțiunea de apel către Zia va fi dezactivată; opțiunea de chat cu Zia va funcționa ca de obicei.
Pentru a seta restricții pe câmpurile PHI
  1. Mergi la Setup > Security Control > Compliance Settings.
  2. Apasă pe tab-ul HIPAA Compliance.
  3. Activează butonul Enable HIPAA Compliance Settings.
  4. Selectează modulele din lista dropdown.
  5. Poți selecta până la 10 module.
  6. În Personal Health Data Handling, activează Restrict Data access through API, Restrict Data in Export, sau ambele, după cum este necesar.

Cum gestionează Zoho câmpurile cu informații de sănătate personale pentru a respecta HIPAA?

Legea privind portabilitatea și responsabilitatea în domeniul asigurărilor de sănătate (HIPAA), care include Regula de Confidențialitate, Regula de Securitate, Regula de Notificare a Breșelor și Legea privind Tehnologia Informației în Sănătate pentru Sănătate Economică și Clinică, solicită Entităților Acoperite și Asociaților de Afaceri să ia anumite măsuri pentru a proteja informațiile de sănătate care pot identifica o persoană. De asemenea, oferă anumite drepturi persoanelor.

Alert
Important
Zoho nu colectează, nu folosește, nu stochează și nu menține informații de sănătate protejate de HIPAA în scopuri proprii.

Notes
Notă
HIPAA solicită Entităților Acoperite să semneze un Business Associate Agreement (BAA) cu Asociații lor de Afaceri. Poți solicita șablonul nostru BAA trimițând un e-mail la legal@zohocorp.com.

Zoho CRM oferă funcționalități pentru a ajuta clienții să folosească CRM în conformitate cu HIPAA. Pentru a permite organizațiilor din domeniul sănătății să respecte HIPAA, permitem administratorilor să marcheze câmpurile care conțin informații de sănătate personale ale persoanelor, astfel încât să poată fi implementate anumite restricții pentru a preveni accesul neautorizat la acele detalii sensibile. De exemplu, ID-ul pacientului, detaliile chirurgicale și afecțiunile reprezintă informații de sănătate personale ale unei persoane, care nu ar trebui să fie disponibile persoanelor din exterior.

Pentru a marca câmpurile care conțin date de sănătate personale
  1. Mergi la Setup > Customization > Modules and Fields.
  2. Selectează un modul și apasă pe iconița More pentru a selecta layout-ul dorit.
    Alternativ, poți apăsa pe iconița More și selecta Edit Layout.
  3. Mergi la câmpul dorit și apasă pe iconița More.
  4. Apasă pe Edit Properties și bifează caseta Contains Personal Health Data.
  5. Reține că această opțiune va apărea doar dacă modulul a fost selectat pentru conformitatea HIPAA.
Odată marcate, pot fi setate anumite restricții pentru a preveni accesul neautorizat la valorile sensibile prezente în câmpuri.
  1. Restricționează accesul la date prin API: Alte aplicații se pot conecta la CRM folosind API și datele pot fi transferate. Poți asigura că datele de sănătate personale ale clienților tăi nu sunt partajate în acest proces, restricționând transferul datelor de sănătate personale către alte aplicații prin API.
  2. Restricționează exportul datelor: Când exporti date din contul CRM, poate dorești să reții informațiile de sănătate personale de la export bifând această opțiune.
  3. Restricționează transferul de date către aplicațiile Zoho: Dacă contul CRM este integrat cu alte aplicații Zoho precum Desk, Campaigns și Projects, datele vor curge din CRM către aceste aplicații. Această opțiune va preveni transferul datelor de sănătate personale către alte aplicații. Pentru a verifica restricțiile fluxului de date, consultă tabelul.
  4. Restricționează transferul de date către aplicații terțe: Dacă contul tău CRM este integrat cu aplicații terțe din motive legate de afaceri, există posibilitatea ca datele să curgă din CRM către aceste aplicații. Această opțiune va preveni transferul datelor de sănătate personale către alte aplicații. Pentru a verifica restricțiile fluxului de date, consultă tabelul
Pentru a seta restricții pe câmpurile PHI
  1. Mergi la Setup > Security Controls > Compliance Settings.
  2. Apasă pe tab-ul HIPAA Compliance.
  3. Activează butonul Enable HIPAA Compliance Settings.
    Selectează modulele din lista dropdown. Poți selecta până la 10 module.
  4. În Personal Health Data Handling, activează Restrict Data access through API, Restrict Data in Export, sau ambele, după cum este necesar.

Marcarea unui câmp ca PHI (Informații de Sănătate Personale) îl criptează automat?

Nu, marcarea unui câmp ca PHI permite doar sistemului să identifice că valorile prezente în acesta conțin informații de sănătate personale ale unei persoane.
Ca un strat suplimentar de securitate, aceste câmpuri pot fi criptate separat. Deși nu este obligatoriu, ca cea mai bună practică, este esențial să criptezi. Află mai multe despre criptarea câmpurilor.

Câmpurile criptate primesc atributul Encryption at Rest (EAR). Citește mai multe despre criptare în Documentul Zoho privind Criptarea.

Pentru a cripta/decripta câmpurile PHI
  1. Mergi la Setup > Customization > Modules and Fields > [Selectează modulul].
  2. În editorul de layout al modulului, mergi la câmpul pe care dorești să îl criptezi, apasă pe iconița Settings și selectează Edit Properties.

  3. În fereastra popup Field Properties, selectează caseta de bifare Encrypt Field.

  4. Apasă pe Done.
  5. Salvează layout-ul.

Articole Similare

Conformitatea HIPAA cu Zoho CRM
Marcarea Câmpurilor Personale
Marcarea Câmpurilor Personale
Criptarea datelor în Zoho CRM
Monitorizarea Jurnalului de Audit

Partener Certificat Zoho

Ai nevoie de ajutor cu Zoho CRM?

Echipa noastra te poate ajuta cu implementarea, personalizarea si suportul Zoho CRM. Peste 200 de proiecte finalizate din 2011.

Contacteaza-ne