Lors de votre première utilisation des fonctionnalités HIPAA, vous remarquerez certaines différences importantes à prendre en compte, notamment en matière de :
- Sécurité
- Intégrations
- Flux d’approbation
- Emails
- Autres fonctionnalités et paramètres associés
Sécurité
Avec Jotform Entreprise, vos données sont chiffrées par défaut au repos, ce qui constitue une bonne pratique pour protéger les informations personnellement identifiables (PII). La solution Jotform Entreprise est totalement isolée de l’environnement Jotform, garantissant qu’aucune information n’est partagée avec d’autres utilisateurs. Les données sont automatiquement chiffrées lors de leur écriture. Chaque clé de chiffrement est elle-même protégée par des clés principales, gérées par notre partenaire d’hébergement, Google Cloud Platform.
Le chiffrement des données au repos, disponible lorsque vous activez les fonctionnalités HIPAA, offre un niveau de sécurité supplémentaire. Nos serveurs reçoivent les données brutes et, lors de leur écriture dans la base de données, nous les chiffrons avec une clé AES-256 (chaque soumission individuelle possède une clé unique). Chaque clé AES256 est elle-même chiffrée avec la clé publique de l’utilisateur (RSA-2048). Ces clés ne nécessitent aucune intervention de la part des utilisateurs et sont entièrement gérées par Jotform.
En résumé, la configuration Entreprise classique assure le chiffrement des disques, tandis que la norme HIPAA y ajoute le chiffrement de la base de données.
Intégrations
Comparé aux plus de 100 intégrations proposées pour les serveurs non conformes à la norme HIPAA, le nombre d’intégrations disponibles chute à environ 60.
Voici les intégrations disponibles :
- 2CheckOut
- ActiveCampaign
- Afterpay
- Airtable
- Apple Pay & Google Pay
- Asana
- Authorize.Net
- AWeber
- BluePay
- BlueSnap
- Box
- Braintree
- Campaign Monitor
- CardConnect
- Cash App Pay
- Chargify
- Clearpay
- ClickUp
- Constant Contact
- CyberSource
- Dropbox
- eCheck.Net
- Egnyte
- Eway
- GoCardless
- Google Calendar
- Google Drive
- Google Sheets
- HubSpot
- iyzico
- Keap
- Keragon
- Mailchimp
- MailerLite
- Make
- Microsoft Teams
- Mollie
- monday.com
- Moneris
- OneDrive
- PagSeguro
- Payfast
- PayJunction
- Paymentwall
- PayPal Business
- PayPal Checkout
- PayPal Invoicing
- PayPal Personal
- Paysafe
- PayU
- Purchase Order
- Salesforce
- SensePass
- Skrill
- Slack
- Square
- Stripe
- Stripe ACH
- Stripe ACH Manual
- Stripe Checkout
- Venmo
- Webhooks
- WorldPay UK
- Zapier
- Zoho CRM
- Zoom
En effet, deux exigences de la loi HIPAA imposent le chiffrement de bout en bout des données et la traçabilité de chaque accès aux informations de santé protégées (PHI), qui doit pouvoir être attribué à une personne identifiée de manière unique.
Même avec ces intégrations disponibles, il vous incombe légalement de veiller au respect des règles HIPAA. Par exemple, si vous intégrez les données de vos formulaires à une feuille de calcul Google et que vous la rendez accessible publiquement sur Internet, il ne s’agit pas d’une intégration conforme à la loi HIPAA.
Flux d’approbation
Comme indiqué précédemment, la loi HIPAA exige que chaque accès aux informations de santé protégées (PHI) soit traçable jusqu’à une personne unique disposant d’identifiants de connexion identifiables. Cela peut avoir un impact sur vos processus de travail.
Par exemple, l’accès aux données sans compte utilisateur, comme le transfert d’un lien de modification par email, pourrait ne plus fonctionner. Imaginez que vous souhaitiez créer des flux de travail avec des approbateurs : ces derniers doivent alors posséder un compte pour approuver ou refuser une soumission.
Seul le propriétaire du formulaire ou un autre utilisateur ayant un droit d’accès aux soumissions de formulaires peut modifier les soumissions ; toute action de modification est uniquement possible dans Jotform.
Emails
La messagerie électronique ne répond pas, par nature, aux exigences de sécurité imposées par la loi HIPAA, et tout email contenant des informations de santé protégées (PHI) constitue un risque potentiel de fuite de données.
Sur des comptes conformes à la norme HIPAA, vous pouvez toujours utiliser les notifications et les emails de réponse automatique, à condition de respecter votre obligation légale de le faire d’une manière conforme à la loi HIPAA. Avec Jotform, il est possible de choisir les champs de formulaire qui collectent des données PHI et de les marquer comme « Protégés ».
Les informations recueillies via ces champs « Protégés » seront masquées dans les emails. Pour en savoir plus sur l’utilisation des champs PHI dans vos formulaires, consultez notre guide intitulé Comment configurer les champs HIPAA d’informations de santé protégées sur vos formulaires.
Voici un exemple concret de protection des données PHI dans les emails :
Autres fonctionnalités et paramètres associés
Voici d’autres limitations importantes à prendre en compte :
- Les fichiers téléchargés via un compte soumis à la loi HIPAA ne sont pas accessibles sans connexion. Par conséquent, si vous souhaitez télécharger des fichiers via des liens reçus par email, veuillez vous connecter à votre compte HIPAA.
- L’activation des fonctionnalités compatibles HIPAA entraîne également l’activation automatique de la conformité SOC2, et inversement. Ces deux normes de conformité nécessitent un environnement sécurisé renforcé pour fonctionner correctement. Pour en savoir plus, consultez la page consacrée à la conformité SOC2 sur le site web de Jotform Entreprise.
Envoyer un commentaire: