Skip to main content
Cet article fournit uniquement des indications générales et ne constitue pas un avis juridique. Pour connaître l’ensemble des droits et responsabilités, consultez votre Business Associate Agreement (BAA) avec Quo et parlez-en à votre équipe de conformité ou à votre service juridique.
Les fournisseurs de soins de santé et les entités qui gèrent les communications avec les patients peuvent maintenant utiliser Quo pour communiquer avec les patients de manière conforme à la HIPAA. Quo offre les mesures de protection exigées par la Security Rule de la HIPAA, mais surtout, la conformité à la HIPAA est une responsabilité partagée entre votre organisation et Quo. Pour utiliser Quo de manière conforme à la HIPAA, votre organisation doit signer un Business Associate Agreement (BAA), qui est disponible pour les forfaits Business et Scale.

Comment obtenir un BAA avec Quo

  • Si vous êtes déjà client de Quo, vous pouvez demander un BAA ici.
  • Vous n’utilisez pas encore Quo ? Communiquez avec notre équipe pour découvrir comment Quo peut soutenir votre entreprise de soins de santé et vous aider à demeurer conforme à la HIPAA.

Utiliser Quo de façon conforme à la HIPAA

Une fois que votre BAA est signée, vous pouvez utiliser Quo d’une manière qui respecte les règles de confidentialité et de sécurité de la HIPAA, tant que vos politiques internes et vos mesures de protection sont conformes à ces exigences. Les sections suivantes expliquent comment Quo gère les communications sécurisées par opposition aux communications standards, quels renseignements sont considérés comme des PHI et les considérations liées à la HIPAA pour les SMS, les enregistrements d’appels, les fonctionnalités d’IA et les intégrations.

Qu’est-ce qui est considéré comme des RPS ?

Comprendre ce qui constitue des renseignements personnels sur la santé (RPS) vous aide à déterminer quels canaux et quelles fonctionnalités conviennent le mieux aux communications que vous avez avec vos patients.
Toujours des RPSParfois des RPSJamais des RPS
Nom du patient, numéro de téléphone, date de naissanceRappels de rendez-vous (s’ils sont liés à un patient précis)Heures de la clinique
Diagnostic, symptômes, affectionsRappels de renouvellement d’ordonnanceFermetures de bureau ou avis de jours fériés
Plans de traitement, antécédents médicauxMessages de coordination des soins sans détails cliniquesContenu éducatif général
Résultats de tests, imagerie, renseignements de laboratoireMessages qui laissent entendre une relation patient-prestataire de soinsLiens vers le site Web ou coordonnées
Médicaments ou ordonnancesDemandes du prestataire de soins de faire un suiviActivités de marketing non liées à un patient en particulier
Renseignements d’assuranceToute information qui devient identifiable selon le contexteAnnonces générales
En cas de doute, traitez ces renseignements comme des renseignements personnels sur la santé (RPS).

Conformité des messages : HIPAA et règles des opérateurs

Pour utiliser les SMS avec des patients, ceux-ci doivent donner leur consentement à recevoir des messages non sécurisés et peuvent retirer ce consentement en tout temps. Nous recommandons de consulter l’équipe de conformité ou le conseiller juridique de votre organisation afin de déterminer comment obtenir et consigner le consentement des patients conformément aux lignes directrices d’HIPAA. Même avec une BAA signée, les messages SMS doivent respecter les règlements A2P 10DLC des opérateurs aux États-Unis et au Canada. Ces règles sont conçues pour prévenir le pourriel et protéger les patients.

Sachez que les règlements A2P des opérateurs interdisent les messages liés aux médicaments sur ordonnance ou aux offres de médicaments qui ne peuvent pas être vendus en vente libre aux États-Unis ou au Canada — même s’ils sont envoyés par des professionnels autorisés.
  • Évitez le contenu promotionnel ou lié aux médicaments sur ordonnance. Les opérateurs bloquent les messages qui annoncent ou mentionnent des substances contrôlées.
  • Les alertes de renouvellement d’ordonnance sont permises pour les patients existants qui ont accepté les communications par SMS. Gardez les messages généraux et évitez de mentionner des détails sensibles.
  • Concentrez les messages sur la coordination et les soins. N’utilisez pas les SMS à des fins publicitaires ou de sollicitation.
Cela vous aide à demeurer conforme à la fois à HIPAA et aux exigences des opérateurs A2P. Important : La messagerie texte (SMS/MMS) n’est pas un service couvert dans le cadre de la BAA de Quo en raison de limites techniques qui empêchent une conformité complète à HIPAA. Votre organisation peut tout de même utiliser les SMS/MMS d’une manière conforme à HIPAA si elle :
  • Obtient l’autorisation appropriée des patients pour les communications par SMS/MMS
  • Limite les RPS transmises par SMS/MMS au minimum nécessaire
  • Documente la décision d’utiliser les SMS/MMS et les risques associés dans ses politiques HIPAA
  • Met en œuvre des mesures de protection appropriées
Votre organisation assume l’entière responsabilité, y compris sur le plan juridique, de toute RPS transmise par SMS/MMS.

Fonctionnalités alimentées par l’IA et enregistrement des appels

Votre organisation peut choisir d’utiliser des fonctionnalités alimentées par l’IA de manière conforme à la HIPAA si toutes les conditions suivantes sont respectées :
  1. Avis au patient :
    • Les patients sont informés lorsque des outils d’IA sont utilisés pendant un appel ou une interaction.
    • Les patients sont avisés lorsqu’un appel est enregistré, comme l’exigent les dispositions applicables des lois étatiques, fédérales et de la règle de confidentialité de la HIPAA.
  2. Autorisation du patient : Vous obtenez l’autorisation du patient avant de communiquer au moyen d’une séance vocale ou de messagerie assistée par l’IA.
  3. Utilisation minimale nécessaire : Vous limitez tout PHI partagé ou traité par les fonctionnalités d’IA à ce qui est nécessaire à la coordination ou à la prestation des soins.
  4. Documentation : Votre organisation consigne la décision d’utiliser des fonctionnalités d’IA ainsi que tout risque associé dans vos politiques internes liées à la HIPAA.
  5. Mesures de protection : Vous mettez en place des mesures de protection (y compris des contrôles d’accès, le verrouillage des écrans, la formation des employés, etc.)
Consultez toujours votre équipe de conformité ou votre service juridique pour confirmer la façon dont votre organisation doit gérer les enregistrements, les transcriptions et les fonctionnalités alimentées par l’IA afin de respecter les exigences de la HIPAA et en matière d’avis.
Votre organisation assume l’entière responsabilité de tout PHI traité au moyen de fonctionnalités alimentées par l’IA. Passez en revue vos politiques internes liées à la HIPAA et consultez votre équipe de conformité ou votre service juridique avant d’activer des outils d’IA pour la communication avec les patients.

Intégrations tierces et analytique

Toutes les intégrations tierces ou services connectés (y compris les systèmes de CRM, les services d’envoi de courriels, les plateformes de messagerie, les outils d’analytique ou des intégrations similaires) ne constituent pas des « Covered Services » en vertu du Quo BAA. L’utilisation de ces services implique par nature la transmission de données d’utilisateurs au‑delà du contrôle de OpenPhone Technologies, et toute utilisation de telles intégrations relève de la seule responsabilité de votre organisation. De plus, toutes les fonctionnalités d’analytique ou de rapports qui transmettent des données à des plateformes d’analytique tierces non couvertes par le Quo BAA sont également exclues.

Expiration des sessions et fermetures de session automatiques

Pour aider à respecter les exigences de la HIPAA Security Rule en matière de gestion des sessions, Quo ferme automatiquement la session des utilisateurs après 15 jours d’inactivité. Si votre organisation exige des délais d’expiration plus courts, utilisez les paramètres de sécurité de votre appareil (par exemple, le verrouillage automatique ou le délai d’extinction de l’écran sur votre ordinateur ou votre système d’exploitation mobile) pour faire respecter des limites d’inactivité qui correspondent à vos politiques de sécurité internes.