Passer au contenu principal
Cet article fournit uniquement des indications générales et ne constitue pas un avis juridique. Pour tous les détails sur vos droits et responsabilités, consultez votre Business Associate Agreement (BAA) conclu avec Quo et adressez-vous à votre équipe de conformité ou à votre service juridique.
Les fournisseurs de soins de santé et les entités qui gèrent les communications avec les patients peuvent désormais utiliser Quo pour communiquer avec les patients de façon conforme à la HIPAA. Quo fournit les mesures de protection exigées par la Security Rule de la HIPAA, mais surtout, la conformité à la HIPAA est une responsabilité partagée entre votre organisation et Quo. Pour utiliser Quo de manière conforme à la HIPAA, votre organisation doit signer un Business Associate Agreement (BAA), offert avec les forfaits Business et Scale.

Comment obtenir un BAA avec Quo

  • Si vous êtes déjà client de Quo, vous pouvez demander un BAA ici.
  • Vous n’utilisez pas encore Quo ? Contactez notre équipe pour découvrir comment Quo peut soutenir votre entreprise dans le domaine de la santé et vous aider à demeurer conforme à la HIPAA.

Utiliser Quo de façon conforme à la HIPAA

Une fois votre BAA signé, vous pouvez utiliser Quo d’une manière qui respecte les règles de confidentialité et de sécurité de la HIPAA, tant que vos politiques internes et vos mesures de protection sont alignées sur ces exigences. Les sections suivantes expliquent comment Quo gère les communications sécurisées par opposition aux communications standard, quelles informations sont considérées comme des PHI et les considérations liées à la HIPAA pour les SMS, les enregistrements d’appels, les fonctionnalités d’IA et les intégrations.

Qu’est-ce qui est considéré comme des RPS?

Comprendre ce qui constitue des Renseignements personnels sur la santé (RPS) vous aide à déterminer quels canaux et quelles fonctionnalités conviennent à vos communications avec les patients.
Toujours des RPSParfois des RPSJamais des RPS
Nom du patient, numéro de téléphone, date de naissanceRappels de rendez-vous (s’ils sont liés à un patient précis)Heures d’ouverture de la clinique
Diagnostic, symptômes, affectionsRappels de renouvellement d’ordonnanceFermetures de bureau ou avis de jours fériés
Plans de traitement, antécédents médicauxMessages de coordination des soins sans détails cliniquesContenu éducatif général
Résultats d’examens, imagerie, informations de laboratoireMessages qui laissent entendre une relation patient–professionnel de la santéLiens vers le site Web ou coordonnées
Médicaments ou ordonnancesDemandes du professionnel de la santé pour un suiviMarketing non lié à un patient en particulier
Informations d’assuranceTout renseignement qui devient identifiable selon le contexteAnnonces générales
En cas de doute, traitez l’information comme des Renseignements personnels sur la santé (RPS).

Conformité de messagerie : HIPAA et règles des transporteurs

Pour utiliser la messagerie texte (SMS) avec des patients, ceux-ci doivent donner leur consentement à recevoir des messages non sécurisés et peuvent retirer ce consentement en tout temps. Nous recommandons de consulter l’équipe de conformité ou le conseiller juridique de votre organisation pour déterminer comment obtenir et consigner le consentement des patients conformément aux lignes directrices de la HIPAA. Même avec un BAA signé, les messages SMS doivent respecter les règlements A2P 10DLC des transporteurs aux États-Unis et au Canada. Ces règles visent à prévenir le pourriel et à protéger les patients.

Sachez que les règlements A2P des transporteurs interdisent les messages liés aux médicaments sur ordonnance ou les offres de médicaments qui ne peuvent pas être vendus en vente libre aux États-Unis ou au Canada — même s’ils sont envoyés par des professionnels dûment autorisés.
  • Évitez le contenu promotionnel ou lié aux médicaments sur ordonnance. Les transporteurs bloquent les messages qui font la promotion ou mentionnent des substances contrôlées.
  • Les alertes de renouvellement d’ordonnance sont permises pour les patients actuels qui ont choisi de recevoir des communications par SMS. Gardez les messages généraux et évitez de mentionner des détails sensibles.
  • Gardez les messages axés sur la coordination des soins. N’utilisez pas les SMS pour de la publicité ou de la sollicitation.
Cela vous aide à demeurer conforme à la fois à la HIPAA et aux exigences A2P des transporteurs. Important : La messagerie texte (SMS/MMS) n’est pas un service couvert par le BAA de Quo en raison de limites techniques qui empêchent une conformité complète à la HIPAA. Votre organisation peut tout de même utiliser les SMS/MMS d’une manière cohérente avec la HIPAA si vous :
  • Obtenez l’autorisation appropriée du patient pour les communications par SMS/MMS
  • Limitez les RPS transmises par SMS/MMS au minimum nécessaire
  • Documentez, dans vos politiques HIPAA, la décision d’utiliser les SMS/MMS ainsi que les risques associés
  • Mettez en place des mesures de protection appropriées
Votre organisation assume l’entière responsabilité, y compris sur le plan juridique, pour toute RPS transmise par SMS/MMS.

Fonctionnalités alimentées par l’IA et enregistrement des appels

Votre organisation peut choisir d’utiliser des fonctionnalités alimentées par l’IA de manière conforme à la HIPAA si toutes les conditions suivantes sont remplies :
  1. Avis au patient
    • Les patients sont informés lorsque des outils d’IA sont utilisés pendant un appel ou une interaction.
    • Les patients sont avertis lorsque l’appel est enregistré conformément aux exigences des dispositions applicables des lois étatiques, fédérales et de la Règle de confidentialité de la HIPAA.
  2. Autorisation du patient : Vous obtenez l’autorisation du patient avant de communiquer dans le cadre d’une session vocale ou de messagerie assistée par l’IA.
  3. Principe du minimum nécessaire : Vous limitez toute PHI partagée ou traitée par les fonctionnalités d’IA à ce qui est nécessaire pour la coordination ou la prestation des soins.
  4. Documentation : Votre organisation consigne la décision d’utiliser des fonctionnalités d’IA et tous les risques associés dans vos politiques internes en matière de HIPAA.
  5. Mesures de protection : Vous mettez en place des mesures de protection (y compris des contrôles d’accès, le verrouillage des écrans, la formation des employés, etc.)
Consultez toujours votre équipe de conformité ou vos conseillers juridiques pour confirmer comment votre organisation doit gérer les enregistrements, les transcriptions et les fonctionnalités alimentées par l’IA afin de respecter la HIPAA et les exigences en matière d’avis.
Votre organisation assume l’entière responsabilité de toute PHI traitée au moyen de fonctionnalités alimentées par l’IA. Passez en revue vos politiques internes en matière de HIPAA et consultez votre équipe de conformité ou vos conseillers juridiques avant d’activer des outils d’IA pour les communications avec les patients.

Intégrations tierces et analytique

Toute intégration tierce ou tout service connecté (y compris les systèmes CRM, les services d’envoi de courriels, les plateformes de messagerie, les outils d’analytique ou des intégrations similaires) n’est pas un Service couvert en vertu de la Quo BAA. L’utilisation de ces services implique par nature la transmission de données d’utilisateurs au-delà du contrôle de OpenPhone Technologies, et toute utilisation de telles intégrations relève de la seule responsabilité de votre organisation. De plus, toute fonctionnalité d’analytique ou de création de rapports qui transmet des données à des plateformes d’analytique tierces non couvertes par la Quo BAA est également exclue.

Expiration des sessions et fermetures de session automatiques

Pour aider à respecter les exigences de la règle de sécurité HIPAA en matière de gestion des sessions, Quo ferme automatiquement la session des utilisateurs après 15 jours d’inactivité. Si votre organisation exige des délais d’expiration de session plus courts, utilisez les paramètres de sécurité de vos appareils (par exemple, le verrouillage automatique ou le délai avant la mise en veille de l’écran sur votre ordinateur ou votre système d’exploitation mobile) pour appliquer des limites d’inactivité qui s’alignent sur vos politiques de sécurité internes.