FAQ : Conformité HIPAA

FAQ : Conformité HIPAA

Comment Zoho CRM aide-t-il les organisations à se conformer à la loi HIPAA ?

Chez Zoho CRM, nous permettons aux organisations de se conformer aux directives HIPAA en fournissant les options suivantes :
 
  1. Sélectionner les modules contenant des données de santé personnelles : tous les modules qui contiennent des informations de santé protégées doivent être sélectionnés. Les modules standard et personnalisés peuvent être sélectionnés. Un total de 10 modules peut être sélectionné.
  2. Marquer les champs contenant des informations de santé personnelles : dans un module, il ne peut y avoir que quelques champs contenant des informations de santé personnelles d'un client. Par exemple, antécédents chirurgicaux, symptômes, détails sur les médicaments, etc. Le fait de marquer ces champs comme étant des détails de santé personnels aidera le système à identifier et à restreindre l'accès à ces champs via l'API et à empêcher l'exportation des valeurs de ces champs. Dans chaque module, 25 champs au total peuvent être marqués comme contenant des données de santé personnelles.
    Remarque : les champs de recherche, de recherche à sélection multiple et de numérotation automatique ne peuvent pas être marqués comme des données de santé personnelles.
  3. Définir des restrictions pour les données marquées comme informations de santé personnelles : il existe quatre options pour empêcher l'accès aux données personnelles en dehors de Zoho CRM. L'une de ces options peut être activée en fonction des exigences de l'organisation :
    1. Limiter l'accès aux données via l'API : d'autres applications peuvent se connecter à CRM à l'aide de l'API et les données peuvent être transférées. Vous pouvez vous assurer que les données de santé personnelles de vos clients ne sont pas partagées dans le processus, en limitant le transfert des données de santé personnelles à d'autres applications via l'API.
    2. Restreindre l'exportation des données : lors de l'exportation de données à partir du compte CRM, vous pouvez refuser l'exportation d'informations de santé personnelles en cochant cette option.
    3. Restreindre le transfert de données vers les applications Zoho : si le compte CRM est intégré à d'autres applications Zoho telles que Desk, Campaigns, Projects, etc., les données seront transférées de CRM vers ces applications. Cette option empêchera le transfert des données de santé personnelles vers d'autres applications. Pour vérifier les restrictions de flux de données, reportez-vous au tableau.
    4. Limiter le transfert de données vers les applications tierces : si votre compte CRM est intégré à des applications tierces pour des raisons professionnelles, il y aura des risques de flux de données entre CRM et ces applications. Cette option empêchera le transfert des données de santé personnelles vers d'autres applications. Pour vérifier les restrictions de flux de données, reportez-vous au tableau.
  4. Chiffrer les champs contenant des informations de santé personnelles : les champs contenant des informations de santé personnelles peuvent être chiffrés pour plus de sécurité. Bien que le chiffrement des champs ne soit pas une étape obligatoire dans Zoho CRM, nous vous recommandons vivement d'activer le chiffrement, car il s'agit de la meilleure pratique pour empêcher tout accès non autorisé aux données confidentielles.
En savoir plus pour configurer le chiffrement et comprendre ses limites. Consultez également le livre blanc Zoho sur le chiffrement pour comprendre en détail le processus de chiffrement et la gestion des clés.

Où puis-je trouver l'option permettant de marquer les champs comme des informations de santé personnelles ?

Dans un module, il ne peut y avoir que quelques champs contenant des informations de santé personnelles d'un client. Par exemple, antécédents chirurgicaux, symptômes, détails sur les médicaments, etc. Le fait de marquer ces champs comme étant des détails de santé personnels aidera le système à identifier et à restreindre l'accès à ces champs via l'API et à empêcher l'exportation des valeurs de ces champs. Dans chaque module, 25 champs au total peuvent être marqués comme contenant des données de santé personnelles.
Remarque : les champs de recherche, de recherche à sélection multiple et de numérotation automatique ne peuvent pas être marqués comme des données de santé personnelles.
Pour marquer les champs qui contiennent des renseignements personnels sur la santé
  1. Accédez à Setup > Customization > Modules and Fields.
  2. Sélectionnez un module et cliquez sur l'icône More pour sélectionner la mise en page de votre choix.
    Vous pouvez également cliquer sur l'icône More et sélectionner Edit Layout.
  3. Accédez au champ souhaité et cliquez sur l'icône More.
  4. Cliquez sur Edit Properties et cochez la case Contains Personal Health Data.
    Rappelez-vous que cette option n'apparaît que si le module a été sélectionné pour la conformité HIPAA.

Où puis-je consulter les données de santé personnelles dans CRM ?

Tous les champs marqués comme contenant des données de santé personnelles seront répertoriés sur la page des détails de l'enregistrement. Sous Data Privacy, dans la section Personal Data, vous pouvez cliquer sur l'onglet Health pour afficher les champs contenant des données de santé personnelles.


Zoho fournit-il un journal d'audit dans le cadre de la conformité HIPAA ?

En tant qu'entité couverte, exporter périodiquement les journaux et de les conserver pendant la période requise fait partie de vos responsabilités et est une meilleure pratique. Pour faciliter cette opération, nous vous autorisons à exporter des données selon les besoins à l'aide de l'option Export Audit Log. Dans Zoho CRM, le journal d'audit est disponible pendant 60 jours par défaut.

Regardez cette vidéo pour savoir comment exporter le journal d'audit :


Pour exporter des entrées du journal d'audit
  1. Connectez-vous à Zoho CRM avec des privilèges d'administrateur.
  2. Accédez à Setup > Data Administration > Audit Log.
  3. Sur la page Audit Log, cliquez sur Export Audit Log.
    Les entrées seront exportées au format .csv.
Si vous avez besoin de données au-delà de 60 jours, vous pouvez contacter support@zohocrm.com

Comment configurer la conformité HIPAA dans mon compte CRM ?

Alors que de plus en plus d'établissements de santé utilisent le CRM pour gérer leurs activités de manière fluide et stocker les informations des clients dans une base de données partagée, il est essentiel qu'ils puissent garantir la confidentialité des informations de santé d'un individu. Dans Zoho CRM, nous proposons aux établissements de santé des moyens de sécuriser et de limiter l'exportation des informations de santé des individus, ainsi que de rester conformes aux directives HIPAA. 

Pour configurer la conformité HIPAA
  1. Accédez à Setup > Users and Controls > Compliance Settings.
  2. Cliquez sur l'onglet HIPAA Compliance.
  3. Activez/Désactivez le bouton Enable HIPAA Compliance Settings.
    Sélectionnez les modules dans la liste déroulante. Vous pouvez sélectionner jusqu'à 10 modules.
  4. Dans Personal Health Data Handling, activez/désactivez Restrict Data access through API, Restrict Data in Export ou les deux, selon vos besoins.

Pour marquer les champs qui contiennent des renseignements personnels sur la santé
  1. Accédez à Setup > Customization > Modules and Fields.
  2. Sélectionnez un module et cliquez sur l'icône More pour sélectionner la mise en page de votre choix.
    Vous pouvez également cliquer sur l'icône More et sélectionner Edit Layout.
  3. Accédez au champ souhaité et cliquez sur l'icône More.
  4. Cliquez sur Edit Properties et cochez la case Contains Personal Health Data.
    Rappelez-vous que cette option n'apparaît que si le module a été sélectionné pour la conformité HIPAA.


Où puis-je obtenir le modèle d'accord de partenariat commercial ?

La loi HIPAA exige que les entités couvertes signent un accord de partenariat commercial (BAA) avec ses partenaires professionnels. Vous pouvez demander notre modèle de BAA en envoyant un e-mail à legal@zohocorp.com.

Quel type de chiffrement est ajouté aux champs contenant des informations de santé personnelles ?

Les champs contenant des informations de santé personnelles des personnes peuvent être chiffrés pour empêcher tout accès non autorisé. Une fois chiffrés, les champs sont ajoutés avec le chiffrement au repos.

Chiffrement Rest
Fait référence aux données chiffrées lorsqu'elles sont stockées (à l'arrêt), que ce soit sur un disque, dans une base de données ou sur un autre support. Outre le chiffrement des données pendant le transit, le chiffrement des données lorsqu'elles sont stockées sur les serveurs offre un niveau de sécurité encore plus élevé. Le chiffrement au repos protège contre toute fuite éventuelle de données due à une compromission du serveur ou à un accès non autorisé.

Le chiffrement s'effectue au niveau de la couche applicative à l'aide de l'algorithme AES-256 qui est un algorithme de chiffrement symétrique et utilise des blocs de 128 bits et des clés de 256 bits. La clé utilisée pour convertir les données de texte brut en texte chiffré est appelée clé de chiffrement de données (DEK). La clé DEK est également chiffrée à l'aide de la clé KEK (clé de chiffrement de clé), offrant ainsi une couche de sécurité supplémentaire. Les clés sont générées et gérées par notre service interne de gestion des clés (KMS). En savoir plus

Limitations et compromis appliqués aux champs chiffrés :
  1. Les champs chiffrés sont soumis à certaines restrictions.
  2. Seule la recherche en texte intégral est prise en charge dans la recherche globale. Par exemple, si les données chiffrées sont « Joseph Wells », l'enregistrement du champ chiffré ne figure pas dans les résultats d'une recherche portant sur « Joseph ».
  3. Les champs chiffrés ne peuvent pas être utilisés dans les filtres avancés.
  4. Les champs chiffrés sont introuvables via une recherche par critère.
  5. Les champs chiffrés ne sont pas visibles dans l'option Sort.
  6. Les informations chiffrées ne sont stockées que dans le domaine crm.zoho.com. Utilisez les informations chiffrées dans d'autres domaines ou services tiers à votre seule discrétion.
  7. Dans le module Forecasts, les champs chiffrés ne peuvent pas être utilisés comme Target Fields.
Notez que le chiffrement des champs est une entité distincte et ne fait pas partie de la conformité HIPAA. Les champs contenant des informations de santé personnelles peuvent être chiffrés même sans les marquer comme contenant des informations de santé personnelles (obligatoire pour la conformité HIPAA).
Pour aider les organisations à se conformer aux réglementations HIPAA, Zoho CRM leur permet de marquer des champs comme contenant des informations de santé personnelles. Ce faisant, elles peuvent restreindre l'exportation des informations de santé des individus vers des applications tierces via l'intégration ou via l'API. Pour en savoir plus sur la conformité HIPAA, cliquez ici.

Quels types de restrictions peuvent être définis pour les champs contenant des informations de santé personnelles dans le cadre de la conformité HIPAA ?

Dans chaque module, 25 champs au total peuvent être marqués comme contenant des données de santé personnelles. Une fois marquées, certaines restrictions peuvent être définies pour empêcher tout accès non autorisé aux valeurs sensibles présentes dans les champs.

Remarque
Les champs de recherche, de recherche à sélection multiple et de numérotation automatique ne peuvent pas être marqués comme des données de santé personnelles.
Les restrictions suivantes peuvent être définies dans les champs contenant des informations de santé personnelles :
  • Limiter l'accès aux données via l'API : d'autres applications peuvent se connecter à CRM à l'aide de l'API et les données peuvent être transférées. Vous pouvez vous assurer que les données de santé personnelles de vos clients ne sont pas partagées dans le processus, en limitant le transfert des données de santé personnelles à d'autres applications via l'API.
  • Restreindre l'exportation des données : lors de l'exportation de données à partir du compte CRM, vous pouvez refuser l'exportation d'informations de santé personnelles en cochant cette option.
  • Restreindre le transfert de données vers les applications Zoho : si le compte CRM est intégré à d'autres applications Zoho telles que Desk, Campaigns et Projects, les données seront transférées de CRM vers ces applications. Cette option empêchera le transfert des données de santé personnelles vers d'autres applications. 
Le tableau suivant vous donnera les détails des différentes intégrations et les conséquences lorsque les données personnelles sont limitées. Certains champs sont obligatoires pour l'intégration, tels que le champ Email pour l'intégration de Zoho Project. Si vous marquez un e-mail comme un champ personnel, les données ne seront pas envoyées de CRM vers Projets. 

Intégrations aux applications Zoho


Intégrations aux applications Zoho
Champs obligatoires pour l'intégration
Que se passe-t-il lorsque les données de santé personnelles sont limitées ?
Zoho Desk
Nom et e-mail
Les données ne seront pas transmises depuis Zoho CRM.
Zoho Projects
E-mail
L'utilisateur client ne sera pas ajouté par le biais d'une création de projets ou d'une association.
Zoho Finance Suite
Nom et e-mail
Les données ne seront pas transmises depuis Zoho CRM.
Zoho Campaigns
E-mail
Les données ne seront pas transmises depuis Zoho CRM.
Zoho Recruit
E-mail
Les données ne seront pas transmises depuis Zoho CRM.
Zoho Cliq
SO
Les informations autres que celles des champs personnels seront partagées via Zoho Cliq.
Zoho Analytics
SO
Si l'un des champs précédemment synchronisés est limité, alors les rapports basés sur ces champs seront supprimés.
Zoho Writer
SO
SO
Zoho Motivator
SO
SO
Zoho Creator
SO
SO
Zoho Mail
SO
SO
Zoho Calendar
SO
SO
Zoho Social
SO
SO
Zoho Sales IQ
SO
SO
Zoho Survey
SO
SO
  • Limiter le transfert de données vers les applications tierces : si votre compte CRM est intégré à des applications tierces pour des raisons professionnelles, il y aura des risques de flux de données entre CRM et ces applications. Cette option empêchera le transfert des données de santé personnelles vers d'autres applications.
Intégration à des applications tierces
Intégrations à d'autres applications
Champs obligatoires pour l'intégration
Que se passe-t-il lorsque les données de santé personnelles sont limitées ?
Microsoft Office 365
Prénom
Un Prénom ne pouvant pas être marqué comme un champ personnel, l'intégration fonctionnera comme d'habitude.
Microsoft Outlook
Prénom
Un Prénom ne pouvant pas être marqué comme un champ personnel, l'intégration fonctionnera comme d'habitude.
Contacts Google
Prénom
Un Prénom ne pouvant pas être marqué comme un champ personnel, l'intégration fonctionnera comme d'habitude.
Slack
SO
Les informations autres que celles des champs personnels seront partagées via Slack.
Reconnaissance vocale Android ou iOS (Zia Voice)
SO
Seuls les appels à l'action via Zia seront désactivés, la conversation avec Zia fonctionnera comme d'habitude.
Pour définir des restrictions sur les champs contenant des informations de santé personnelles
  1. Accédez à Setup > Users and Controls > Compliance Settings.
  2. Cliquez sur l'onglet HIPAA Compliance.
  3. Activez/Désactivez le bouton Enable HIPAA Compliance Settings.
  4. Sélectionnez les modules dans la liste déroulante.
  5. Vous pouvez sélectionner jusqu'à 10 modules.
  6. Dans Personal Health Data Handling, activez/désactivez Restrict Data access through APIRestrict Data in Export ou les deux, selon vos besoins.

Comment Zoho gère-t-il les champs d'informations de santé personnelles pour se conformer à la loi HIPAA ?

La loi HIPAA (Health Insurance Portability and Accountability Act, qui comprend la règle de confidentialité, la règle de sécurité, la règle de notification de violation et l'Health Information Technology for Economic and Clinical Health Act), exige que les entités couvertes et les partenaires professionnels prennent certaines mesures pour protéger les informations de santé qui permettent d'identifier une personne. Elle accorde également certains droits aux individus.

Important
Zoho ne recueille, n'utilise, ne stocke et ne conserve pas les informations de santé protégées par l'HIPAA à ses propres fins.

Remarque
La loi HIPAA exige que les entités couvertes signent un accord de partenariat commercial (BAA) avec ses partenaires professionnels. Vous pouvez demander notre modèle de BAA en envoyant un e-mail à legal@zohocorp.com.

Zoho CRM fournit des fonctionnalités permettant à ses clients d'utiliser CRM dans le cadre de la conformité HIPAA. Pour permettre aux établissements de santé de se conformer à la loi HIPAA, nous autorisons les administrateurs à marquer les champs contenant des informations de santé personnelles des individus afin que certaines restrictions puissent être mises en place pour empêcher tout accès non autorisé à ces informations sensibles. Par exemple, l'identifiant du patient, les détails chirurgicaux et les affections constituent des informations de santé personnelles d'une personne, qui ne doivent pas être accessibles aux personnes extérieures à l'établissement.

Pour marquer les champs qui contiennent des renseignements personnels sur la santé
  1. Accédez à Setup > Customization > Modules and Fields.
  2. Sélectionnez un module et cliquez sur l'icône More pour sélectionner la mise en page de votre choix.
    Vous pouvez également cliquer sur l'icône More et sélectionner Edit Layout.
  3. Accédez au champ souhaité et cliquez sur l'icône More.
  4. Cliquez sur Edit Properties et cochez la case Contains Personal Health Data.
  5. N'oubliez pas que cette option n'apparaît que si le module a été sélectionné pour la conformité HIPAA.
     
Une fois marquées, certaines restrictions peuvent être définies pour empêcher tout accès non autorisé aux valeurs sensibles présentes dans les champs.
  1. Limiter l'accès aux données via l'API : d'autres applications peuvent se connecter à CRM à l'aide de l'API et les données peuvent être transférées. Vous pouvez vous assurer que les données de santé personnelles de vos clients ne sont pas partagées dans le processus, en limitant le transfert des données de santé personnelles à d'autres applications via l'API.
  2. Restreindre l'exportation des données : lors de l'exportation de données à partir du compte CRM, vous pouvez refuser l'exportation d'informations de santé personnelles en cochant cette option.
  3. Restreindre le transfert de données vers les applications Zoho : si le compte CRM est intégré à d'autres applications Zoho telles que Desk, Campaigns et Projects, les données seront transférées de CRM vers ces applications. Cette option empêchera le transfert des données de santé personnelles vers d'autres applications. Pour vérifier les restrictions de flux de données, reportez-vous au tableau.
  4. Limiter le transfert de données vers les applications tierces : si votre compte CRM est intégré à des applications tierces pour des raisons professionnelles, il y aura des risques de flux de données entre CRM et ces applications. Cette option empêchera le transfert des données de santé personnelles vers d'autres applications. Pour vérifier les restrictions de flux de données, reportez-vous au tableau.
Pour définir des restrictions sur les champs contenant des informations de santé personnelles
  1. Accédez à Setup > Users and Controls > Compliance Settings.
  2. Cliquez sur l'onglet HIPAA Compliance.
  3. Activez/Désactivez le bouton Enable HIPAA Compliance Settings.
    Sélectionnez les modules dans la liste déroulante. Vous pouvez sélectionner jusqu'à 10 modules.
  4. Dans Personal Health Data Handling, activez/désactivez Restrict Data access through API, Restrict Data in Export ou les deux, selon vos besoins.

Le marquage d'un champ en tant qu'information de santé personnelle le chiffre-t-il automatiquement ?

Non, marquer un champ en tant qu'information de santé personnelle permet uniquement au système d'identifier que les valeurs qu'il contient sont des informations de santé personnelles d'un individu.
En tant que couche de sécurité supplémentaire, ces champs peuvent être chiffrés séparément. Bien que cela ne soit pas obligatoire, il est primordial de les chiffrer. En savoir plus sur le chiffrement des champs.

Les champs chiffrés sont ajoutés avec le chiffrement au repos. En savoir plus sur le chiffrement grâce au livre blanc Zoho sur le chiffrement. 

Pour chiffrer/déchiffrer les champs contenant des informations de santé personnelles :
  1. Accédez à Setup > Customization > Modules and Fields > [Select the module] .
  2. Dans l'éditeur de mise en page du module, accédez au champ que vous souhaitez chiffrer, cliquez sur l'icône Settings, puis sur Edit Properties.

  3. Dans la fenêtre contextuelleField Properties, cochez la case Encrypt Field.

  4. Cliquez sur Done.
  5. Enregistrez la mise en page.

    • Related Articles

    • FAQ : E-mails

      Comment consulter le statut des e-mails envoyés ou reçus depuis/dans mon compte CRM ? Un utilisateur CRM peut afficher le statut des e-mails envoyés aux clients ou reçus sur la page Détail de l'enregistrement, sous la liste associée Emails. Quels ...

    • FAQ : Devises multiples

      Qu'est-ce qu'une devise principale dans Zoho CRM ? La devise principale est celle que votre organisation utilise pour ses activités. Il s'agit généralement de la devise utilisée pour générer les rapports annuels et calculer les recettes de la ...

    • FAQ : Canvas

      1. Qu'est-ce que Zoho CRM Canvas et pourquoi en ai-je besoin ? Zoho CRM est un système puissant qui regroupe toutes vos données commerciales clés, y compris les informations sur les clients, les informations sur les employés, les contrats ...

    • FAQ : Personnalisation des champs

      Comment puis-je créer un champ numérique Formula avec l'instruction « If, Else » ? Actuellement, vous ne pouvez pas créer de champ numérique Formula avec l'instruction « If, Else ». Vous pouvez uniquement créer un champ Formula à l'aide de la ...

    • FAQ : Migration des données

      À quoi sert l'assistant de migration des données dans Zoho CRM ? L'assistant de migration des données dans Zoho CRM garantit que vos données sont migrées correctement et vous aide à réduire considérablement le travail manuel. Il mappe automatiquement ...