Assurez-vous que votre compte Acuity est conforme à la loi HIPAA.
Acuity Scheduling a été conçu pour vous permettre de vous conformer aux exigences de la règle Security Rule (sécurité) de la loi américaine HIPAA. Les autres éléments de la plateforme Squarespace, notamment les fonctionnalités de type formulaire de contact comme le bloc Formulaire, ne peuvent pas être utilisés dans le cadre d’une solution conforme à la loi HIPAA. Pour recueillir de manière sécurisée des informations en ligne sur les patients en dehors d’Acuity, il est fortement conseillé d’ajouter un lien vers un service externe conforme.
Ce guide explique comment Acuity gère les informations médicales protégées telles que définies par la législation américaine. Si vous ne travaillez pas dans le secteur de la santé, ce guide ne s’applique probablement pas à vous.
Remarque : à l’heure actuelle, Acuity est la seule fonctionnalité Squarespace conçue pour proposer des services conformes aux obligations HIPAA. Votre accord Business Associate Addendum (BAA) ne couvre pas les autres fonctionnalités de Squarespace. Il est fortement déconseillé de conserver ou de transmettre des informations médicales protégées dans Squarespace (hormis dans Acuity).
Vous pouvez vous assurer que votre compte Acuity est compatible HIPAA si vous disposez du forfait Powerhouse.
Conformité d’Acuity à HIPAA
Un consultant tiers spécialisé dans la sécurité des informations a analysé Acuity et a confirmé que cet outil peut répondre aux exigences de la règle Security Rule (sécurité) de la loi HIPAA.
Rendre votre compte compatible HIPAA
- Vérifiez que vous êtes abonné(e) au forfait Powerhouse.
- Dans Acuity, cliquez sur Personnaliser l’apparence.
- Cliquez sur Options de la page Rendez-vous.
- Cliquez sur le lien en haut de la page pour commencer la procédure de signature d’un accord BAA.
- Étudiez le BAA et assurez-vous de comprendre vos obligations.
- Signez l’accord BAA en fournissant les informations nécessaires et en cliquant sur Envoyer.
Vos responsabilités dans le cadre de la loi HIPAA
Il ne suffit pas d’activer les fonctionnalités HIPAA dans Acuity pour devenir conforme à la loi HIPAA. Pour rester conforme, vous devez également vous assurer que vos pratiques commerciales et vos systèmes fonctionnent avec Acuity.
Pour que votre utilisation d’Acuity soit conforme à la règle Security Rule (sécurité) de la loi HIPAA, vous devez connaître vos responsabilités au moment de configurer votre compte. Vous devez notamment choisir consciencieusement la quantité et le type d’informations médicales protégées électroniques que vous incluez dans les SMS et les e-mails, et celles que vous excluez. Vous devez également signer un accord Business Associate Addendum (BAA) avec Squarespace.
Un accord BAA régit l’utilisation et la protection des informations médicales protégées échangées entre une « entité couverte » et un « associé ». Dans cette situation, si vous êtes une entité couverte d’après la loi HIPAA, Squarespace est alors un associé pour vous. Pour en savoir plus, rendez-vous sur le site du département de la Santé et des Services sociaux des États-Unis.
Conditions générales
- Vous devez disposer du forfait Powerhouse pour activer les services HIPAA et signer un accord BAA avec Squarespace. Nous ne signons pas d’accords BAA externes pour ce forfait, mais des accords BAA personnalisés sont disponibles avec un forfait Enterprise moyennant un coût supplémentaire. Pour en savoir plus sur les forfaits Enterprise, veuillez nous contacter.
- Vérifiez que votre compte Acuity est compatible HIPAA avant de conserver des informations médicales protégées sur votre compte ou de les transférer via votre compte.
- Chacun de vos comptes Acuity doit être compatible HIPAA. Un compte n’est compatible HIPAA qu’une fois qu’un accord BAA distinct est signé pour ce compte.
- Vous seul(e) êtes responsable de veiller à ce que les contrôles, les paramètres et les restrictions en place répondent à vos besoins et permettent la conformité à la loi HIPAA. Chaque organisation contrôle et détermine ses propres pratiques de conformité à la loi HIPAA, y compris la manière de mettre en œuvre certains contrôles, l’anonymisation et les types d’informations échangées entre votre organisation, vos clients et Squarespace. Chaque organisation est différente et a des besoins différents. C’est pourquoi nous vous proposons des paramètres qui vous aident à respecter votre propre programme de conformité.
Protections supplémentaires pour les comptes Acuity Scheduling compatibles HIPAA
Tous les comptes Acuity ont en commun la plupart des protections techniques et des protections de sécurité, mais des protections supplémentaires existent pour les comptes compatibles HIPAA :
- Les notifications par e-mail que nous vous envoyons ne contiennent aucune réponse saisie par le client dans le formulaire.
- Dans les formulaires de renseignements, les fichiers ne peuvent être chargés qu’à partir d’un appareil ou d’un ordinateur local. Il est impossible de les charger à partir de Google Docs ou d’autres services similaires.
- Les clients ne peuvent pas utiliser d'adresse e-mail pour vérifier le solde des packs, des chèques-cadeaux ou des codes d'abonnement.
- La synchronisation de calendriers avec Office 365, Outlook.com, Live.com, Exchange et iCloud n’est pas disponible. Avant de rendre votre compte Acuity compatible HIPAA, vous devez désactiver toute synchronisation avec ces services.
- L’intégration avec les Campagnes e-mail Squarespace n’est pas disponible. Si cette intégration est active, vous devez la désactiver avant de rendre votre compte Acuity compatible HIPAA.
- La fonctionnalité de facturation d’Acuity n’est pas activée.
- L’intégration à Réserver avec Google n’est pas activée.
- Les e-mails de rappel de renouvellement d’abonnement ne contiennent pas de nom d’abonnement.
Contrôles et paramètres des notifications par e-mail et par SMS
- Les notifications par e-mail et par SMS peuvent contenir par défaut des informations médicales protégées, notamment le nom des clients, leur adresse e-mail, les types de rendez-vous ainsi que la date et l’heure des rendez-vous. Vous avez la responsabilité de modifier les informations contenues dans les messages en mettant à jour vos paramètres de notification.
- Par défaut, les messages de confirmation et de reprogrammation qui sont envoyés au client et à vous-même contiennent un fichier de calendrier (invitation ICS) en pièce jointe. Cette invitation ICS contient le nom du client, le type de rendez-vous et l’heure du rendez-vous. Pour désactiver cette fonctionnalité, veuillez nous contacter.
- Si vous ne désactivez pas les notifications par e-mail, Acuity vous enverra des e-mails dans lesquels les champs De et Répondre à indiquent respectivement le nom du client et son adresse e-mail.
- Les clients peuvent se désabonner des e-mails marketing en cliquant sur Se désabonner. Ils continueront à recevoir des e-mails automatiques indiquant les transactions effectuées. Ils peuvent se désinscrire des SMS en répondant STOP au message reçu. Lorsque vous prenez un rendez-vous pour un client, vous pouvez ne pas saisir son adresse e-mail ni son numéro de téléphone dans les détails du rendez-vous afin que les notifications ne soient pas envoyées.
Intégrations tierces et HIPAA
De nombreuses intégrations tierces ne prennent pas en charge HIPAA. Vous pouvez désactiver certaines de ces intégrations, voire toutes, avant de rendre votre compte Acuity compatible HIPAA.
Si vous connectez Acuity à des intégrations tierces telles que Google Agenda ou Stripe, vous avez la responsabilité de déterminer si l’intégration est acceptable pour votre entreprise et/ou de modifier votre utilisation, vos paramètres, vos critères de sécurité et vos informations afin de respecter vos pratiques et vos obligations en matière de conformité à la loi HIPAA. Il vous incombe également de passer tout nouvel accord contractuel nécessaire pour respecter vos pratiques et vos obligations au titre de la loi HIPAA. Vous devez prendre ces mesures avant d’utiliser le service tiers.
Accéder à votre BAA
Vous pouvez consulter ou télécharger votre Accord de Partenariat (BAA) à tout moment :
- Dans Acuity, cliquez sur Personnaliser l’apparence.
- Cliquez sur Options de la page Rendez-vous, puis sur Afficher et télécharger votre BAA signé.
- Vous pouvez également cliquer sur Télécharger au format PDF pour en télécharger une copie.