A HIPAA (Lei de Portabilidade e Responsabilidade do Seguro de Saúde) de 1996 é uma lei federal dos Estados Unidos que exige proteções de segurança e privacidade para informações de saúde confidenciais (PHI). Se você é uma entidade coberta pela HIPAA ou um associado comercial sujeito a essa lei, o Slack pode ser configurado para processar PHI nos arquivos carregados e no conteúdo das mensagens.
Quando uma entidade coberta ou um associado comercial executa um Contrato de Associado Comercial com o Slack e usa o Enterprise Grid para transmitir, carregar ou comunicar PHI, o Slack passa a ser considerado associado comercial.
Requisitos e limitações
Para poder usar o Slack em conformidade com a HIPAA, você precisa ler e concordar em implementar as diretrizes previstas nos requisitos para entidades da HIPAA. Atenção:
Você precisa estar usando o plano Enterprise Grid do Slack.
Você precisa celebrar um Contrato de Associado Comercial.
Você não pode usar o Slack para se comunicar com pacientes e membros do plano de saúde, nem com as famílias e os empregadores deles.
Os membros da sua organização só podem incluir PHI em mensagens e arquivos, não em outros recursos do Slack.
Você é responsável por usar as APIs do Slack para implementar ferramentas e processos de monitoramento do uso do Slack pelos seus membros. Você precisará usar as APIs de descoberta do Slack e recomendamos a definição de um provedor externo de prevenção contra perda de dados (DLP) para aplicar as restrições e exportações de mensagens e arquivos.
O Slack não mantém o conjunto de registros designado e não deve ser o sistema de registro das suas informações de saúde.
O Slack não tem contrato de associado comercial com provedores de aplicativos externos, nem mesmo aqueles que fazem parte do Slack Marketplace. Portanto, você é responsável por definir se é necessário celebrar um contrato com o provedor de um aplicativo antes de usá-lo.