A HIPAA (Lei de Portabilidade e Responsabilidade do Seguro de Saúde) de 1996 é uma lei federal dos Estados Unidos que exige proteções de segurança e privacidade para informações de saúde confidenciais (PHI). Se você é uma entidade coberta pela HIPAA ou um associado comercial sujeito a essa lei, o Slack pode ser configurado para processar PHI nos arquivos carregados e no conteúdo das mensagens.
Quando uma entidade coberta ou um associado comercial executa um Contrato de Associado Comercial com o Slack e usa o Enterprise Grid para transmitir, carregar ou comunicar PHI, o Slack passa a ser considerado associado comercial.
Requisitos e limitações
Para poder usar o Slack em conformidade com a HIPAA, você precisa ler e concordar em implementar as diretrizes previstas nos requisitos para entidades da HIPAA. Atenção:
Você precisa estar no plano Enterprise do Slack.
Você precisa celebrar um Contrato de Associado Comercial.
Você não pode usar o Slack para se comunicar com pacientes e membros do plano de saúde, nem com as famílias e os empregadores deles.
Os membros da sua organização só podem incluir PHI em mensagens e arquivos, não em outros recursos do Slack.
Você é responsável por implementar ferramentas e processos para monitorar o uso que seus membros. do Slack pelos seus membros. É possível fazer isso com a Prevenção contra perda de dados (DLP) do Slack ou usar as APIs de descoberta do Slack para definir um provedor externo de DLP a fim de aplicar restrições de mensagem e arquivo.
O Slack não mantém o conjunto de registros designado e não deve ser o sistema de registro das suas informações de saúde.
O Slack não tem contrato de associado comercial com provedores de aplicativos externos, nem mesmo aqueles que fazem parte do Slack Marketplace. Portanto, você é responsável por definir se é necessário celebrar um contrato com o provedor de um aplicativo antes de usá-lo.