Squarespace Scheduling et HIPAA

Squarespace Scheduling a été conçu pour vous permettre de vous conformer aux exigences de la règle Privacy Rule (vie privée) de la loi américaine HIPAA. Les autres éléments de la plateforme Squarespace, notamment les fonctionnalités de type formulaire de contact comme le bloc Formulaire, ne peuvent pas être utilisés dans le cadre d’une solution conforme à la loi HIPAA. Pour recueillir des informations en ligne de manière sécurisée sur les patients en dehors de Squarespace Scheduling, il est fortement conseillé d’ajouter un lien vers un service externe conforme.

Ce guide explique comment Squarespace Scheduling gère les informations médicales protégées telles que définies par la législation américaine. Si vous ne travaillez pas dans le secteur de la santé, ce guide ne s’applique probablement pas à vous.

Remarque : à l’heure actuelleSquarespace Scheduling est la seule fonctionnalité Squarespace conçue pour proposer des services conformes aux obligations HIPAA. Votre accord Business Associate Addendum (BAA) ne couvre pas les autres fonctionnalités de Squarespace. Il est fortement déconseillé de conserver ou de transmettre des informations médicales protégées dans Squarespace (hormis dans Squarespace Scheduling).

Vous pouvez rendre votre compte Squarespace Scheduling compatible HIPAA si vous disposez du forfait Powerhouse.

Conformité de Scheduling à HIPAA

Un consultant tiers spécialisé dans la sécurité des informations a analysé Squarespace Scheduling et a confirmé que cette fonctionnalité peut répondre aux exigences de la règle Security Rule (sécurité) de la loi HIPAA.

Rendre votre compte compatible HIPAA

1. Assurez-vous d’être bien abonné(e) au forfait Powerhouse.
2. Dans Scheduling, cliquez sur Personnaliser l’apparence.
3. Cliquez sur Options de la page de prise de rendez-vous.
4. Cliquez sur le lien en haut de la page pour commencer la procédure de signature d’un accord BAA.
5. Étudiez le BAA et assurez-vous de comprendre vos obligations.
6. Signez l’accord BAA en fournissant les informations nécessaires et en cliquant sur Envoyer.

Vos responsabilités dans le cadre de la loi HIPAA

Il ne suffit pas d’activer les fonctionnalités HIPAA dans Squarespace Scheduling pour devenir conforme à la loi HIPAA. Pour rester conforme, vous devez également vous assurer que vos pratiques commerciales et vos systèmes fonctionnent avec Squarespace Scheduling.

Pour que votre utilisation de Scheduling soit conforme à la règle Privacy Rule (vie privée) de la loi HIPAA, vous devez connaître vos responsabilités au moment de configurer votre compte. Vous devez notamment choisir consciencieusement la quantité et le type d’informations médicales protégées électroniques que vous incluez dans les SMS et les e-mails, et celles que vous excluez. Vous devez également signer un accord Business Associate Addendum (BAA) avec Squarespace.

Un accord BAA régit l’utilisation et la protection des informations médicales protégées échangées entre une « entité couverte » et un « associé ». Dans cette situation, si vous êtes une entité couverte d’après la loi HIPAA, Squarespace est alors un associé pour vous. Pour en savoir plus, rendez-vous sur le site du département de la Santé et des Services sociaux des États-Unis. 

Conditions générales

• Vous devez disposer du forfait Powerhouse pour activer les services HIPAA et signer un accord BAA avec Squarespace. Nous ne signons pas d’accords BAA externes pour ce forfait, mais des accords BAA personnalisés sont disponibles avec un forfait Enterprise moyennant un coût supplémentaire. Pour en savoir plus sur les forfaits Enterprise, veuillez nous contacter.
• Vérifiez que votre compte Squarespace Scheduling est compatible HIPAA avant de conserver des informations médicales protégées sur votre compte ou de les transférer via votre compte. 
• Vous devez mettre chacun de vos comptes Squarespace Scheduling en conformité avec la loi HIPAA. Un compte n’est compatible HIPAA qu’une fois qu’un accord BAA distinct est signé pour ce compte.
• Vous seul(e) êtes responsable de veiller à ce que les contrôles, les paramètres et les restrictions en place répondent à vos besoins et permettent la conformité à la loi HIPAA. Chaque organisation contrôle et détermine ses propres pratiques de conformité à la loi HIPAA, y compris la manière de mettre en œuvre certains contrôles, l’anonymisation et les types d’informations échangées entre votre organisation, vos clients et Squarespace. Chaque organisation est différente et a des besoins différents. C’est pourquoi nous vous proposons des paramètres qui vous aident à respecter votre propre programme de conformité. 

Protections supplémentaires pour les comptes Scheduling compatibles HIPAA

Tous les comptes Squarespace Scheduling ont en commun la plupart des protections techniques et des protections de sécurité, mais des protections supplémentaires existent pour les comptes compatibles HIPAA :

• Votre session de navigation expire au bout de quatre heures et non après plusieurs jours.
• Les notifications par e-mail que nous vous envoyons ne contiennent aucune réponse saisie par le client dans le formulaire.
• Dans les formulaires de renseignements, les fichiers ne peuvent être chargés qu’à partir d’un appareil ou d’un ordinateur local. Il est impossible de les charger à partir de Google Docs ou d’autres services similaires.
• Les clients ne peuvent pas utiliser leur adresse e-mail pour faire un échange contre un pack qu’ils ont acheté. Pour cela, ils doivent saisir le code aléatoire qu’ils ont reçu ou se connecter à leur compte client. 
• La synchronisation de calendriers avec Office 365, Outlook.com, Live.com, Exchange et iCloud n’est pas disponible. Avant de mettre votre compte Squarespace Scheduling en conformité avec la loi HIPAA, vous devez désactiver toute synchronisation avec ces services.
• L’intégration avec les campagnes e-mail Squarespace n’est pas disponible. Si cette intégration est active, vous devez la désactiver avant de rendre votre compte Scheduling compatible HIPAA.
• La fonctionnalité de facturation de Scheduling n’est pas activée.

Contrôles et paramètres des notifications par e-mail et par SMS

• Les notifications par e-mail et par SMS peuvent contenir par défaut des informations médicales protégées, notamment le nom des clients, leur adresse e-mail, les types de rendez-vous ainsi que la date et l’heure des rendez-vous. Vous avez la responsabilité de modifier les informations contenues dans les messages en mettant à jour vos paramètres de notification. 
• Par défaut, les messages de confirmation et de reprogrammation qui sont envoyés au client et à vous-même contiennent un fichier de calendrier (invitation ICS) en pièce jointe. Cette invitation ICS contient le nom du client, le type de rendez-vous et l’heure du rendez-vous. Pour désactiver cette fonctionnalité, veuillez nous contacter.
• Si vous ne désactivez pas les notifications par e-mail, Squarespace Scheduling vous enverra des e-mails dans lesquels les champs De et Répondre à indiquent respectivement le nom du client et son adresse e-mail.
• Les clients peuvent choisir de ne plus recevoir aucune communication en cliquant sur Se désinscrire dans l’un des e-mails ou en répondant STOP à un SMS. Lorsque vous prenez un rendez-vous pour un client, vous pouvez faire en sorte que les notifications ne soient pas envoyées en ne renseignant ni son adresse e-mail ni son numéro de téléphone dans les détails du rendez-vous.

Intégrations tierces et HIPAA

De nombreuses intégrations tierces ne prennent pas en charge HIPAA. Vous pouvez désactiver certaines de ces intégrations, voire toutes, avant de rendre votre compte Squarespace Scheduling compatible HIPAA.

Si vous connectez Squarespace Scheduling à des intégrations tierces telles que Google Agenda ou Stripe, vous avez la responsabilité de déterminer si l’intégration est acceptable pour votre entreprise et/ou de modifier votre utilisation, vos paramètres, vos critères de sécurité et vos informations afin de respecter vos pratiques et vos obligations en matière de conformité à la loi HIPAA. Il vous incombe également de passer tout nouvel accord contractuel nécessaire pour respecter vos pratiques et vos obligations au titre de la loi HIPAA. Vous devez prendre ces mesures avant d’utiliser le service tiers.

Acuity Scheduling

Acuity Scheduling est une société de Squarespace. Elle partage la plupart de ses fonctionnalités avec Squarespace Scheduling, y compris celles liées à l’HIPAA. Suivez les étapes de ce guide, que vous utilisiez Acuity Scheduling ou Squarespace Scheduling.

Accéder à votre BAA

Vous pouvez consulter ou télécharger votre Accord de Partenariat (BAA) à tout moment :

1. Dans Scheduling, cliquez sur Personnaliser l’apparence.
2. Cliquez sur Options de la page de planification, puis sur Afficher et télécharger votre BAA signé.
3. Vous pouvez également cliquer sur Télécharger au format PDF pour en télécharger une copie.