Santé, HIPAA, Sitecore et BAA / Blogs / Perficient

Avant de commencer, je tiens simplement à tout mettre en garde sur le fait que la HIPAA est une réglementation complexe ouverte à l’interprétation et qu’en fin de compte, vos équipes juridiques et de conformité doivent être à l’aise avec la façon dont vous gérez les données et les risques associés à ces méthodes. Cela étant dit, j’ai eu beaucoup d’expérience avec des entreprises de soins de santé, à la fois des payeurs, des prestataires et des organisations des sciences de la vie, confrontées à la réglementation HIPAA au cours de la dernière décennie et ayant vu la direction prise par Sitecore pour soutenir les entreprises de soins de santé, je voulais partager certaines de ces connaissances et informations.

Définir les informations de santé protégées (PHI)

Lorsqu’il s’agit d’évaluer vos solutions DXP par rapport à la loi HIPAA, la manière dont vous collectez, traitez et gérez les PHI est la préoccupation centrale. Définir les PHI est en réalité plus complexe que vous ne le pensez. La règle de confidentialité HIPAA définit les PHI comme des informations de santé individuellement identifiables qui sont transmises ou conservées sous quelque forme ou support que ce soit (électronique, oral ou papier) par une entité couverte ou ses associés commerciaux, à l’exclusion de certains dossiers d’études et d’emploi.

Mais que signifie identifiable ? Il y a eu un débat sur la question de savoir si une adresse IP était identifiable jusqu’à ce que le HHS précise qu’elle figurait dans une note concernant comment les données de suivi des visiteurs du site Web doivent être traitées a été publié fin 2022. L’autre partie de la définition concerne ce qui constitue les « informations sur la santé ». Bien qu’il puisse y avoir des cas clairs où les visiteurs remplissent des formulaires sur votre site Web alors qu’ils fournissent des « informations sur la santé », il peut y avoir d’autres cas moins clairs : par exemple, utiliser la fonctionnalité Trouver un médecin de votre site pour identifier un spécialiste, ou les conditions de navigation ou les pages spécialisées de votre site.

Il n’y aura probablement pas de directives claires de la part du HHS sur la façon de répondre à ces questions, les organisations devront donc évaluer elles-mêmes le risque de gérer ce type de données. C’est pourquoi plus d’avertissements que les organisations ont supprimé les outils de suivi analytique comme Google Analytics. Mais il est important de réaliser que ce n’est pas seulement le logiciel que nous choisissons qui nous permet de fournir aux patients des solutions conformes à la loi HIPAA.

Il n’existe vraiment pas de logiciel conforme à la HIPAA.

HIPAA est un ensemble de règles sur la manière de traiter et de traiter les données de santé sensibles. Il existe de nombreux détails sur la manière dont ces règles guident les organisations Le site Internet du HHS.

Bien que les logiciels puissent aider les organisations à respecter ces règles, il appartient toujours à l’organisation de mettre en place les processus pour rester conforme à la HIPAA. Prenons Sitecore XP comme exemple. Il prend en charge un composant extensible « Experience Database » qui suit les visites des sites Web qu’il héberge et vous permet de stocker les données que vous capturez auprès des visiteurs pour permettre la personnalisation. Bien que Sitecore XP offre la capacité de gérer et de sécuriser ces données, il appartient à l’organisation qui utilise ce logiciel de le faire correctement en utilisant les outils et la configuration disponibles, ainsi que de mettre en place les processus nécessaires pour gérer ces données afin d’être HIPAA. conforme.

Les choses deviennent plus compliquées lorsque vous avez des partenaires ou des fournisseurs ayant accès aux systèmes qui gèrent les données de santé. C’est à ce moment-là que vous devez vous assurer d’avoir mis en place un contrat d’accord d’association commerciale (BAA). Le BAA garantit que l’organisation « associée » protégera les PHI de vos patients, et vous leur demandez de prendre des mesures spécifiques et de restreindre la manière dont ils peuvent utiliser ou divulguer les PHI. Perficient signe généralement des BAA avec les clients dans lesquels le travail du projet leur donnera accès à ces données dans le cadre de la réalisation d’un projet.

Les offres de plateforme DXP de Sitecore, y compris Sitecore XP, sont des logiciels installés, ce qui signifie que vous prenez le logiciel de Sitecore et l’installez sur vos serveurs. Ces serveurs pouvaient être sur site (dans votre propre réseau) ou dans le cloud, mais Sitecore n’a jamais eu accès à vos environnements ou à vos données. Cela signifie que vous n’avez pas besoin d’un accord de partenariat commercial (BAA) avec Sitecore, car ils n’ont pas accès à vos données.

Cloud géré

L’offre Sitecore Managed Cloud comprend l’offre Platform DXP déployée sur un abonnement Azure dédié géré par Sitecore. Étant donné que Sitecore gère activement l’environnement, ils ont accès aux données sous-jacentes du système. Si vous utilisez Sitecore pour stocker ou gérer des données de santé, Managed Cloud ne répondra probablement pas à vos besoins car Sitecore ne signe pas d’accords BAA pour son offre de cloud géré. Il fut un temps, il y a quelques années, où Sitecore s’orientait vers ce support, mais alors qu’il commençait à se concentrer sur ses offres SaaS composables, il est devenu clair que ce n’était pas une priorité pour eux.

Offres SaaS de Sitecore

Étant donné que les solutions composables de Sitecore sont toutes fournies dans un modèle SaaS, leur utilisation pour gérer toute information de santé protégée nécessiterait que Sitecore signe un BAA. La bonne nouvelle est que Sitecore a indiqué qu’il soutiendrait bientôt ses clients du secteur de la santé en signant des BAA autour de certaines de leurs offres, à savoir Sitecore Personalize et CDP à partir de juillet 2024 et XM Cloud d’ici la fin de l’année. Non seulement cela a été communiqué du point de vue général de Sitecore, mais nous avons également des clients qui ont signé des accords avec Sitecore pour qu’ils adoptent un BAA pour ces produits dans ces délais.

La relation entre XM Cloud et Sitecore CDP et Personalize rend le timing de ce support vraiment intéressant. XM Cloud inclut une version « allégée » de Sitecore Personalize dans XM Cloud pour prendre en charge les capacités de personnalisation et d’analyse au niveau de la page de XM Cloud. En fait, si un client dispose d’une licence pour les versions complètes de Sitecore Personalize et CDP, il peut utiliser les mêmes conditions et segments qu’il définit dans Personalize en tant que règles de personnalisation XM Cloud. Ils peuvent même consulter leurs expériences et analyses de personnalisation XM Cloud directement dans Sitecore Personalize et CDP. En effet, sous les couvertures, il utilise en réalité la même instance.

Compte tenu de cette relation entre les produits, si vous disposez d’une licence pour Sitecore Personalize et d’un BAA en place avec Sitecore en juillet, vous devriez être couvert par votre solution XM Cloud car le reste du cloud XM ne s’occupe que de la gestion de contenu et ne doit héberger aucun produit. des données qui pourraient être classées comme « informations de santé protégées ». Pour illustrer cela, j’ai réalisé le schéma suivant :

Grâce à un BAA sur Sitecore Personalize qui couvre l’utilisation de ces fonctionnalités associées dans le cloud XM, les organismes de santé peuvent viser la mise en ligne de la plateforme à partir du 1er juillet. Toutes les autres données sont gérées dans des services SaaS qui n’hébergent ni ne touchent aucune donnée de santé protégée.

Vous remarquerez également que « Vercel » est également représenté dans le diagramme. Il s’agit d’une considération importante, car c’est votre application frontale qui offre l’expérience à vos utilisateurs, et les données circulent généralement via l’application frontale, y compris toute activité de visiteur enregistrée sous la forme d’adresses IP et de pages visitées. Vercel a indiqué qu’elle commencerait à signer des BAA dès mars de cette année. De la même manière, j’ai entendu dire que Netlify était également ouvert à la signature de BAA, nous offrant ainsi plusieurs options pour héberger nos applications frontales dans une architecture sans tête.

Sans cela, vous auriez dû héberger vous-même le site frontal, soit en Azur ou AWSqui répondent tous deux aux besoins des établissements de santé par le biais des BAA.

Au-delà de XM Cloud et Sitecore Personalize

Il est important de noter qu’il existe d’autres produits dont vous pourriez avoir besoin pour piloter vos expériences numériques, et Sitecore propose neuf autres produits SaaS qui ne prendront probablement pas en charge BAA de si tôt. La recherche constitue probablement la lacune la plus flagrante, car la plupart des sites nécessiteront des fonctionnalités de recherche dans le cadre des expériences qu’ils proposent. Bien qu’il existe plusieurs options, nous avons une tonne d’expérience avec Covéoqui signe les BAA et possède même un Version HIPAA de leur plateforme.

Considérations de mise en œuvre

Comme mentionné précédemment, le logiciel à lui seul ne vous rend pas conforme à la loi HIPAA. Avoir un BAA en place avec les fournisseurs qui gèrent ce logiciel ne vous rend pas non plus conforme à la HIPAA. Mais avec ces outils et accords, vous pouvez mettre en œuvre des solutions conformes à la HIPAA pour vos patients. N’oubliez pas de prendre pleinement en compte la manière dont vous gérez les informations de santé protégées dans votre solution. Réfléchissez à la manière dont vous gérez l’identité et l’accès, à la façon dont les API sont sécurisées et à tous les cas d’utilisation tertiaires qui peuvent exposer les données et créer des vulnérabilités. Ne tenez pas pour acquis que le fait que le logiciel puisse être utilisé de manière conforme vous empêchera de l’utiliser de manière incorrecte.

Perficient est là pour vous

Au moment d’écrire ces lignes (janvier 2024), Sitecore dispose d’une voie claire pour soutenir les organismes de santé intéressés par l’utilisation de sa solution DXP phare, comprenant à la fois XM Cloud, Sitecore Personalize et Sitecore CDP. Ces outils peuvent vous aider à créer des expériences riches et pérennes sur plusieurs canaux tout en protégeant les données dont vous avez besoin pour piloter ces expériences.

Si vous cherchez de l’aide pour naviguer dans HIPAA, les offres de Sitecore et vos besoins DXP, veuillez me contacter. Vous pouvez me trouver sur LinkedIn, Twitter ou remplissez notre formulaire de contact.