Svennis Partner Zoho Italia Logo

FAQ: Conformità HIPAA

Le schermate in questo articolo sono in lingua inglese. L'interfaccia di Zoho CRM potrebbe variare in base alla versione e alla lingua impostata.

In che modo Zoho CRM aiuta le organizzazioni a essere conformi all'HIPAA?

In Zoho CRM, consentiamo alle organizzazioni di essere conformi alle linee guida HIPAA fornendo le seguenti opzioni:
 
  1. Selezionare i moduli che contengono dati sanitari personali: Tutti i moduli che contengono informazioni sanitarie protette devono essere selezionati. È possibile selezionare sia moduli standard che personalizzati. È possibile selezionare un totale di 10 moduli.
  2. Contrassegnare i campi come contenenti informazioni sanitarie personali: In un modulo, potrebbero esserci solo alcuni campi che contengono dettagli sanitari personali di un cliente. Ad esempio, anamnesi chirurgica, sintomi, dettagli sui farmaci, ecc. Contrassegnare questi campi come dettagli sanitari personali aiuterà il sistema a identificare e limitare l'accesso a questi campi tramite API e impedire l'esportazione dei valori di questi campi. È possibile contrassegnare un totale di 25 campi in ciascun modulo come campi contenenti dati sanitari personali.
    Nota: I campi Lookup, lookup multi-selezione e numerazione automatica non possono essere contrassegnati come dati sanitari personali.
  3. Impostare restrizioni per i dati contrassegnati come PHI: Esistono quattro opzioni per limitare l'accesso ai dati personali dall'esterno di Zoho CRM. Qualsiasi di queste opzioni può essere abilitata in base ai requisiti dell'organizzazione:
    1. Limitare l'accesso ai dati tramite API: Altre applicazioni possono connettersi con il CRM tramite API e i dati possono essere trasferiti. È possibile garantire che i dati sanitari personali dei propri clienti non vengano condivisi nel processo, limitando il trasferimento dei dati sanitari personali ad altre applicazioni tramite API.
    2. Limitare l'esportazione dei dati: Durante l'esportazione dei dati dall'account CRM, potrebbe essere opportuno impedire che le informazioni sanitarie personali vengano esportate selezionando questa opzione.
    3. Limitare il trasferimento dei dati alle app Zoho: Se l'account CRM è integrato con altre applicazioni Zoho come Desk, Campaigns, Projects ecc., i dati fluiranno dal CRM a queste applicazioni. Questa opzione impedirà il trasferimento dei dati sanitari personali ad altre app. Per verificare le restrizioni sul flusso dei dati consultare la tabella.
    4. Limitare il trasferimento dei dati ad app di terze parti: Se il proprio account CRM è integrato con applicazioni di terze parti per motivi aziendali, ci saranno possibilità di flusso di dati dal CRM a queste app. Questa opzione impedirà il trasferimento dei dati sanitari personali ad altre app. Per verificare le restrizioni sul flusso dei dati, consultare la tabella.
  4. Crittografare i campi PHI: I campi che contengono informazioni sanitarie personali possono essere crittografati per una sicurezza aggiuntiva. Sebbene la crittografia dei campi non sia un passaggio obbligatorio in Zoho CRM, raccomandiamo vivamente di abilitare la crittografia poiché è la migliore pratica per prevenire l'accesso non autorizzato ai dati riservati.
Per saperne di più su come configurare la crittografia e comprenderne le limitazioni. Inoltre, consultare il whitepaper sulla crittografia di Zoho per comprendere il processo di crittografia e la gestione delle chiavi in dettaglio.

Dove si trova l'opzione per contrassegnare i campi come informazioni sanitarie personali?

In un modulo, potrebbero esserci solo alcuni campi che contengono dettagli sanitari personali di un cliente. Ad esempio, anamnesi chirurgica, sintomi, dettagli sui farmaci, ecc. Contrassegnare questi campi come dettagli sanitari personali aiuterà il sistema a identificare e limitare l'accesso a questi campi tramite API e impedire l'esportazione dei valori di questi campi. È possibile contrassegnare un totale di 25 campi in ciascun modulo come campi contenenti dati sanitari personali.
NotesNota: I campi Lookup, lookup multi-selezione e numerazione automatica non possono essere contrassegnati come dati sanitari personali.
Per contrassegnare i campi che contengono dati sanitari personali
  1. Andare su Setup > Customization > Modules and Fields.
  2. Selezionare un modulo e fare clic sull'icona More per selezionare il layout desiderato.
    In alternativa, è possibile fare clic sull'icona More e selezionare Edit Layout.
  3. Andare al campo desiderato e fare clic sull'icona More.
  4. Fare clic su Edit Properties e selezionare la casella Contains Personal Health Data.
    Ricordare che questa opzione apparirà solo se il modulo è stato selezionato per la conformità HIPAA.

Dove è possibile visualizzare i record dei dati sanitari personali nel CRM?

Tutti i campi contrassegnati come contenenti dati sanitari personali saranno elencati nella pagina dei dettagli del record. Sotto Data Privacy, nella sezione Personal Data, è possibile fare clic sulla scheda Health per visualizzare i campi che contengono dati sanitari personali.


Zoho fornisce un registro di audit come parte della conformità HIPAA?

In qualità di entità coperta, è Sua responsabilità e buona pratica esportare periodicamente i log e conservarli per il periodo richiesto. Per facilitare ciò, Le consentiamo di esportare i dati quando necessario utilizzando l'opzione  Export Audit Log. In Zoho CRM il registro di audit è disponibile per 60 giorni per impostazione predefinita.

Per esportare le voci del registro di audit
  1. Accedere a Zoho CRM con privilegi di Amministratore.
  2. Andare su Setup > Security Control > Audit Log.
  3. Nella pagina Audit Log, fare clic su Export Audit Log.
    Le voci verranno esportate in formato .csv.
InfoNel caso in cui siano necessari dati oltre i 60 giorni, è possibile contattare support@zohocrm.com

Come configurare la conformità HIPAA nel proprio account CRM?

Con sempre più organizzazioni sanitarie che utilizzano il CRM per gestire la propria attività senza intoppi e archiviare le informazioni dei clienti in un database condiviso, è fondamentale che possano garantire la riservatezza delle informazioni sanitarie di un individuo. In Zoho CRM, forniamo alle organizzazioni sanitarie strumenti per proteggere e limitare l'esportazione delle informazioni sanitarie degli individui e rimanere conformi alle linee guida HIPAA. 

Per configurare la conformità HIPAA
  1. Andare su Setup > Security Control > Compliance Settings.
  2. Fare clic sulla scheda HIPAA Compliance.
  3. Attivare il pulsante Enable HIPAA Compliance Settings.
    Selezionare i moduli dall'elenco a discesa. È possibile selezionare fino a 10 moduli.
  4. In Personal Health Data Handling, attivare Restrict Data access through API, Restrict Data in Export, o entrambi, secondo necessità.

Per contrassegnare i campi che contengono dati sanitari personali
  1. Andare su Setup > Customization > Modules and Fields.
  2. Selezionare un modulo e fare clic sull'icona More per selezionare il layout desiderato.
    In alternativa, è possibile fare clic sull'icona More e selezionare Edit Layout.
  3. Andare al campo desiderato e fare clic sull'icona More.
  4. Fare clic su Edit Properties e selezionare la casella Contains Personal Health Data.
    Ricordare che questa opzione apparirà solo se il modulo è stato selezionato per la conformità HIPAA.


Dove è possibile ottenere il modello del Business Associate Agreement?

L'HIPAA richiede alle Entità Coperte di firmare un Business Associate Agreement (BAA) con i propri Business Associate. È possibile richiedere il nostro modello BAA inviando un'e-mail a legal@zohocorp.com.

Che tipo di crittografia viene aggiunta ai campi PHI?

I campi che contengono informazioni sanitarie personali degli individui possono essere crittografati per prevenire l'accesso non autorizzato. Una volta crittografati, ai campi viene aggiunta la crittografia EAR.

Encryption at Rest
Si riferisce ai dati che vengono crittografati quando sono archiviati (non in movimento) - sia su un disco, in un database o in qualche altra forma di supporto. Oltre alla crittografia dei dati durante il transito, la crittografia dei dati quando sono archiviati nei server fornisce un livello di sicurezza ancora più elevato. La crittografia EAR protegge da qualsiasi possibile fuga di dati dovuta a compromissione del server o accesso non autorizzato.

La crittografia viene eseguita a livello applicativo utilizzando l'algoritmo AES-256, che è un algoritmo di crittografia simmetrica che utilizza blocchi da 128 bit e chiavi da 256 bit. La chiave utilizzata per convertire i dati da testo in chiaro a testo cifrato è chiamata Data Encryption Key   (DEK). La DEK viene ulteriormente crittografata utilizzando la KEK (Key Encryption Key), fornendo così un ulteriore livello di sicurezza. Le chiavi vengono generate e gestite dal nostro servizio interno di Key Management Service (KMS). Per saperne di più

Limitazioni e compromessi applicati ai campi crittografati:
  1. I campi crittografati sono soggetti a determinate limitazioni.
  2. Nella ricerca globale è supportata solo la ricerca full-text. Ad esempio, se il dato crittografato è "Joseph Wells", il record del campo crittografato non verrà mostrato nei risultati di una ricerca per "Joseph".
  3. I campi crittografati non possono essere utilizzati nei Filtri Avanzati
  4. I campi crittografati non possono essere trovati utilizzando la Ricerca per Criteri
  5. I campi crittografati non sono visibili nell'opzione di Ordinamento.
  6. Le informazioni crittografate sono archiviate solo nel dominio crm.zoho.com. L'utilizzo delle informazioni crittografate in altri domini o servizi di terze parti è a propria discrezione.
  7. Nel modulo Forecasts, i campi crittografati non possono essere utilizzati come Target Fields.
NotesNota: la crittografia dei campi è un'entità separata e non fa parte della Conformità HIPAA. I campi PHI possono essere crittografati anche senza contrassegnarli come contenenti PHI (obbligatorio per la conformità HIPAA).
Per aiutare le organizzazioni a essere conformi alle normative HIPAA, Zoho CRM consente loro di contrassegnare i campi come contenenti informazioni sanitarie personali. In questo modo, possono limitare l'esportazione delle informazioni sanitarie degli individui verso app di terze parti tramite integrazione o tramite API. Per saperne di più sulla Conformità HIPAA qui.

Quali tipi di restrizioni possono essere impostati per i campi PHI nell'ambito della Conformità HIPAA?

È possibile contrassegnare un totale di 25 campi in ciascun modulo come campi contenenti dati sanitari personali. Una volta contrassegnati, è possibile impostare determinate restrizioni per prevenire l'accesso non autorizzato ai valori sensibili presenti nei campi.

Notes
Nota
I campi Lookup, lookup multi-selezione e numerazione automatica non possono essere contrassegnati come dati sanitari personali.
Le seguenti restrizioni possono essere impostate sui campi PHI:
  • Limitare l'accesso ai dati tramite API: Altre applicazioni possono connettersi con il CRM tramite API e i dati possono essere trasferiti. È possibile garantire che i dati sanitari personali dei propri clienti non vengano condivisi nel processo, limitando il trasferimento dei dati sanitari personali ad altre applicazioni tramite API.
  • Limitare l'esportazione dei dati: Durante l'esportazione dei dati dall'account CRM, potrebbe essere opportuno impedire che le informazioni sanitarie personali vengano esportate selezionando questa opzione.
  • Limitare il trasferimento dei dati alle app Zoho: Se l'account CRM è integrato con altre applicazioni Zoho come Desk, Campaigns e Projects, i dati fluiranno dal CRM a queste applicazioni. Questa opzione impedirà il trasferimento dei dati sanitari personali ad altre app. 
La seguente tabella fornirà i dettagli delle varie integrazioni e le implicazioni quando i dati personali sono limitati. Ci sono determinati campi obbligatori per l'integrazione, come Email per l'integrazione con Zoho Projects. Se si contrassegna l'email come campo personale, i dati non verranno inviati dal CRM a Projects. 

Integrazioni con le app Zoho


Integrazioni con le app Zoho
Campi obbligatori per l'integrazione
Cosa succede quando i dati sanitari personali sono limitati?
Last Name ed Email
I dati non verranno inviati da Zoho CRM.
Zoho Projects
Email
L'utente cliente non verrà aggiunto tramite la creazione o l'associazione del progetto.
Zoho Finance Suite
Last Name ed Email
I dati non verranno inviati da Zoho CRM.
Email
I dati non verranno inviati da Zoho CRM.
Email
I dati non verranno inviati da Zoho CRM.
N/D
I dettagli diversi da quelli dei campi personali verranno condivisi tramite Zoho Cliq.
N/D
Se uno dei campi precedentemente sincronizzati viene limitato, i report basati su quei campi verranno eliminati.
N/D
N/D
Zoho Motivator
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
N/D
Zoho Sales IQ
N/D
N/D
N/D
N/D
  • Limitare il trasferimento dei dati ad app di terze partiSe il proprio account CRM è integrato con applicazioni di terze parti per motivi aziendali, ci saranno possibilità di flusso di dati dal CRM a queste app. Questa opzione impedirà il trasferimento dei dati sanitari personali ad altre app.
Integrazioni con app di terze parti
Integrazioni con altre app
Campi obbligatori per l'integrazione
Cosa succede quando i dati sanitari personali sono limitati?
Microsoft Office 365
First Name
Poiché First Name non può essere contrassegnato come campo personale, l'integrazione funzionerà normalmente.
Microsoft Outlook
First Name
Poiché First Name non può essere contrassegnato come campo personale, l'integrazione funzionerà normalmente.
Google Contacts
First Name
Poiché First Name non può essere contrassegnato come campo personale, l'integrazione funzionerà normalmente.
Slack
N/D
I dettagli diversi da quelli dei campi personali verranno condivisi tramite Slack.
Riconoscimento vocale Android o iOS (Zia Voice)
N/D
Solo l'azione di chiamata a Zia verrà disabilitata; l'opzione di chat con Zia funzionerà normalmente.
Per impostare restrizioni sui campi PHI
  1. Andare su Setup > Security Control > Compliance Settings.
  2. Fare clic sulla scheda HIPAA Compliance.
  3. Attivare il pulsante Enable HIPAA Compliance Settings.
  4. Selezionare i moduli dall'elenco a discesa.
  5. È possibile selezionare fino a 10 moduli.
  6. In Personal Health Data Handling, attivare Restrict Data access through APIRestrict Data in Export, o entrambi, secondo necessità.

Come gestisce Zoho i campi delle informazioni sanitarie personali per conformarsi all'HIPAA?

L'Health Insurance Portability and Accountability Act (HIPAA), che include la Privacy Rule, la Security Rule, la Breach Notification Rule e l'Health Information Technology for Economic and Clinical Health Act), richiede alle Entità Coperte e ai Business Associate di adottare determinate misure per proteggere le informazioni sanitarie che possono identificare un individuo. Fornisce inoltre determinati diritti agli individui.

Alert
Importante
Zoho non raccoglie, utilizza, archivia o conserva informazioni sanitarie protette dall'HIPAA per i propri scopi.

Notes
Nota
L'HIPAA richiede alle Entità Coperte di firmare un Business Associate Agreement (BAA) con i propri Business Associate. È possibile richiedere il nostro modello BAA inviando un'e-mail a legal@zohocorp.com.

Zoho CRM fornisce funzionalità per aiutare i propri clienti a utilizzare il CRM nel rispetto della conformità HIPAA. Per consentire alle organizzazioni sanitarie di conformarsi all'HIPAA, consentiamo agli amministratori di contrassegnare i campi che contengono informazioni sanitarie personali degli individui in modo che possano essere applicate determinate restrizioni per prevenire l'accesso non autorizzato a tali dettagli sensibili. Ad esempio, ID paziente, dettagli chirurgici e patologie sono informazioni sanitarie personali di un individuo, che non dovrebbero essere accessibili a soggetti esterni.

Per contrassegnare i campi che contengono dati sanitari personali
  1. Andare su Setup > Customization > Modules and Fields.
  2. Selezionare un modulo e fare clic sull'icona More per selezionare il layout desiderato.
    In alternativa, è possibile fare clic sull'icona More e selezionare Edit Layout.
  3. Andare al campo desiderato e fare clic sull'icona More.
  4. Fare clic su Edit Properties e selezionare la casella Contains Personal Health Data.
  5. Ricordare che questa opzione apparirà solo se il modulo è stato selezionato per la conformità HIPAA.
     
Una volta contrassegnati, è possibile impostare determinate restrizioni per prevenire l'accesso non autorizzato ai valori sensibili presenti nei campi.
  1. Limitare l'accesso ai dati tramite API: Altre applicazioni possono connettersi con il CRM tramite API e i dati possono essere trasferiti. È possibile garantire che i dati sanitari personali dei propri clienti non vengano condivisi nel processo, limitando il trasferimento dei dati sanitari personali ad altre applicazioni tramite API.
  2. Limitare l'esportazione dei dati: Durante l'esportazione dei dati dall'account CRM, potrebbe essere opportuno impedire che le informazioni sanitarie personali vengano esportate selezionando questa opzione.
  3. Limitare il trasferimento dei dati alle app Zoho: Se l'account CRM è integrato con altre applicazioni Zoho come Desk, Campaigns e Projects, i dati fluiranno dal CRM a queste applicazioni. Questa opzione impedirà il trasferimento dei dati sanitari personali ad altre app. Per verificare le restrizioni sul flusso dei dati, consultare la tabella.
  4. Limitare il trasferimento dei dati ad app di terze parti: Se il proprio account CRM è integrato con applicazioni di terze parti per motivi aziendali, ci saranno possibilità di flusso di dati dal CRM a queste app. Questa opzione impedirà il trasferimento dei dati sanitari personali ad altre app. Per verificare le restrizioni sul flusso dei dati, consultare la tabella
Per impostare restrizioni sui campi PHI
  1. Andare su Setup > Security Controls > Compliance Settings.
  2. Fare clic sulla scheda HIPAA Compliance.
  3. Attivare il pulsante Enable HIPAA Compliance Settings.
    Selezionare i moduli dall'elenco a discesa. È possibile selezionare fino a 10 moduli.
  4. In Personal Health Data Handling, attivare Restrict Data access through API, Restrict Data in Export, o entrambi, secondo necessità.

Contrassegnare un campo come PHI (Personal Health Information) lo crittografa automaticamente?

No, contrassegnare un campo come PHI consente solo al sistema di identificare che i valori in esso contenuti contengono informazioni sanitarie personali di un individuo.
Come ulteriore livello di sicurezza, questi campi possono essere crittografati separatamente. Sebbene ciò non sia obbligatorio, come buona pratica è essenziale crittografare. Per saperne di più sulla crittografia dei campi.

I campi crittografati vengono aggiunti con Encryption at Rest (EAR). Per saperne di più sulla crittografia consultare il whitepaper sulla crittografia di Zoho. 

Per crittografare/decrittografare i campi PHI
  1. Andare su Setup > Customization > Modules and Fields > [Selezionare il modulo] .
  2. Nell'editor del layout del modulo, andare al campo che si desidera crittografare, fare clic sull'icona Settings e selezionare Edit Properties.

  3. Nel popup Field Properties, selezionare la casella Encrypt Field.

  4. Fare clic su Done.
  5. Save il layout.

In che modo Zoh

Articoli Correlati

Conformità HIPAA con Zoho CRM
Contrassegnare i campi personali
Contrassegnare i campi personali
Crittografia dei dati in Zoho CRM
Monitoraggio del Registro di Controllo

Zoho Premium Partner

Hai bisogno di aiuto con Zoho CRM?

I nostri esperti possono aiutarti con implementazione, personalizzazione e supporto. Oltre 200 progetti completati dal 2011.

Contattaci