HIPAA合规性

HIPAA合规性

健康保险可携性和责任法案(包括《隐私规则》,《安全规则》,《违规通知规则》以及《经济与临床健康信息技术法案》),要求涵盖实体和商业伙伴采取必要措施保护可识别的个人信息。也为个人提供了一些权利。Zoho不会收集,使用,存储或维护受HIPPA保护的健康信息以用于自己用途。Zoho CRM提供的功能便于客户在符合HIPAA的前提下使用CRM。
HIPAA要求涵盖实体与其业务伙伴签署一份商业伙伴协议(BAA)。您可发送邮件至legal@zohocorp.com来获取我们的BAA模板。

Zoho CRM的HIPPA合规性

随着越来越多的医疗机构使用CRM顺利开展业务,并在共享数据库中存储客户信息,确保个人健康信息的保密性至关重要。

Zoho CRM为医疗机构提供保护和限制个人健康信息的导出方式, 并且符合HIPPA准则。

CRM管理员可通过以下步骤操作实现: 
  1. 选择“健康”模块:必须选中所有包含受保护的健康信息的模块。标准模块和自定义模块都可供选择。共可选择10个模块。
  2. 标记含有PHI(保护健康信息)的模块:一个模块可能只有几个字段包含个人健康详情。比如手术史,症状,和用药详情等。 将这些字段标记为个人健康详情,有助于系统识别和限制通过API访问这些字段,并防止导出它们的值。每个模块中共有25个字段可以被标记为包含个人健康数据的字段。
    注意:查询、多选查询和自动编号字段不能被标记为个人健康数据。
  3. 为标记为PHI的数据设定限制: 有以下四个选项可以限制从Zoho CRM外部访问个人数据。您可根据机构要求,选择开启任意选项:
    1. 限制通过API访问数据: 其他应用可通过API与CRM连接并传输数据。限制个人健康数据通过API传输到其它应用,可以确保客户的个人健康信息不会在此过程中共享。
    2. 限制导出数据: 从CRM导出数据时,您可勾选此选项阻止个人健康信息被导出。
    3. 限制数据传输到Zoho应用: 如果CRM与Zoho其它应用集成(如Desk, Campaigns, Projects等),数据将会从CRM流入这些应用。此选项将防止个人健康数据被转入其它Zoho应用。查看数据流限制请参考此表格
    4. 限制数据传输到第三方应用: 如您的CRM因业务相关原因与第三方应用集成,就有可能出现数据从CRM流向这些应用的情况。此选项将防止个人健康数据被转入其它应用。查看数据流限制请参考此表格
  4. 加密PHI字段:包含个人健康信息的字段可加密,以增强安全性。虽然Zoho CRM不强制加密字段,但我们建议您启用加密,这是防止保密数据被未授权访问的最佳方法。
了解更多设置数据加密并了解其限制。 另外,请参考Zoho Encryption whitepaper 详细了解加密过程和密钥管理。
可用性
需要权限
拥有管理合规性设置权限角色的用户,可以管理不同模块的HIPPA合规性。

配置HIPAA合规性的步骤
  1. 进入设置用户及控制 > 合规性设置。
  2. 点击HIPAA合规性页签
  3. 打开启用HIPAA合规性设置按钮。
  4. 从下拉列表中选择模块。
  5. 您最多可选择10个模块。
  6. 个人健康数据的处理 部分,根据需要打开限制通过API访问数据,限制导出数据。


标记含有个人健康数据的字段
  1. 进入设置 > 定制 >  模块与字段。
  2. 选择一个模块,点击 更多 图标,选择您想要的布局。
    另外,您也可以点击 更多 图标选择编辑布局
  3. 进入所需字段,点击 更多 按钮。
  4. 点击编辑属性,勾选包含个人健康数据。
    此选项只有在启用HIPPA合规性设置的模块才会出现。

检索审计日志

拥有权限的用户,需要时可以使用导出审计日志来导出数据。Zoho CRM审计日志默认60天可用。如果您想长期保存,可以使用导出审计日志定期导出数据。如果您需要超过60天的数据,请联系support-crm@zohocorp.com.cn.

禁用HIPAA合规性

一旦HIPAA合规性被禁用,已被标记为个人健康数据的字段将被取消标记。管理员可以在重新启用HIPPA合规性后再次标记这些字段。
 

查看记录中的个人数据

所有标记为包含个人健康数据的字段都将在记录详情页中列出。在 数据隐私 下的个人数据部分,您可以点击健康标签,查看含有个人健康数据的字段。

请注意,此处所示内容不应被视作法律意见。请与您的法律顾问联系,了解HIPPA如何对您的机构产生影响,以及需要做什么来遵守HIPPA的规定。

Zoho CRM提供的其它与安全相关的功能

  1. 基于职位的安全
  2. 数据安全
  3. ISO和SOC证书