Configuration HIPAA
Découvrez comment assurer la conformité de votre espace de travail Notion à la loi HIPAA et comment activer la conformité à la loi HIPAA 🏥
Aller directement aux questions fréquentesLa loi Health Insurance Portability and Accountability Act (HIPAA), promulguée par le gouvernement fédéral des États-Unis en 1996, exige la protection et le traitement confidentiel des données médicales protégées (ou PHI, « Protected Health Information ») par les entités couvertes, telles que les prestataires de soins de santé, les régimes de soins médicaux et les centres d’échange de données médicales, ainsi que leurs associés.
Cet article indique aux utilisateurs les configurations de produit nécessaires pour rendre leur espace de travail Notion conforme à la loi HIPAA.
Note : l’accord de partenariat (ou BAA, pour « Business Associate Agreement ») de Notion régit la protection des données personnelles à caractère médical (PHI) stockées dans le service de Notion. Pour pouvoir signer le BAA de Notion, vous devez souscrire à notre forfait Enterprise.
Notion Calendar, les fonctionnalités de Notion Calendar et les services bêta ne sont pas couverts par l’accord de partenariat et ne peuvent donc pas être utilisés ou déployés d’une manière qui traite des données de santé confidentielles.
En cas de conflit entre les dispositions de la présente page et celles du BAA, c’est le BAA qui prévaut.
Configurations Notion compatibles | |
---|---|
Contrôle des accès Mettez en œuvre des politiques et des procédures techniques pour les systèmes d’information électroniques qui conservent des données de santé confidentielles (PHI) électroniques, afin d’en réserver l’accès aux personnes ou aux programmes logiciels autorisés. | L’authentification SSO SAML de Notion est basée sur la norme SAML 2.0, qui connecte votre fournisseur d’identité (IdP) et votre ou vos espace(s) de travail, pour une expérience de connexion plus simple et sécurisée. Notion prend en charge les configurations SSO SAML officielles pour : Azure, Google, Gusto, Okta, OneLogin et Rippling. Pour commencer à utiliser le SSO SAML avec Notion, voici les étapes à suivre : Vérifier le(s) domaine(s) : pour utiliser les fonctionnalités de sécurité avancées, vous devez vérifier la propriété de votre domaine de messagerie. Il s’agit d’un processus automatisé qui consiste à ajouter un enregistrement TXT au DNS de votre domaine, pour vérifier que vous en êtes l’administrateur. Activer SSO SAML : dernière étape de configuration qui active la fonctionnalité. Pour plus d’informations sur la configuration de l’authentification unique SAML, consultez cet article. Modifier la méthode de connexion par défaut : lors de la première activation du SSO SAML, la méthode de connexion par défaut sera définie sur Lier des espaces de travail supplémentaires : si vous avez plusieurs espaces pour lesquels vous souhaitez configurer le SSO, vous pouvez en faire la demande à l’adresse [email protected]. Une fois l’authentification correctement configurée, tout membre se connectant à votre ou vos espace(s) de travail devra utiliser le domaine vérifié et devra être authentifié par votre fournisseur d’identité. Les administrateurs d’espace de travail au forfait Entreprise peuvent contourner le problème en utilisant une méthode de connexion alternative en cas d’échec du protocole IdP/SSO SAML. |
Identification unique des utilisateurs Attribuez à vos utilisateurs un nom et/ou un nombre unique pour les identifier et les suivre. | Notion has a SCIM API which can be used to provision, manage, and de-provision members and groups. Workspace owners can find the required API key by going to |
Procédure d’accès d’urgence Établissez des procédures permettant d’obtenir des données médicales électroniques protégées en cas de nécessité urgente, et implémentez-les chaque fois que nécessaire. | La recherche de contenu permet aux propriétaires d’espace de travail bénéficiant du forfait Enterprise de visualiser facilement les contenus de l’espace de travail afin d’en améliorer la gouvernance et de résoudre les problèmes d’accès aux pages. La recherche de contenu vous permet de : |
Déconnexion automatique Mettez en œuvre des procédures électroniques afin de mettre fin aux sessions électroniques après une période d’inactivité déterminée. | Définir une durée de session personnalisée : pour les utilisateurs gérés d’un espace de travail au forfait Enterprise, la durée de session Notion par défaut est de 180 jours. Toutefois, les propriétaires d’espace de travail peuvent définir une durée de session personnalisée, comprise entre une heure et 180 jours. |
Contrôles d’audit Mettez en œuvre des mécanismes matériels, logiciels et/ou procéduraux qui enregistrent et examinent l’activité des systèmes d’information contenant ou utilisant des données électroniques protégées à caractère médical. | Enterprise workspace owners have access to an Audit Log via Cela peut être particulièrement utile pour identifier d’éventuels problèmes de sécurité, enquêter sur les comportements suspects et résoudre les problèmes d’accès. Vous pouvez exporter le journal d’audit de l’espace de travail au format CSV. Les clients Enterprise peuvent également utiliser nos intégrations de partenaires concernant la prévention des pertes de données (DLP) pour découvrir, classer et protéger les données sensibles dans Notion. |
Contrôles d’intégrité Mettez en œuvre des politiques et procédures visant à prévenir toute altération inappropriée ou destruction des données de santé confidentielles électroniques. | Désactiver le partage public des pages : désactive l’option Partager sur le Web du menu « Partager » pour chaque page de cet espace de travail. |
Authentification des personnes et entités Mettez en œuvre des procédures permettant de vérifier l’identité d’une personne ou entité demandant l’accès à des données électroniques protégées à caractère médical. | Désactiver les modifications de profil : cette option empêche les utilisateurs gérés de modifier leurs propres informations de profil afin d’éviter les usurpations d’identité. |
Conservation et élimination des données Mettez en œuvre des politiques et des procédures en matière d’élimination des PHI électroniques et/ou du matériel ou des supports électroniques sur lesquels elles sont stockées. | Les paramètres personnalisés de conservation des données permettent aux propriétaires d’espaces de travail Enterprise de contrôler le moment où les pages des utilisateurs sont supprimées de la corbeille et la durée pendant laquelle elles peuvent être conservées avant leur suppression définitive. Nous conservons des sauvegardes de nos bases de données, ce qui nous permet de restaurer une version de votre contenu dans les 30 jours suivant sa suppression, si vous en avez besoin. |
Sécurité des transmissions Mettez en œuvre des mesures de sécurité technique pour empêcher l’accès non autorisé | Chiffrement au repos : les données des clients sont chiffrées au repos à l'aide de la norme AES-256. Les données des clients sont chiffrées lorsqu'elles se trouvent sur les réseaux internes de Notion, au repos dans le stockage sur le cloud, dans les tables de base de données et dans les sauvegardes. |
Note : en cas d’échec du fournisseur d’identité ou du protocole SSO SAML, les administrateurs d’espace de travail au forfait Entreprise peuvent utiliser une méthode de connexion alternative.
Pour assurer la conformité à la loi HIPAA au sein de votre espace de travail :
Go to
Settings
in your sidebar →Workspace settings
→HIPAA compliance
→Activate
.Une fenêtre s’ouvre pour vous permettre de lire l’intégralité de l’accord de partenariat signé avant de cliquer sur
Accepter
.Une fois que vous avez cliqué sur « Accepter », vous recevrez la confirmation que la conformité à la loi HIPAA a été activée. Vous recevrez également un e-mail confirmant que votre espace de travail a accepté l’accord de partenariat HIPAA.
Si vous souhaitez désactiver la conformité à la loi HIPAA au sein de votre espace de travail :
Go to
Settings
in your sidebar →Workspace settings
→HIPAA compliance
→Deactivate
.Dans la fenêtre qui s’ouvre, sélectionnez
Désactiver
.Une fois que vous avez cliqué sur « Accepter », vous recevrez la confirmation que la conformité à la loi HIPAA a été désactivée. Cela signifie que vous ne pouvez plus stocker de données de santé confidentielles (PHI) dans votre espace de travail Notion. Vous recevrez également un e-mail de confirmation.
Questions fréquentes
Quel est le coût de la conformité avec la loi HIPAA ?
Quel est le coût de la conformité avec la loi HIPAA ?
La conformité à la loi HIPAA est proposée gratuitement à tous les clients bénéficiant du forfait Enterprise.
Les clients doivent accepter l’accord de partenariat de Notion et utiliser Notion conformément à la loi HIPAA, à l’accord de partenariat et au Guide de configuration des produits HIPAA.
Quelles sont les limites du produit en matière de conformité à la loi HIPAA ?
Quelles sont les limites du produit en matière de conformité à la loi HIPAA ?
Notion ne doit pas être utilisé pour communiquer avec des patients, des assurés, leurs familles ou leurs employeurs.
Les utilisateurs ne doivent pas inclure de données personnelles à caractère médical (PHI) dans les champs ou fonctionnalités qui suivent :
Noms d’espaces de travail ou d’organisations
Noms d’espaces d’équipe
Noms de fichiers
Compte/profil d’utilisateur
Noms de groupes d’utilisateurs
Les demandes d’assistance et leurs pièces jointes ne doivent pas inclure de données personnelles à caractère médical.
Notion Calendar, les fonctionnalités de Notion Calendar et les services bêta ne sont pas couverts par l’accord de partenariat et ne peuvent donc pas être utilisés ou déployés d’une manière qui traite des données de santé confidentielles.
Les intégrations seront-elles toujours disponibles ?
Les intégrations seront-elles toujours disponibles ?
Oui, les applications précédemment activées resteront activées. Les administrateurs doivent examiner les intégrations existantes utilisées pour s’assurer qu’elles sont conformes. Les administrateurs peuvent choisir de désactiver l’ajout de nouvelles intégrations non autorisées.