Configuration HIPAA

Configuration HIPAA
Dans cet article

Découvrez comment assurer la conformité de votre espace de travail Notion à la loi HIPAA et comment activer la conformité à la loi HIPAA 🏥

Aller directement aux questions fréquentes

La loi Health Insurance Portability and Accountability Act (HIPAA), promulguée par le gouvernement fédéral des États-Unis en 1996, exige la protection et le traitement confidentiel des données médicales protégées (ou PHI, « Protected Health Information ») par les entités couvertes, telles que les prestataires de soins de santé, les régimes de soins médicaux et les centres d’échange de données médicales, ainsi que leurs associés.

Cet article indique aux utilisateurs les configurations de produit nécessaires pour rendre leur espace de travail Notion conforme à la loi HIPAA.

Note : l’accord de partenariat (ou BAA, pour « Business Associate Agreement ») de Notion régit la protection des données personnelles à caractère médical (PHI) stockées dans le service de Notion. Pour pouvoir signer le BAA de Notion, vous devez souscrire à notre forfait Enterprise.

Notion Calendar, les fonctionnalités de Notion Calendar et les services bêta ne sont pas couverts par l’accord de partenariat et ne peuvent donc pas être utilisés ou déployés d’une manière qui traite des données de santé confidentielles.

En cas de conflit entre les dispositions de la présente page et celles du BAA, c’est le BAA qui prévaut.

Configurations Notion compatibles

Contrôle des accès

Mettez en œuvre des politiques et des procédures techniques pour les systèmes d’information électroniques qui conservent des données de santé confidentielles (PHI) électroniques, afin d’en réserver l’accès aux personnes ou aux programmes logiciels autorisés.

L’authentification SSO SAML de Notion est basée sur la norme SAML 2.0, qui connecte votre fournisseur d’identité (IdP) et votre ou vos espace(s) de travail, pour une expérience de connexion plus simple et sécurisée. Notion prend en charge les configurations SSO SAML officielles pour : Azure, Google, Gusto, Okta, OneLogin et Rippling.

Pour commencer à utiliser le SSO SAML avec Notion, voici les étapes à suivre :

Vérifier le(s) domaine(s) : pour utiliser les fonctionnalités de sécurité avancées, vous devez vérifier la propriété de votre domaine de messagerie. Il s’agit d’un processus automatisé qui consiste à ajouter un enregistrement TXT au DNS de votre domaine, pour vérifier que vous en êtes l’administrateur.

Activer SSO SAML : dernière étape de configuration qui active la fonctionnalité. Pour plus d’informations sur la configuration de l’authentification unique SAML, consultez cet article.

Modifier la méthode de connexion par défaut : lors de la première activation du SSO SAML, la méthode de connexion par défaut sera définie sur Toutes les méthodes, ce qui signifie que les utilisateurs peuvent se connecter via SAML ou utiliser leur méthode de connexion normale. En sélectionnant l’option Uniquement l’authentification unique SAML, vous imposez SAML comme unique méthode de connexion à votre espace de travail pour les utilisateurs gérés disposant d’une adresse de messagerie vérifiée au sein de votre organisation.

Lier des espaces de travail supplémentaires : si vous avez plusieurs espaces pour lesquels vous souhaitez configurer le SSO, vous pouvez en faire la demande à l’adresse [email protected].

Une fois l’authentification correctement configurée, tout membre se connectant à votre ou vos espace(s) de travail devra utiliser le domaine vérifié et devra être authentifié par votre fournisseur d’identité. Les administrateurs d’espace de travail au forfait Entreprise peuvent contourner le problème en utilisant une méthode de connexion alternative en cas d’échec du protocole IdP/SSO SAML.

Identification unique des utilisateurs

Attribuez à vos utilisateurs un nom et/ou un nombre unique pour les identifier et les suivre.

Notion has a SCIM API which can be used to provision, manage, and de-provision members and groups. Workspace owners can find the required API key by going to SettingsSecurity & identitySCIM Configuration and clicking to view the token.

Please see our SCIM documentation for the latest information on how you can interact with Notion’s SCIM API. Notion supports official SCIM applications with Google, Gusto, Okta, OneLogin, and Rippling.

Procédure d’accès d’urgence

Établissez des procédures permettant d’obtenir des données médicales électroniques protégées en cas de nécessité urgente, et implémentez-les chaque fois que nécessaire.

La recherche de contenu permet aux propriétaires d’espace de travail bénéficiant du forfait Enterprise de visualiser facilement les contenus de l’espace de travail afin d’en améliorer la gouvernance et de résoudre les problèmes d’accès aux pages. La recherche de contenu vous permet de :

• Voir qui a accès à une page
• Modifier les autorisations d’une page
• Découvrir et réassigner des pages abandonnées par d’anciens employés

Vous pouvez à tout moment exporter une page Notion, une base de données ou même l’ensemble de l’espace de travail.

Déconnexion automatique

Mettez en œuvre des procédures électroniques afin de mettre fin aux sessions électroniques après une période d’inactivité déterminée.

Définir une durée de session personnalisée : pour les utilisateurs gérés d’un espace de travail au forfait Enterprise, la durée de session Notion par défaut est de 180 jours. Toutefois, les propriétaires d’espace de travail peuvent définir une durée de session personnalisée, comprise entre une heure et 180 jours.

Forcer la déconnexion des utilisateurs gérés : forcez la déconnexion d’utilisateurs spécifiques ou de tous les utilisateurs de l’espace de travail en même temps.

Forcer la réinitialisation du mot de passe : forcez la réinitialisation du mot de passe d’utilisateurs spécifiques ou de tous les utilisateurs de l’espace de travail en même temps.

Si vous déprovisionnez un utilisateur via SCIM, il sera retiré de l’espace de travail et sa session prendra fin.

Contrôles d’audit

Mettez en œuvre des mécanismes matériels, logiciels et/ou procéduraux qui enregistrent et examinent l’activité des systèmes d’information contenant ou utilisant des données électroniques protégées à caractère médical.

Enterprise workspace owners have access to an Audit Log via Settings. This gives an overview of a large range of events that have occurred in the workspace.

Cela peut être particulièrement utile pour identifier d’éventuels problèmes de sécurité, enquêter sur les comportements suspects et résoudre les problèmes d’accès. Vous pouvez exporter le journal d’audit de l’espace de travail au format CSV.

Les clients Enterprise peuvent également utiliser nos intégrations de partenaires concernant la prévention des pertes de données (DLP) pour découvrir, classer et protéger les données sensibles dans Notion.

Contrôles d’intégrité

Mettez en œuvre des politiques et procédures visant à prévenir toute altération inappropriée ou destruction des données de santé confidentielles électroniques.

Mettez en œuvre des mécanismes électroniques permettant de corroborer l’absence d’altération ou de destruction non autorisée de données de santé confidentielles (PHI) électroniques.

Mettez en œuvre des mesures de sécurité permettant de prévenir et de détecter les modifications inappropriées des données de santé confidentielles (PHI) transmises par voie électronique, et ce jusqu’à leur élimination.

Désactiver le partage public des pages : désactive l’option Partager sur le Web du menu « Partager » pour chaque page de cet espace de travail.

Désactiver les invités : bloque l’invitation de personnes extérieures à l’espace de travail, sur toutes les pages.

Vous n’avez pas besoin d’utiliser cette option si vous souhaitez pouvoir inviter des invités en cas de besoin, mais gardez à l’esprit que Notion ne doit pas être utilisé pour communiquer avec des patients, des assurés, ou leurs familles et employeurs. Si vous devez activer les invités, nous vous recommandons d’activer les demandes d’invités. Cela impose un processus d’approbation vous permettant d’avoir des invités dans votre espace de travail tout en garantissant la conformité HIPAA.

Désactiver le déplacement ou la copie des pages vers d’autres espaces de travail : empêche le déplacement ou la copie des pages vers d’autres espaces de travail via les actions Déplacer vers ou Dupliquer.

Désactiver l’exportation : empêche toute exportation de fichier Markdown, CSV ou PDF.

Désactiver la création d’espaces de travail : cette option empêche toute personne de créer de nouveaux espaces de travail sans autorisation.

Désactiver ou autoriser des extensions tierces : empêche quiconque d’ajouter des extensions tierces non approuvées à votre espace de travail Notion.

Désactiver l’accès à des espaces de travail externes : empêche les utilisateurs gérés de rejoindre ou d’accéder à des espaces de travail externes en dehors de votre organisation.

Authentification des personnes et entités

Mettez en œuvre des procédures permettant de vérifier l’identité d’une personne ou entité demandant l’accès à des données électroniques protégées à caractère médical.

Désactiver les modifications de profil : cette option empêche les utilisateurs gérés de modifier leurs propres informations de profil afin d’éviter les usurpations d’identité.

Gestion de domaine : le terme « domaine » désigne le domaine de messagerie associé à un compte Notion. La vérification de domaine permet aux propriétaires d’espace de travail de revendiquer la propriété d’un domaine, ce qui leur donne accès à des paramètres de gestion de domaine dans Notion.

Désactiver les invités : bloque l’invitation de personnes extérieures à l’espace de travail, sur toutes les pages.

Vous n’avez pas besoin d’utiliser cette option si vous souhaitez pouvoir inviter des invités en cas de besoin, mais gardez à l’esprit que Notion ne doit pas être utilisé pour communiquer avec des patients, des assurés, ou leurs familles et employeurs. Si vous devez activer les invités, nous vous recommandons d’activer les demandes d’invités. Cela impose un processus d’approbation vous permettant d’avoir des invités dans votre espace de travail tout en garantissant la conformité HIPAA.

Suspendre ou supprimer un compte d’utilisateur géré : suspend ou supprime des comptes d’utilisateurs gérés à partir du tableau de bord de gestion des utilisateurs.

Désactiver la suppression de comptes d’utilisateurs gérés : empêche les utilisateurs gérés de supprimer leurs propres comptes.

Conservation et élimination des données

Mettez en œuvre des politiques et des procédures en matière d’élimination des PHI électroniques et/ou du matériel ou des supports électroniques sur lesquels elles sont stockées.

Les paramètres personnalisés de conservation des données permettent aux propriétaires d’espaces de travail Enterprise de contrôler le moment où les pages des utilisateurs sont supprimées de la corbeille et la durée pendant laquelle elles peuvent être conservées avant leur suppression définitive.

Nous conservons des sauvegardes de nos bases de données, ce qui nous permet de restaurer une version de votre contenu dans les 30 jours suivant sa suppression, si vous en avez besoin.

Sécurité des transmissions

Mettez en œuvre des mesures de sécurité technique pour empêcher l’accès non autorisé
à des données médicales électroniques protégées en cours de transmission sur un réseau de communication électronique.

Mettez en œuvre un mécanisme permettant de chiffrer données électroniques protégées à caractère médical chaque fois que nécessaire.

Chiffrement au repos : les données des clients sont chiffrées au repos à l'aide de la norme AES-256. Les données des clients sont chiffrées lorsqu'elles se trouvent sur les réseaux internes de Notion, au repos dans le stockage sur le cloud, dans les tables de base de données et dans les sauvegardes.

Chiffrement en transit : les données en transit sont chiffrées à l'aide du protocole TLS 1.2 ou d'une version supérieure.

Note : en cas d’échec du fournisseur d’identité ou du protocole SSO SAML, les administrateurs d’espace de travail au forfait Entreprise peuvent utiliser une méthode de connexion alternative.

Pour assurer la conformité à la loi HIPAA au sein de votre espace de travail :

  1. Go to Settings in your sidebar → Workspace settingsHIPAA complianceActivate.

  2. Une fenêtre s’ouvre pour vous permettre de lire l’intégralité de l’accord de partenariat signé avant de cliquer sur Accepter.

  3. Une fois que vous avez cliqué sur « Accepter », vous recevrez la confirmation que la conformité à la loi HIPAA a été activée. Vous recevrez également un e-mail confirmant que votre espace de travail a accepté l’accord de partenariat HIPAA.

Si vous souhaitez désactiver la conformité à la loi HIPAA au sein de votre espace de travail :

  1. Go to Settings in your sidebar → Workspace settingsHIPAA complianceDeactivate.

  2. Dans la fenêtre qui s’ouvre, sélectionnez Désactiver.

  3. Une fois que vous avez cliqué sur « Accepter », vous recevrez la confirmation que la conformité à la loi HIPAA a été désactivée. Cela signifie que vous ne pouvez plus stocker de données de santé confidentielles (PHI) dans votre espace de travail Notion. Vous recevrez également un e-mail de confirmation.


Questions fréquentes

Quel est le coût de la conformité avec la loi HIPAA ?

La conformité à la loi HIPAA est proposée gratuitement à tous les clients bénéficiant du forfait Enterprise.

Les clients doivent accepter l’accord de partenariat de Notion et utiliser Notion conformément à la loi HIPAA, à l’accord de partenariat et au Guide de configuration des produits HIPAA.

Quelles sont les limites du produit en matière de conformité à la loi HIPAA ?

  • Notion ne doit pas être utilisé pour communiquer avec des patients, des assurés, leurs familles ou leurs employeurs.

  • Les utilisateurs ne doivent pas inclure de données personnelles à caractère médical (PHI) dans les champs ou fonctionnalités qui suivent :

    • Noms d’espaces de travail ou d’organisations

    • Noms d’espaces d’équipe

    • Noms de fichiers

    • Compte/profil d’utilisateur

    • Noms de groupes d’utilisateurs

  • Les demandes d’assistance et leurs pièces jointes ne doivent pas inclure de données personnelles à caractère médical.

  • Notion Calendar, les fonctionnalités de Notion Calendar et les services bêta ne sont pas couverts par l’accord de partenariat et ne peuvent donc pas être utilisés ou déployés d’une manière qui traite des données de santé confidentielles.

Les intégrations seront-elles toujours disponibles ?

Oui, les applications précédemment activées resteront activées. Les administrateurs doivent examiner les intégrations existantes utilisées pour s’assurer qu’elles sont conformes. Les administrateurs peuvent choisir de désactiver l’ajout de nouvelles intégrations non autorisées.

D’autres questions ? Envoyez un message au service client

Donner votre avis

Cette ressource vous a-t-elle été utile ?