Les exigences et limitations suivantes s’appliquent à l’utilisation des Services par le Client lorsque les Données du client contiennent des Informations de santé protégées (« PHI »), que le Client est une Entité couverte ou un Associé commercial, selon le cas, et qu’Asana est l’Associé commercial ou le sous-traitant du Client, selon le cas, et tel que défini dans l’Avenant de l’associé commercial entre les parties :

1. Le Client doit signer un Avenant de l’associé commercial avant de saisir toute PHI au sein du Service.

2. L’accès à un espace de travail conforme à l’HIPAA s’étend à l’ensemble du domaine. Par conséquent, le Client doit mettre à jour son ou ses espace(s) de travail existant(s) pour n’avoir qu’une seule Organisation et inclure la ou les Division(s) existante(s) dans cette Organisation, le cas échéant.

3. Entre les parties, le Client est seul responsable de la gestion des Utilisateurs finaux et de l’accès aux PHI dans son ou ses espace(s) de travail au sein du Service.

• a. Sauf indication contraire écrite d’Asana, le Client doit s’assurer que chaque Utilisateur final dispose d’un domaine de messagerie dédié ; l’utilisation d’un domaine de messagerie personnel est interdite.

• b. Le Client doit limiter la visibilité des projets, y compris des PHI, aux Utilisateurs finaux directement concernés en utilisant des fonctionnalités de Service telles que les tâches privées et les projets privés.

• c. Le Client doit activer ou maintenir activée l’authentification à deux facteurs, l’authentification unique (SSO) ou l’authentification Google pour tous les Utilisateurs finaux.

• d. Le Client ne doit pas utiliser le Service pour communiquer directement avec les patients, les membres inscrits à une formule, leurs familles ou leurs employeurs ou leur attribuer l’accès à des comptes.

4. Le Client ne peut saisir des Informations de santé protégées (« PHI ») que dans les « Tâches » et les « Projets » au sein du Service (par exemple, les descriptions de tâches et de projets, les titres de tâches et de projets, les champs personnalisés, les commentaires et les pièces jointes).

• a. Le Client ne doit pas fournir de PHI à l’équipe des opérations utilisateur Asana, dans aucun ticket d’assistance, ni aucune partie d’Asana qui n’est pas une Tâche.

• b. Le Client ne doit pas inclure de PHI dans des fonctionnalités du Service non mentionnées ci-dessus, y compris, sans toutefois s’y limiter : les profils, les Messages ou les Objectifs.

5. Le Client ne doit pas saisir de PHI dans aucune version gratuite du Service.

6. Entre les parties, le Client est seul responsable de son utilisation des API et du journal d’audit d’Asana pour surveiller toute activité inhabituelle.

7. Le Client reconnaît et accepte que certaines fonctionnalités Asana peuvent ne pas lui être disponibles et que certaines fonctionnalités de son (ses) espace(s) de travail sont désactivées par défaut, car elles ne sont pas conformes à la loi HIPAA. Le Client peut activer ces fonctionnalités à ses propres risques. Il s’agit notamment, sans toutefois s’y limiter, des fonctionnalités suivantes, qui peuvent être mises à jour ponctuellement dans la documentation d’Asana : les Invités, la messagerie vidéo et l’IA Asana.

8. Le Client ne doit pas utiliser le Service comme système de stockage des PHI.

9. Le Client reconnaît qu’Asana ne conclut pas d’accords de partenariat commercial avec des fournisseurs de services tiers, y compris ceux figurant dans la bibliothèque d’applications Asana. Le Client doit directement conclure des accords de partenariat commerciaux distincts avec ces fournisseurs de services tiers.

10. Le Client reconnaît que, nonobstant toute disposition de l’accord du Client pour l’accès au Service Asana (l’« accord »), à moins que le Client n'ait accédé à la formule HIPAA Smiles du Service, Asana supprimera toutes les données du Client (y compris les PHI) dans l’instance du Client, cent quatre-vingt (180) jours après la résiliation ou l’expiration de l’accord du Client. Les données seront conservées dans une sauvegarde pendant une période limitée après la suppression du domaine. Si le Client a accédé à la formule HIPAA Smiles du Service, Asana supprimera toutes les données du Client (y compris les PHI) contenues dans l’instance du Client après six mois d’inactivité. Le Client peut exporter les données du Client (y compris les PHI) à tout moment pendant la durée de l’accord, conformément à la documentation.