HIPAA & Compliance

Holly.ai — operated by SHAKEapp Inc.

Last updated: May 2026

01 HIPAA Status

Holly.ai, operated by SHAKEapp Inc., is not a covered entity under the Health Insurance Portability and Accountability Act (HIPAA). However, when providing services to US-based medical clinics that are covered entities, Holly.ai functions as a Business Associate as defined under 45 CFR § 160.103.

Holly.ai does not store full medical records, diagnoses, or treatment information. The service handles only appointment scheduling data: names, contact details, appointment times, and visit reasons.

02 Business Associate Agreements (BAA)

SHAKEapp Inc. will sign a Business Associate Agreement (BAA) with any US-based clinic client that is a covered entity under HIPAA, upon request.

To request a BAA, contact us at contact@shakeapp.today with subject line "BAA Request — [Clinic Name]".

03 Technical Safeguards

Holly.ai implements the following security controls to protect patient scheduling data:

Encryption · Transit
TLS 1.2 / 1.3
All data in transit is encrypted using industry-standard TLS protocols.
Encryption · Rest
AES-256
Data at rest is encrypted with AES-256 via Supabase managed storage.
Access Controls
Role-Based Access
Clinic data is scoped per tenant. Staff access is limited to their clinic's records only.
Infrastructure
SOC 2 Certified
Supabase (our database provider) is SOC 2 Type II certified.

04 Scope of Data Handled

Holly.ai handles only the minimum necessary data required to schedule appointments:

  • Patient full name and phone number
  • Appointment date, time, and preferred doctor
  • Reason for visit (as stated by the patient during the call)

Holly.ai does not collect, store, or process: diagnoses, prescriptions, lab results, medical history, insurance information, or any other Protected Health Information (PHI) beyond scheduling data.

05 Latin American Compliance

For clinics operating in Colombia and Panama, Holly.ai complies with applicable data protection laws:

  • Colombia: Ley 1581 de 2012 (Habeas Data) — patient verbal authorization during AI call serves as consent for data processing.
  • Panama: Ley 81 de 2019 (Protection of Personal Data) — consent is obtained through the act of requesting the service.

For full details on data handling for Latin American clinics, see our Privacy Policy.

06 Incident Response

In the event of a data security incident affecting patient scheduling data, SHAKEapp Inc. will:

  • Notify affected clinic clients within 72 hours of discovery
  • Provide a written incident report within 15 business days
  • Cooperate with any regulatory investigation as required by law

07 Contact for Compliance Inquiries

For HIPAA, BAA requests, or general compliance questions:

SHAKEapp Inc.contact@shakeapp.today
13930 Expanding Light Dr, Nevada City, CA 95959, USA

Versión en Español / Spanish Version

HIPAA & Cumplimiento

Holly.ai — operado por SHAKEapp Inc.

Última actualización: Mayo 2026

01 Estado HIPAA

Holly.ai, operado por SHAKEapp Inc., no es una entidad cubierta bajo la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Sin embargo, al prestar servicios a clínicas médicas con sede en EE.UU. que sí son entidades cubiertas, Holly.ai actúa como Asociado de Negocios (Business Associate) según lo define 45 CFR § 160.103.

Holly.ai no almacena expedientes médicos completos, diagnósticos ni información sobre tratamientos. El servicio maneja únicamente datos de agendamiento: nombres, datos de contacto, horarios de cita y motivos de consulta.

02 Acuerdos de Asociado de Negocios (BAA)

SHAKEapp Inc. firmará un Acuerdo de Asociado de Negocios (BAA) con cualquier clínica cliente con sede en EE.UU. que sea una entidad cubierta bajo HIPAA, a solicitud.

Para solicitar un BAA, contáctenos en contact@shakeapp.today con el asunto "Solicitud BAA — [Nombre de la Clínica]".

03 Medidas de Seguridad Técnica

Holly.ai implementa los siguientes controles de seguridad para proteger los datos de agendamiento de pacientes:

Cifrado · Tránsito
TLS 1.2 / 1.3
Todos los datos en tránsito están cifrados con protocolos TLS estándar de la industria.
Cifrado · Reposo
AES-256
Los datos en reposo están cifrados con AES-256 mediante almacenamiento gestionado por Supabase.
Control de Acceso
Acceso por Rol
Los datos de cada clínica están aislados por inquilino. El personal solo accede a los registros de su propia clínica.
Infraestructura
Certificado SOC 2
Supabase (nuestro proveedor de base de datos) cuenta con certificación SOC 2 Tipo II.

04 Alcance de los Datos Manejados

Holly.ai maneja únicamente los datos mínimos necesarios para agendar citas:

  • Nombre completo y teléfono del paciente
  • Fecha, hora de la cita y médico de preferencia
  • Motivo de la consulta (según lo indicado por el paciente durante la llamada)

Holly.ai no recopila, almacena ni procesa: diagnósticos, recetas, resultados de laboratorio, historial médico, información de seguros, ni ninguna otra Información de Salud Protegida (PHI) más allá de los datos de agendamiento.

05 Cumplimiento en América Latina

Para clínicas que operan en Colombia y Panamá, Holly.ai cumple con las leyes de protección de datos aplicables:

  • Colombia: Ley 1581 de 2012 (Habeas Data) — la autorización verbal del paciente durante la llamada con IA sirve como consentimiento para el tratamiento de datos.
  • Panamá: Ley 81 de 2019 (Protección de Datos Personales) — el consentimiento se obtiene a través del acto de solicitar el servicio.

Para detalles completos sobre el manejo de datos en clínicas latinoamericanas, consulte nuestra Política de Privacidad.

06 Respuesta a Incidentes

En caso de un incidente de seguridad de datos que afecte los datos de agendamiento de pacientes, SHAKEapp Inc. tomará las siguientes medidas:

  • Notificar a las clínicas afectadas dentro de las 72 horas del descubrimiento
  • Proporcionar un informe escrito del incidente en un plazo de 15 días hábiles
  • Cooperar con cualquier investigación regulatoria según lo exija la ley

07 Contacto para Consultas de Cumplimiento

Para consultas sobre HIPAA, solicitudes de BAA o preguntas generales de cumplimiento:

SHAKEapp Inc.contact@shakeapp.today
13930 Expanding Light Dr, Nevada City, CA 95959, USA