HIPAA-Kompatibilität und SurveyMonkey

Gilt HIPAA für mich? Wenn Sie entsprechend der Definition von HIPAA eine „betroffene Entität“ (Covered Entity) sind und SurveyMonkey zum Erfassen oder Speichern von PHI-Daten (im Allgemeinen sämtliche Informationen zum Gesundheitszustand, zu medizinischen Behandlungen oder deren Bezahlung, die mit einer bestimmten Einzelperson in Verbindung gebracht werden können und/oder Kontaktdetails zusammen mit Informationen zur medizinischen Versorgung, die die Einzelperson erhält) verwenden, dann gelten die HIPAA-Bestimmungen wahrscheinlich für Ihre Nutzung von SurveyMonkey.

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein Gesetz der Vereinigten Staaten, in dem die Erfassung und Handhabung von „geschützten Gesundheitsinformationen“ (Protected Health Information, PHI) geregelt wird. Bestimmte Organisationen, die „betroffene Entitäten“ genannt werden, sowie deren Geschäftspartner müssen die HIPAA-Bestimmungen einhalten.

Dass SurveyMonkey "HIPAA-konform" ist, bedeutet, dass wir einen Service anbieten, der es betroffenen Entitäten ermöglicht, PHI-Daten über Umfragen so zu erfassen und zu verwalten, dass diese Vorgänge mit HIPAA konform sind. Als Bestandteil dieses Services gewährleistet SurveyMonkey, dass der Service so betrieben wird, dass er mit diesen Gesetzen und der Rolle von SurveyMonkey als Geschäftspartner eines Benutzers als betroffener Entität übereinstimmt und kompatibel ist.

Um HIPAA-konforme Funktionen in Ihrem Konto oder Ihrem Team zu aktivieren, müssen Sie ein Geschäftspartnerabkommen (Business Associate Agreement, BAA) mit SurveyMonkey eingehen. Entsprechend unseren Nutzungsbedingungen gestattet SurveyMonkey nur dann geregelten Entitäten, PHI-Daten zu erfassen, wenn dies über ein „HIPAA-fähiges Konto“ mit einem vorhandenen Geschäftspartnerabkommen (BAA) geschieht. SurveyMonkey verlangt von Ihnen jedoch nicht, ein BAA einzugehen, wenn Sie in Bezug auf die in Ihren Umfragen erfassten PHI-Daten nicht unter die HIPAA-Bestimmungen fallen.

HIPAA-Funktionen

Geschäftspartnerabkommen von SurveyMonkey

SurveyMonkey bietet ein Standardformular BAA, das die HIPAA-Anforderungen erfüllt und von betroffenen Entitäten im Rahmen ihres SurveyMonkey-Kontos ausgefüllt werden kann. Wenn eine betroffene Entität das BAA akzeptiert, wird der Name und Titel der im Namen der Entität unterzeichnenden Person zusammen mit dem Datum der Annahme erfasst. Eine Kopie des BAA wird dann auf der Seite „Mein Konto“ zum Herunterladen bzw. zur späteren Referenz zur Verfügung gestellt. Bei Annahme des BAA wird das Konto in ein HIPAA-fähiges Konto umgewandelt.

Wir erkennen an, dass einige betroffene Entitäten bestimmte Artikel haben, die in das entsprechende BAA mit ihren Geschäftspartnern aufgenommen werden müssen. Aufgrund der Tatsache, dass wir HIPAA-fähige Konten ohne zusätzliche Kosten anbieten, sind kundenspezifische BAAs nicht verhandelbar. Eine Anpassung unseres Standard-BAA ist jedoch bei Berechnung einer Gebühr verhandelbar.

Wenn Sie daran interessiert sind, über einen kundenspezifischen BAA zu verhandeln, füllen Sie bitte dieses Formular aus: Geschäftspartnerabkommen verhandeln

HIPAA-Sicherheitsmaßnahmen, die von SurveyMonkey eingesetzt werden

Wie von HIPAA gefordert, implementieren wir administrative, physische und technische Sicherheitsvorkehrungen, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronischen geschützten Gesundheitsinformationen, die wir im Namen der betroffenen Entitäten in Bezug auf deren HIPAA-fähige Konten erhalten, pflegen und übertragen, sinnvoll und angemessen schützen. Diese Sicherheitsvorkehrungen umfassen von der Sicherheitsregel geforderte Maßnahmen wie:

  • Regelmäßige Risikobewertungen von Systemen, um zu gewährleisten, dass die Sicherheitsvorkehrungen relevant und effektiv bleiben
  • Zugewiesenes Sicherheitsteam, das für die Pflege der Konformität mit den HIPAA-Sicherheitsanforderungen verantwortlich ist
  • Prüfung, Autorisierung und Schulung von SurveyMonkey-Mitarbeitern, die mit PHI-Daten von Kunden in Kontakt kommen
  • Pläne zur Datensicherung
  • Pläne zur Notfallwiederherstellung
  • Systeme werden regelmäßig überwacht, aktualisiert und auf den neuesten Stand gebracht
  • Reaktionsplan für Vorfälle, in dem auch die Meldung von Sicherheitsvorfällen an die betroffenen Entitäten vorgesehen ist
  • Sämtliche Kommunikation mit SurveyMonkey-Servern wird über SSL verschlüsselt

Weitere Informationen entnehmen Sie unseren Sicherheitsrichtlinien.

Liste der Funktionen

Wenn Sie HIPAA-konforme Funktionen aktivieren, werden die folgenden von HIPAA geforderten Funktionen in Ihrem Konto aktiviert. Diese Funktionen unterstützen betroffene Entitäten darin, ihre eigenen HIPAA-Verpflichtungen zu erfüllen:

  • Sicherheitserinnerungen: Wir erinnern unsere Benutzer an ihre HIPAA-Verpflichtungen mit Hilfe von Mitteilungen im Produkt, die angezeigt werden, wenn bestimmte, in Zusammenhang mit PHI-Daten sensible Vorgänge durchgeführt werden (z. B. der Export von Umfragedaten, die potenziell Dritten zur Verfügung gestellt werden könnten).
  • Automatische Abmeldung: Benutzersitzungen laufen nach 30 Minuten Inaktivität automatisch ab.
  • BAA: Sie können sich jederzeit eine Kopie Ihres BAA in Ihrem Konto ansehen.
  • Protokollierung: Wir bieten die erweiterte Protokollierung von Kontozugriffsaktivitäten und Änderungen an Umfragedaten. Wir protokollieren eine Vielzahl von Ereignissen in Zusammenhang mit HIPAA-fähigen Konten nach Zeitstempel, Identität (IP-Adresse und/oder Benutzername des Kontos) und Ereignistyp. Zu den protokollierten Ereignistypen gehören:
    • Erfolgreiche und fehlgeschlagene Anmeldungen am Konto
    • Manuelle Abmeldungen vom Konto
    • Forderungen zum Zurücksetzen des Passworts für das Konto
    • Angeforderte Benutzernamen des Kontos
    • Löschen, Öffnen und Schließen von Collectors
    • Exporte von Umfragebeantwortungen
    • Freigaben und Freigaberücknahmen von Umfragebeantwortungen
    • Löschen von Umfragebeantwortungen
    • Autorisierungen und Deautorisierungen von API-Anwendungen
    • Übertragungen von Umfragen in andere Konten
    • Wer das Ereignis durchgeführt hat, der Benutzer oder ein SurveyMonkey-Administrator

Derzeit haben Sie nicht die Möglichkeit, über Ihr Online-Konto auf diese Protokolle zuzugreifen. Sie können uns kontaktieren und die Protokolle anfordern.

HIPAA-Funktionen aktivieren

Sie können HIPAA-konforme Funktionen in einem einzelnen PLATINUM-Tarif oder in einem ENTERPRISE-Team aktivieren, indem Sie ein BAA mit SurveyMonkey eingehen.

Die Schritte zum Eingehen eines BAA sind von Ihrem Tariftyp abhängig. Bitte wählen Sie nachfolgend den relevanten Abschnitt aus, um die entsprechenden Anweisungen angezeigt zu bekommen:

Einzelner PLATINUM-Tarif

So gehen Sie ein BAA mit SurveyMonkey ein:

  1. Klicken Sie in Ihrem PLATINUM-Konto in der Ecke oben rechts auf Ihren Benutzernamen.
  2. Wählen Sie Mein Konto.
  3. Klicken Sie im HIPAA-Abschnitt im unteren Bereich der Seite auf BAA eingehen.
  4. Lesen Sie das BAA.
  5. Füllen Sie das Formular aus. Achten Sie darauf, dass das BAA nur von einer Person akzeptiert wird, die von ihrer Organisation ermächtigt ist, ein BAA einzugehen. Dies bedeutet, dass im Feld „Name“ des BAA-Formulars möglicherweise ein anderer Name als der des Kontoinhabers eingetragen werden muss.
  6. Klicken Sie auf Akzeptieren.

Ihr BAA können Sie jederzeit auf der Seite „Mein Konto“ anzeigen.

PLATINUM-Team

Derzeit können Sie bei einem PLATINUM-Team keine HIPAA-konformen Funktionen in Ihrem Konto aktivieren. Kontaktieren Sie uns bitte, um Ihre Möglichkeiten zu besprechen.

ENTERPRISE-Team

Der primäre Administrator eines ENTERPRISE-Teams kann HIPAA-konforme Funktionen für sein Team aktivieren. Alle Konten im Team werden HIPAA-fähig, was bedeutet, dass es allen diesen Konten gestattet ist, PHI-Daten in ihren Umfragen zu erfassen.

Es gibt keine Möglichkeit, HIPAA-konforme Funktionen nur für einige Konten in einem Team zu aktivieren. Sie können HIPAA-konforme Funktionen nur für ein gesamtes Team aktivieren.

So gehen Sie ein BAA mit SurveyMonkey ein:

  1. Klicken Sie im Konto des primären Administrators in der Ecke oben rechts auf Ihren Benutzernamen.
  2. Wählen Sie Mein Team (bzw. Meine Gruppe).
  3. Klicken Sie unter TEAMDETAILS auf BAA eingehen.
  4. Lesen Sie das BAA, füllen Sie das Formular aus und klicken Sie auf Akzeptieren.

Alle Teammitglieder können sich auf der Seite „Mein Konto“ Ihres Kontos eine Kopie des BAA ansehen.

Die Aktivierung HIPAA-konformer Funktionen in Ihrem Konto oder Team ist eine Einbahnstraße. Wenn ein Konto einmal HIPAA-fähig gemacht wurde, kann es nicht mehr in ein nicht HIPAA-konformes Konto zurückverwandelt werden. Wird das BAA beendet, muss auch Ihr Konto geschlossen werden. Im nachstehenden Abschnitt „Herabstufungen“ finden Sie nähere Informationen hierzu.

Herabstufungen

Lesen Sie die folgenden Fragen, um zu erfahren, wie Herabstufungen bei HIPAA-fähigen Konten funktionieren.

Kann ich mein HIPAA-fähiges Konto oder Team auf einen niedrigeren Tariftyp herabstufen?

Nein. Wenn Sie einmal HIPAA-konforme Funktionen in Ihrem PLATINUM-Tarif oder ENTERPRISE-Team aktiviert haben, kann Ihr Konto nicht wieder in ein reguläres, nicht HIPAA-fähiges Konto verwandelt werden.

Wenn Sie die HIPAA-konformen Funktionen aus Ihrem Konto löschen oder einen niedrigeren Tarif nutzen möchten, müssen Sie ein neues Konto anlegen. Hinweis: Sie können Umfragen von Ihrem HIPAA-fähigen Konto in ein reguläres Konto übertragen, doch Sie müssen sehr vorsichtig sein, dass Sie keine Umfragen mit PHI-Daten übertragen (wir gestatten nicht, PHI-Daten in regulären Konten zu speichern, und reguläre Konten sind nicht durch ein BAA abgedeckt).

Was geschieht, wenn ich mein HIPAA-fähiges Konto oder Team nicht verlängere?

Wenn Sie entscheiden, dass Sie SurveyMonkey nicht mehr nutzen möchten und Ihr HIPAA-fähiges Konto nicht verlängern, wird Ihr Konto ausgesetzt. Solange das Konto ausgesetzt ist, speichert SurveyMonkey alle im Konto enthaltenen Daten und behandelt es weiterhin entsprechend dem BAA. Sie können jedoch nicht mehr direkt auf Ihre Umfragedaten oder Ihr Konto zugreifen (mit Ausnahme einiger weniger Abrechnungs- und Kontoverwaltungsfunktionen).

SurveyMonkey behält ein ausgesetztes Konto während des im Geschäftspartnerabkommen (BAA) angegebenen Zeitraums bei, damit Sie die Möglichkeit haben, die Aussetzung Ihres Kontos durch Verlängerung aufzuheben. Am Ende des Aussetzungszeitraums wird Ihr Konto von SurveyMonkey geschlossen und alle darin enthaltenen Daten werden gelöscht.

Solange ein Konto ausgesetzt ist, können Sie uns auch kontaktieren, um eine Exportkopie aller Ihrer Umfragedaten anzufordern oder um zu verlangen, dass das Konto sofort geschlossen wird.

Was geschieht, wenn ich mein HIPAA-fähiges Konto schließe oder mein BAA beende?

Wenn Sie Ihr HIPAA-fähiges Konto oder Team schließen, wird das BAA beendet.

Wenn Sie das BAA beenden, wird Ihr HIPAA-fähiges Konto oder Team gemäß den Bedingungen des BAA geschlossen. Unser Standard-BAA ist so formuliert, dass Ihnen stets die Möglichkeit gegeben wird, eine Kopie Ihrer Umfragedaten zu speichern, bevor Ihr Konto geschlossen wird.

HIPAA-Sicherheitstipps

Sobald Sie HIPAA-konforme Funktionen in Ihrem Konto oder Team aktiviert haben, beachten Sie bei der Durchführung bestimmter Vorgänge die folgenden Best Practices, um zu gewährleisten, dass Sie Ihre Daten verantwortlich und sicher handhaben.

Aktion
HIPAA-Sicherheitstipps
Export Ihrer UmfrageergebnisseWenn Sie Umfrageergebnisse auf Ihren Computer herunterladen, achten Sie auf angemessenen Umgang mit den heruntergeladenen Dateien, da es sich um geschützte Gesundheitsdaten handelt. Wir empfehlen aus Sicherheitsgründen, diese Dateien zu verschlüsseln und sie nur über eine verschlüsselte Verbindung zu übertragen.
Freigeben von Umfragen für MitbearbeiterWenn Sie eine Umfrage für andere Benutzer freigeben, erhalten die Benutzer, mit denen Sie zusammenarbeiten möchten, Zugriff zum Anzeigen und Bearbeiten der betreffenden Umfrage. Dies schließt auch alle von Ihnen erfassten Beantwortungen ein. Verwenden Sie diese Funktion nur auf eine Weise, die den verbindlichen Vorgaben des HIPAA entspricht. Arbeiten Sie ausschließlich mit Personen zusammen, die berechtigt sind, an dieser Umfrage zu arbeiten.
Übertragen einer Umfrage in ein anderes KontoWenn Sie eine Umfrage an ein anderes SurveyMonkey-Konto übertragen müssen, stellen Sie in jedem Fall sicher, dass das Empfängerkonto tatsächlich das Konto ist, an das Sie die Umfrage senden möchten. Zum Übertragen einer Umfrage müssen Sie den exakten Benutzernamen des betreffenden Kontos eingeben. Der Übertragungsvorgang kann ohne Mithilfe des Inhabers des Empfängerkontos nicht rückgängig gemacht werden.

Wenn Ihr Konto PHI-Informationen (geschützte Gesundheitsdaten) umfasst, liegt es in Ihrer Zuständigkeit, dafür Sorge zu tragen, dass diese PHI-Informationen nur einem berechtigten Empfänger offengelegt werden. Das bedeutet, dass, wenn Sie PHI-Informationen an ein anderes Konto übertragen, dieses Konto ebenfalls HIPAA-fähig sein muss.
Erfassen von BeantwortungenWenn Sie PHI-Informationen in Ihrer Umfrage erfassen, empfehlen wir Ihnen die Verwendung eines Weblink-Collectors. Außerdem sollten Sie, wenn Sie viele Informationen in Ihren Umfragen sammeln oder ein HIPAA-fähiges Konto haben, stets die SSL-Verschlüsselung aktiviert haben. SSL erhöht die Sicherheit durch Verschlüsselung von Umfragen und Umfrageergebnissen.

Von der Verwendung eines E-Mail-Einladungs-Collectors raten wir ab. Mit E-Mail-Einladungs-Collectors werden an Empfänger Umfrageeinladungen versandt, die einen eindeutigen Umfragelink enthalten, der mit der E-Mail-Adresse des Empfängers verknüpft ist. Wenn Befragte ihre Beantwortungen bearbeiten können, könnte der Empfänger einer E-Mail-Einladung eine Umfrage theoretisch vollständig oder teilweise beantworten und seinen eindeutigen Umfragelink dann an einen anderen Benutzer weiterleiten. Auf diese Weise könnte der zweite Empfänger die Antworten des ersten anzeigen, die beispielsweise auch PHI-Informationen enthalten können.
Freigeben von UmfrageergebnissenIhre Umfrageergebnisse enthalten unter Umständen geschützte Gesundheitsdaten. Deswegen muss die Freigabe der Umfrageergebnisse auf eine Weise erfolgen, die den verbindlichen Vorgaben des HIPAA entspricht. Die Ergebnisse dürfen nur autorisierten Empfängern gegenüber offengelegt werden.
HIPAA ist ein Gesetz der Vereinigten Staaten, in dem die Erfassung und Handhabung von „geschützten Gesundheitsinformationen“ (Protected Health Information, PHI) geregelt wird. Bestimmte Organisationen, die „betroffene Entitäten“ genannt werden, sowie deren Geschäftspartner müssen die HIPAA-Bestimmungen einhalten. Wenn Sie HIPAA-Funktionen in Ihrem Konto oder Team aktivieren, können Sie PHI-Daten in Umfragen erfassen.

Alle Antworten heute noch