m

HIPAA-Kompatibilität und SurveyMonkey

Gilt HIPAA für mich? Wenn Sie entsprechend der Definition von HIPAA eine „betroffene Rechtsperson“ (Covered Entity) sind und SurveyMonkey zum Erfassen oder Speichern geschützter Gesundheitsinformationen (im Allgemeinen sämtliche Informationen zum Gesundheitszustand, zu medizinischen Behandlungen oder deren Bezahlung, die mit einer bestimmten Einzelperson in Verbindung gebracht werden können und/oder Kontaktdetails zusammen mit Informationen zur medizinischen Versorgung, die die Einzelperson erhält) verwenden, dann gelten die HIPAA-Bestimmungen wahrscheinlich für Ihre Nutzung von SurveyMonkey.

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein Gesetz der Vereinigten Staaten, in dem die Erfassung und Handhabung von „geschützten Gesundheitsinformationen“ (Protected Health Information, PHI) geregelt wird. Bestimmte Organisationen, die „betroffene Rechtspersonen“ genannt werden, sowie deren Geschäftspartner müssen die HIPAA-Bestimmungen einhalten.

Dass SurveyMonkey "HIPAA-konform" ist, bedeutet, dass wir einen Service anbieten, der es betroffenen Rechtspersonen ermöglicht, PHI-Daten über Umfragen so zu erfassen und zu verwalten, dass diese Vorgänge mit HIPAA konform sind. Als Bestandteil dieses Services gewährleistet SurveyMonkey, dass der Service so betrieben wird, dass er mit diesen Gesetzen und der Rolle von SurveyMonkey als Geschäftspartner eines Benutzers als betroffener Rechtsperson übereinstimmt und kompatibel ist.

Entsprechend unseren Nutzungsbedingungen gestattet SurveyMonkey nur dann geregelten Rechtspersonen, PHI-Daten zu erfassen, wenn dies über ein „HIPAA-fähiges Konto“ mit einem vorhandenen Geschäftspartnerabkommen (BAA) geschieht. SurveyMonkey verlangt von Ihnen jedoch nicht, ein BAA einzugehen, wenn Sie in Bezug auf die in Ihren Umfragen erfassten PHI-Daten nicht unter die HIPAA-Bestimmungen fallen.

HIPAA-Funktionen

HIPAA-Sicherheitsmaßnahmen, die von SurveyMonkey eingesetzt werden

Wie von HIPAA gefordert, implementieren wir administrative, physische und technische Sicherheitsvorkehrungen, die die Vertraulichkeit, Integrität und Verfügbarkeit der elektronischen geschützten Gesundheitsinformationen, die wir im Namen der betroffenen Rechtspersonen in Bezug auf deren HIPAA-fähige Konten erhalten, pflegen und übertragen, sinnvoll und angemessen schützen. Diese Sicherheitsvorkehrungen umfassen von der Sicherheitsregel geforderte Maßnahmen wie:

  • Regelmäßige Risikobewertungen von Systemen, um zu gewährleisten, dass die Sicherheitsvorkehrungen relevant und effektiv bleiben
  • Zugewiesenes Sicherheitsteam, das für die Pflege der Konformität mit den HIPAA-Sicherheitsanforderungen verantwortlich ist
  • Prüfung, Autorisierung und Schulung von SurveyMonkey-Mitarbeitern, die mit PHI-Daten von Kunden in Kontakt kommen
  • Pläne zur Datensicherung
  • Pläne zur Notfallwiederherstellung
  • Systeme werden regelmäßig überwacht, aktualisiert und auf den neuesten Stand gebracht
  • Reaktionsplan für Vorfälle, in dem auch die Meldung von Sicherheitsvorfällen an die betroffenen Rechtspersonen vorgesehen ist
  • Sämtliche Kommunikation mit SurveyMonkey-Servern wird über SSL verschlüsselt

Weitere Informationen entnehmen Sie unseren Sicherheitsrichtlinien.

Liste der Funktionen

Wenn Sie HIPAA-konforme Funktionen aktivieren, werden die folgenden von HIPAA geforderten Funktionen in Ihrem Konto aktiviert. Diese Funktionen unterstützen betroffene Rechtspersonen darin, ihre eigenen HIPAA-Verpflichtungen zu erfüllen:

  • Sicherheitserinnerungen: Wir erinnern unsere Benutzer an ihre HIPAA-Verpflichtungen mit Hilfe von Mitteilungen im Produkt, die angezeigt werden, wenn bestimmte, in Zusammenhang mit PHI-Daten sensible Vorgänge durchgeführt werden (z. B. der Export von Umfragedaten, die potenziell Dritten zur Verfügung gestellt werden könnten).
  • Automatische Abmeldung: Benutzersitzungen laufen nach 30 Minuten Inaktivität automatisch ab.
  • Protokollierung: Wir protokollieren Kontozugriffsaktivitäten und Änderungen an Umfragedaten. Wir protokollieren eine Vielzahl von Ereignissen in Zusammenhang mit HIPAA-fähigen Konten nach Zeitstempel, Identität (IP-Adresse und/oder Benutzername des Kontos) und Ereignistyp. Derzeit haben Sie nicht die Möglichkeit, über Ihr Konto auf diese Protokolle zuzugreifen. Sie können uns kontaktieren und die Protokolle anfordern.

HIPAA-Funktionen aktivieren

SurveyMonkey bietet ein HIPAA-konformes Standardformular für das BAA, welches die Anforderungen von HIPAA erfüllt. Wenn Sie daran interessiert sind, HIPAA-Features für Ihr Konto zu aktivieren, füllen Sie bitte das BAA-Standardformular aus und setzen sich mit uns in Verbindung.

Haben Sie mit uns bereits ein BAA abgeschlossen, dann setzen Sie sich mit uns in Verbindung, wenn Sie eine Kopie Ihres BAA benötigen.

Wenn ein Konto einmal HIPAA-fähig gemacht wurde, kann es nicht mehr in ein nicht HIPAA-konformes Konto zurückverwandelt werden. Wird das BAA beendet, wird auch Ihr Konto geschlossen. Im nachstehenden Abschnitt „Herabstufungen“ finden Sie nähere Informationen hierzu.

Herabstufungen

Lesen Sie die folgenden Fragen, um zu erfahren, wie Herabstufungen bei HIPAA-fähigen Konten funktionieren.

Kann ich mein HIPAA-fähiges Konto oder Team auf einen niedrigeren Tariftyp herabstufen?

Nein. Wenn Sie einmal HIPAA-konforme Funktionen in Ihrem Konto oder Enterprise-Team aktiviert haben, kann Ihr Konto nicht wieder in ein reguläres, nicht HIPAA-fähiges Konto verwandelt werden.

Wenn Sie die HIPAA-konformen Funktionen aus Ihrem Konto löschen oder einen niedrigeren Tarif nutzen möchten, müssen Sie ein neues Konto anlegen. Hinweis: Sie können Umfragen von Ihrem HIPAA-fähigen Konto in ein reguläres Konto übertragen, doch Sie müssen sehr vorsichtig sein, dass Sie keine Umfragen mit PHI-Daten übertragen (wir gestatten nicht, PHI-Daten in regulären Konten zu speichern, und reguläre Konten sind nicht durch ein BAA abgedeckt).

Was geschieht, wenn ich mein HIPAA-fähiges Konto oder Team nicht verlängere?

Wenn Sie entscheiden, dass Sie SurveyMonkey nicht mehr nutzen möchten und Ihr HIPAA-fähiges Konto nicht verlängern, wird Ihr Konto ausgesetzt. Solange das Konto ausgesetzt ist, speichert SurveyMonkey alle im Konto enthaltenen Daten und behandelt es weiterhin entsprechend dem BAA. Sie können jedoch nicht mehr direkt auf Ihre Umfragedaten oder Ihr Konto zugreifen (mit Ausnahme einiger weniger Abrechnungs- und Kontoverwaltungsfunktionen).

SurveyMonkey behält ein ausgesetztes Konto eine Zeit lang bei, damit Sie die Möglichkeit haben, die Aussetzung Ihres Kontos durch Verlängerung aufzuheben. Wenn Ihr Konto ausgesetzt ist und Sie auf Ihre Daten zugreifen müssen oder Ihr Konto schließen möchten, kontaktieren Sie uns bitte. Am Ende des Aussetzungszeitraums wird Ihr Konto von SurveyMonkey geschlossen und alle darin enthaltenen Daten werden gelöscht.

Was geschieht, wenn ich mein HIPAA-fähiges Konto schließe oder mein BAA beende?

Wenn Sie Ihr HIPAA-fähiges Konto oder Team schließen, wird das BAA beendet.

Wenn Sie das BAA beenden, wird Ihr HIPAA-fähiges Konto oder Team gemäß den Bedingungen des BAA geschlossen. SurveyMonkey gibt Ihnen stets die Möglichkeit, eine Kopie Ihrer Umfragedaten zu speichern, bevor Ihr Konto geschlossen wird.

HIPAA-Sicherheitstipps

Sobald Sie HIPAA-konforme Funktionen in Ihrem Konto oder Team aktiviert haben, beachten Sie bei der Durchführung bestimmter Vorgänge die folgenden Best Practices, um zu gewährleisten, dass Sie Ihre Daten verantwortlich und sicher handhaben.

Aktion
HIPAA-Sicherheitstipps
Export Ihrer UmfrageergebnisseWenn Sie Umfrageergebnisse auf Ihren Computer herunterladen, achten Sie auf angemessenen Umgang mit den heruntergeladenen Dateien, da es sich um geschützte Gesundheitsdaten handelt. Wir empfehlen aus Sicherheitsgründen, diese Dateien zu verschlüsseln und sie nur über eine verschlüsselte Verbindung zu übertragen.
Freigeben von Umfragen für MitbearbeiterWenn Sie eine Umfrage für andere Benutzer freigeben, erhalten die Benutzer, mit denen Sie zusammenarbeiten möchten, Zugriff zum Anzeigen und Bearbeiten der betreffenden Umfrage. Dies schließt auch alle von Ihnen erfassten Beantwortungen ein. Verwenden Sie diese Funktion nur auf eine Weise, die den verbindlichen Vorgaben des HIPAA entspricht. Arbeiten Sie ausschließlich mit Personen zusammen, die berechtigt sind, an dieser Umfrage zu arbeiten.
Übertragen einer Umfrage in ein anderes KontoWenn Sie eine Umfrage an ein anderes SurveyMonkey-Konto übertragen müssen, stellen Sie in jedem Fall sicher, dass das Empfängerkonto tatsächlich das Konto ist, an das Sie die Umfrage senden möchten. Zum Übertragen einer Umfrage müssen Sie den exakten Benutzernamen des betreffenden Kontos eingeben. Der Übertragungsvorgang kann ohne Mithilfe des Inhabers des Empfängerkontos nicht rückgängig gemacht werden.

Wenn Ihr Konto PHI-Informationen (geschützte Gesundheitsdaten) umfasst, liegt es in Ihrer Zuständigkeit, dafür Sorge zu tragen, dass diese PHI-Informationen nur einem berechtigten Empfänger offengelegt werden. Das bedeutet, dass, wenn Sie PHI-Informationen an ein anderes Konto übertragen, dieses Konto ebenfalls HIPAA-fähig sein muss.
Erfassen von BeantwortungenWenn Sie PHI-Informationen in Ihrer Umfrage erfassen, empfehlen wir Ihnen die Verwendung eines Weblink-Collectors. Außerdem sollten Sie, wenn Sie PHI-Informationen in Ihren Umfragen sammeln oder ein HIPAA-fähiges Konto haben, stets die SSL-Verschlüsselung aktiviert haben. SSL erhöht die Sicherheit durch Verschlüsselung von Umfragen und Umfrageergebnissen.

Von der Verwendung eines E-Mail-Einladungs-Collectors raten wir ab. Mit E-Mail-Einladungs-Collectors werden an Empfänger Umfrageeinladungen versandt, die einen eindeutigen Umfragelink enthalten, der mit der E-Mail-Adresse des Empfängers verknüpft ist. Wenn Befragte ihre Beantwortungen bearbeiten können, könnte der Empfänger einer E-Mail-Einladung eine Umfrage theoretisch vollständig oder teilweise beantworten und seinen eindeutigen Umfragelink dann an einen anderen Benutzer weiterleiten. Auf diese Weise könnte der zweite Empfänger die Antworten des ersten anzeigen, die beispielsweise auch PHI-Informationen enthalten können.
Freigeben von UmfrageergebnissenIhre Umfrageergebnisse enthalten unter Umständen PHI-Informationen. Deswegen muss die Freigabe der Umfrageergebnisse auf eine Weise erfolgen, die den verbindlichen Vorgaben des HIPAA entspricht. Die Ergebnisse dürfen nur autorisierten Empfängern gegenüber offengelegt werden.
HIPAA ist ein Gesetz der Vereinigten Staaten, in dem die Erfassung und Handhabung von „geschützten Gesundheitsdaten“ (Protected Health Information, PHI) geregelt wird. Bestimmte Organisationen, die „betroffene Rechtspersonen“ genannt werden, sowie deren Geschäftspartner müssen die HIPAA-Bestimmungen einhalten. Wenn Sie HIPAA-Funktionen in Ihrem Konto oder Team aktivieren, können Sie PHI-Daten in Umfragen erfassen.

Antworten erhalten