Cumplimiento con la HIPAA y SurveyMonkey

¿Me afecta la HIPAA? Si eres una "entidad cubierta" (tal y como lo define la HIPAA) y usas SurveyMonkey para recopilar o almacenar información confidencial de salud, o “PHI” (en general, cualquier información sobre el estado de salud, la provisión de atención médica o el pago de la atención médica que pueda relacionarse con una persona específica, como el nombre o la información de contacto de una persona, junto con la información sobre la atención médica que recibió esa persona), entonces la HIPAA probablemente aplica a tu uso de SurveyMonkey.

La Ley de Transferibilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA, por sus siglas en inglés) es una ley de Estados Unidos que regula la recopilación y el manejo de "información confidencial de salud" (PHI). Algunas organizaciones llamadas "entidades cubiertas" y sus socios comerciales están obligadas a cumplir con la HIPAA.

Para SurveyMonkey, "estar en cumplimiento con la HIPAA" significa que ofrecemos un servicio que les permite a las entidades cubiertas a recopilar y administrar información confidencial de salud a través de encuestas de forma conforme a la HIPAA. Como parte de este servicio, SurveyMonkey se asegura de operar de forma coherente y compatible con esas leyes y con la función de SurveyMonkey como socio comercial de usuarios de entidades cubiertas.

Para habilitar las funciones que están en cumplimiento con la HIPAA en tu cuenta o tu equipo, debes concertar un acuerdo de asociación comercial (BAA) con SurveyMonkey. De acuerdo con nuestros Términos de uso, SurveyMonkey solo permite que entidades reguladas recopilen información confidencial de salud mediante una “cuenta habilitada de acuerdo con HIPAA” con un acuerdo de asociación comercial (BAA) vigente. Sin embargo, SurveyMonkey no requiere que tengas un acuerdo de asociación comercial si no estás regulado por la HIPAA con respecto a la información confidencial de salud que recopilas en tus encuestas.

Funciones HIPAA

Acuerdo de asociación comercial de SurveyMonkey

SurveyMonkey ofrece un modelo estándar de acuerdo de asociación comercial que cumple con los requisitos de la HIPAA y permite a las entidades cubiertas concertarlo dentro de sus cuentas de SurveyMonkey. Cuando una entidad cubierta acepta el acuerdo de asociación comercial, el nombre y el título de la persona que firma en representación de la entidad se registra, con la fecha del acuerdo. Entonces, se pone a disposición una copia del acuerdo para descargarla o como referencia para un futuro a través de la página Mi cuenta. Después de aceptar el acuerdo de asociación comercial, la cuenta se convertirá en una cuenta compatible con la HIPAA.

Sabemos que algunas entidades cubiertas tienen algunos artículos que deben incluir en sus acuerdos de asociación comercial con sus asociados. Debido a que ofrecemos cuentas compatibles con la HIPAA sin costos adicionales, no negociamos modelos de acuerdos de asociación comercial de clientes. Sin embargo, podemos negociar nuestro acuerdo estándar de asociación comercial pagando una cuota.

Si te interesa negociar un acuerdo de asociación comercial personalizado, llena este formulario: Negocia un Acuerdo de asociación comercial

Medidas de seguridad de la HIPAA que emplea SurveyMonkey

Tal y como la HIPAA lo requiere, implementamos protecciones administrativas, físicas y técnicas que protegen la confidencialidad, integridad y disponibilidad de la información electrónica protegida de salud que recibimos, mantenemos y retransmitimos en nombre de las entidades cubiertas con respecto a sus cuentas compatibles con la HIPAA. Estas protecciones incluyen medidas requeridas por la Regla de seguridad, tales como:

  • Evaluaciones periódicas de riesgo de los sistemas para asegurarnos de que las protecciones continúan siendo relevantes y efectivas.
  • Equipo de seguridad asignado, que es responsable de mantener el cumplimiento de los requisitos de seguridad de la HIPAA.
  • Preselección, autorización y entrenamiento del personal de SurveyMonkey que entra en contacto con información confidencial de salud de los clientes.
  • Planes de respaldo de datos.
  • Planes de recuperación de desastres.
  • Sistemas supervisados, revisados y actualizados periódicamente.
  • Plan de respuesta de incidencias que incluye informes de incidentes de seguridad a las entidades cubiertas que se vean afectadas.
  • Todas las comunicaciones con los servidores de SurveyMonkey están cifradas con SSL.

Para obtener más información, consulta nuestra Declaración de seguridad.

Lista de funciones

Cuando habilitas las funciones en cumplimiento con la HIPAA, se activan en tu cuenta las siguientes funciones requeridas por dicha ley. Estas funciones ayudan a las entidades cubiertas a cumplir con sus propias obligaciones de la HIPAA:

  • Recordatorios de seguridad: Les recordamos a los usuarios sus obligaciones de la HIPAA con mensajes en los productos que aparecen cuando se realizan ciertas operaciones delicadas con respecto a la información confidencial de salud (como al exportar datos de encuestas que potencialmente podrían compartirse con terceros).
  • Desconexión automática: Desconectamos las sesiones de los usuarios después de 30 minutos de inactividad.
  • Acuerdo de asociación comercial (BAA): Revisa la copia del acuerdo de asociación comercial en tu cuenta en cualquier momento.
  • Registro: Proporcionamos un registro detallado de la actividad de acceso a la cuenta y las modificaciones a los datos de las encuestas. Registramos una variedad de eventos relacionados con las cuentas compatibles con la HIPAA por marca horaria, identidad (dirección IP y/o nombre de usuario de la cuenta) y tipo de evento. Los tipos de eventos que registramos incluyen:
    • Inicios de sesión en la cuenta exitosos y fallidos
    • Desconexiones manuales de la cuenta
    • Solicitudes de restablecimiento de las contraseñas
    • Solicitudes de nombres de usuario de la cuenta
    • Eliminación, apertura y cierre de recopiladores
    • Exportaciones de las respuestas de las encuestas
    • Compartir y dejar de compartir las respuestas de las encuestas
    • Eliminaciones de las respuestas de las encuestas
    • Autorizaciones y desautorizaciones de aplicaciones API
    • Transferencia de encuestas a otras cuentas
    • Si el usuario o un administrador de SurveyMonkey realizó la acción

En este momento, no existe una manera de acceder a estos registros a través de tu cuenta en línea. Puedes contactarnos para solicitar los registros.

Cómo habilitar las funciones HIPAA

Puedes habilitar las funciones en cumplimiento con la HIPAA en un plan PLATINUM individual o en un equipo ENTERPRISE concertando un acuerdo de asociación comercial (BAA) con SurveyMonkey.

Los pasos para concertar un acuerdo de asociación comercial varían según tu tipo de plan. Selecciona la sección apropiada más abajo para obtener instrucciones:

Plan PLATINUM individual

Para concertar un acuerdo de asociación comercial con SurveyMonkey:

  1. En tu cuenta PLATINUM, haz clic en tu nombre de usuario en la esquina superior derecha.
  2. Elige Mi cuenta.
  3. En la sección de la HIPAA al final de la página, haz clic en Concertar un acuerdo de asociación comercial.
  4. Revisa el acuerdo de asociación comercial.
  5. Completa el formulario. Asegúrate de que el acuerdo de asociación comercial sea aceptado por una persona autorizada por su organización. Esto significa que el campo "Nombre" en el formulario de aceptación del acuerdo de asociación comercial podría tener que ser distinto del nombre del propietario de la cuenta.
  6. Haz clic en Aceptar.

Puedes ver tu acuerdo de asociación comercial en cualquier momento desde la página Mi cuenta.

Equipo PLATINUM

En este momento no se pueden habilitar las funciones en cumplimiento con la HIPAA en un equipo PLATINUM dentro de tu cuenta. Por favor contáctanos para hablar sobre tus opciones.

Equipo ENTERPRISE

El administrador principal de un equipo ENTERPRISE puede habilitar las funciones en cumplimiento con la HIPAA para su equipo. Todas las cuentas incluidas en el equipo estarán habilitadas de acuerdo a la HIPAA, con lo cual todas ellas tendrán la autorización de recopilar información confidencial de salud en sus encuestas.

No es posible habilitar las funciones en cumplimiento con la HIPAA únicamente en ciertas cuentas individuales de un equipo. Solo puedes habilitar las funciones en cumplimento con la HIPAA para todo el equipo.

Para concertar un acuerdo de asociación comercial con SurveyMonkey:

  1. En tu cuenta de administrador principal, haz clic en tu nombre de usuario en la esquina superior derecha.
  2. Elige Mi equipo (o Mi grupo).
  3. Bajo DETALLES DEL EQUIPO, haz clic en Concertar un acuerdo de asociación comercial.
  4. Revisa el acuerdo de asociación comercial, completa el formulario y haz clic en Aceptar.

Todos los miembros del equipo podrán ver una copia del acuerdo de asociación comercial a través de la página Mi cuenta de sus cuentas.

La habilitación de las funciones en cumplimiento con la HIPAA en tu cuenta o la de tu equipo no es reversible. Una vez que una cuenta está habilitada de acuerdo con la HIPAA, no se puede deshacer. Si se anula el acuerdo de asociación comercial, la cuenta tendrá que cerrarse. Consulta la sección de Bajar de categoría más abajo para obtener más información.

Bajar de categoría

Revisa las preguntas comunes más abajo para comprender cómo funciona el bajar de categoría en cuentas habilitadas de acuerdo a la HIPAA.

Puedo bajar de categoría el plan de mi cuenta o equipo habilitado de acuerdo a la HIPAA?

No. Una vez que habilitas las funciones que cumplen con la HIPAA en tu plan PLATINUM o equipo ENTERPRISE, la cuenta no se puede revertir a una regular, que no esté habilitada de acuerdo a la HIPAA.

Si quieres eliminar las funciones que cumplen con la HIPAA en tu cuenta, o si quieres un plan con una categoría más baja, debes abrir una cuenta nueva. Ten en cuenta que puedes transferir encuestas desde tu cuenta habilitada según la HIPAA a una cuenta to regular, pero debes tener mucho cuidado de evitar transferir cualquier encuesta que incluya información confidencial de salud (no permitimos a los usuarios a guardar información confidencial de salud en cuentas regulares, y las cuentas regulares no están cubiertas por un acuerdo de asociación comercial).

¿Qué sucede si no renuevo mi cuenta o equipo habilitado según la HIPAA?

Si decides que ya no necesitas usar SurveyMonkey y no renuevas tu cuenta habilitada según la HIPAA, tu cuenta será suspendida. Mientras está suspendida, SurveyMonkey guardará toda la información contenida en la cuenta y continuará manejándola en cumplimiento con el acuerdo de asociación comercial. Sin embargo, no podrás tener acceso directo a los datos de tus encuestas ni a tu cuenta (excepto a ciertas funciones limitadas de facturación y administración de la cuenta).

SurveyMonkey conservará una cuenta suspendida por el plazo establecido en el acuerdo de asociación comercial para ofrecerte la oportunidad de renovarla. Al final del periodo de suspensión, SurveyMonkey cerrará la cuenta y eliminará todos los datos incluidos en ella.

Mientras que una cuenta está suspendida, también puedes contactarnos para solicitar una exportación de la copia de todos los datos de tus encuestas o la cancelación inmediata de tu cuenta.

¿Qué sucede si cierro mi cuenta habilitada según la HIPPA o si anulo mi acuerdo de asociación comercial?

Si cierras tu cuenta o equipo habilitado según la HIPAA, el acuerdo de asociación comercial se anulará.

Si anulas el acuerdo de asociación comercial, entonces, según los términos del mismo, tu cuenta o equipo habilitado según la HIPAA se cerrará. Nuestro acuerdo de asociación comercial estándar está escrito de tal manera para proporcionarte siempre una oportunidad de guardar una copia de los datos de tu encuesta antes de que se cierre tu cuenta.

Consejos de seguridad de HIPAA

Una vez que habilites las funciones en cumplimiento con la HIPAA en tu cuenta o equipo, sigue estas prácticas recomendadas al realizar ciertas acciones para asegurarte de que estás manejando los datos de una forma responsable y segura.

Acción
Consejos de seguridad de HIPAA
Cómo exportar los resultados de la encuestaSi descargas los resultados de la encuesta a tu propia computadora, asegúrate de que los archivos descargados se utilicen de forma adecuada ya que contienen información de salud confidencial. Sugerimos que protejas esos archivos codificándolos y transfiriéndolos únicamente mediante una conexión codificada.
Cómo compartir encuestas con colaboradoresCuando compartas una encuesta con otras personas, los usuarios con los que decidas colaborar tendrán acceso para ver y editar esa encuesta, incluida cualquier respuesta de encuesta que hayas recopilado. Recuerda usar esta función cumpliendo de forma consistente tus obligaciones con la HIPAA. Solo colabora con gente autorizada a trabajar en esa encuesta.
Cómo transferir una encuesta a otra cuentaSi tienes que transferir una encuesta a una cuenta de SurveyMonkey distinta, asegúrate de que la cuenta de destino sea la correcta. Para transferir una encuesta, debes introducir el nombre de usuario exacto de la cuenta. El proceso de transferencia no se puede deshacer sin acción por parte del titular de la cuenta de destino.

Si tu encuesta incluye información de salud confidencial, es tu responsabilidad asegurarte que esta información solo se revele a un remitente adecuado. Esto significa que si transfieres información confidencial a otra cuenta, es imprescindible que esa cuenta esté habilitada conforme a la HIPAA.
Cómo recopilar respuestasSi recopilas información de salud confidencial en tu encuesta, recomendamos que uses un Recopilador de enlace web. Asimismo, si recoges información de salud confidencial en tu encuesta o tienes una cuenta habilitada conforme a la HIPAA, debes tener activada siempre la codificación SSL. La codificación SSL incrementa la protección codificando las encuestas y los resultados de las mismas.

No recomendamos el uso de un recopilador de invitación por correo electrónico. Los recopiladores de invitación por correo electrónico envían invitaciones a encuestas por correo a los remitentes con un enlace de encuesta particular asociado a la dirección de correo electrónico del remitente. Si los encuestados pueden modificar sus respuestas, un destinatario de una invitación por correo electrónico puede completar toda o parte de una encuesta y reenviar su enlace particular de una encuesta a otra persona. Esto permitiría que el segundo destinatario vea las respuestas del primer destinatario, las cuales podrían incluir información de salud confidencial.
Cómo compartir los resultados de la encuestaLos resultados de la encuesta pueden incluir información de salud confidencial, por lo que debes recordar compartir los resultados de la encuesta cumpliendo de forma consistente tus obligaciones con la HIPAA. Revela los resultados solo a destinatarios autorizados.
La Ley de Transferibilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA, por sus siglas en inglés) es una ley de Estados Unidos que regula la recopilación y el manejo de "información confidencial de salud" (PHI). Algunas organizaciones llamadas "entidades cubiertas" y sus socios comerciales están obligadas a cumplir con la HIPAA. Puedes recopilar información confidencial de salud si habilitas las funciones de acuerdo a la HIPPA en tu cuenta o equipo.

Obtén respuestas