m

Cumplimiento con la HIPAA y SurveyMonkey

¿Me afecta la HIPAA? Si eres una “entidad cubierta” por la HIPAA (tal y como esta lo define) y usas SurveyMonkey para recopilar o almacenar información confidencial sobre la salud (en general, cualquier información sobre el estado de salud, la provisión de atención médica o el pago de la atención médica que pueda relacionarse con una persona específica, como el nombre o la información de contacto de una persona, junto con la información sobre la atención médica que recibió esa persona), entonces la HIPAA probablemente aplica a tu uso de SurveyMonkey.

La Ley de Transferibilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA, por sus siglas en inglés) es una ley de Estados Unidos que regula la recopilación y el manejo de “información confidencial sobre la salud” (PHI). Algunas organizaciones llamadas "entidades cubiertas" y sus socios comerciales están obligadas a cumplir con la HIPAA.

Para SurveyMonkey, "estar en cumplimiento con la HIPAA" significa que ofrecemos un servicio que les permite a las entidades cubiertas a recopilar y administrar información confidencial de salud a través de encuestas de forma conforme a la HIPAA. Como parte de este servicio, SurveyMonkey se asegura de operar de forma coherente y compatible con esas leyes y con la función de SurveyMonkey como socio comercial de usuarios de entidades cubiertas.

De acuerdo con nuestros Términos de uso, SurveyMonkey solo permite que entidades reguladas recopilen información confidencial de salud mediante una “cuenta habilitada de acuerdo con HIPAA” con un acuerdo de asociación comercial (BAA) vigente. Sin embargo, SurveyMonkey no requiere que tengas un acuerdo de asociación comercial si no estás regulado por la HIPAA con respecto a la información confidencial de salud que recopilas en tus encuestas.

Funciones HIPAA

Medidas de seguridad de la HIPAA que emplea SurveyMonkey

Tal y como la HIPAA lo exige, implementamos protecciones administrativas, físicas y técnicas que protegen, de forma adecuada y dentro de lo razonable, la confidencialidad, integridad y disponibilidad de la PHI electrónica que recibimos, mantenemos y retransmitimos en nombre de las entidades cubiertas con respecto a sus cuentas compatibles con la HIPAA. Estas protecciones incluyen medidas requeridas por la Regla de seguridad, tales como:

  • Evaluaciones periódicas de riesgo de los sistemas para asegurarnos de que las protecciones continúan siendo relevantes y efectivas.
  • Equipo de seguridad asignado, que es responsable de mantener el cumplimiento de los requisitos de seguridad de la HIPAA.
  • Preselección, autorización y entrenamiento del personal de SurveyMonkey que entra en contacto con información confidencial de salud de los clientes.
  • Planes de respaldo de datos.
  • Planes de recuperación de desastres.
  • Sistemas supervisados, revisados y actualizados periódicamente.
  • Plan de respuesta de incidencias que incluye informes de incidentes de seguridad a las entidades cubiertas que se vean afectadas.
  • Todas las comunicaciones con los servidores de SurveyMonkey están cifradas con SSL.

Para obtener más información, consulta nuestra Declaración de seguridad.

Lista de funciones

Cuando habilitas las funciones en cumplimiento con la HIPAA, se activan en tu cuenta las siguientes funciones requeridas por dicha ley. Estas funciones ayudan a las entidades cubiertas a cumplir con sus propias obligaciones de la HIPAA:

  • Recordatorios de seguridad: Les recordamos a los usuarios sus obligaciones de la HIPAA con mensajes en los productos que aparecen cuando se realizan ciertas operaciones delicadas con respecto a la información confidencial de salud (como al exportar datos de encuestas que potencialmente podrían compartirse con terceros).
  • Desconexión automática: Desconectamos las sesiones de los usuarios después de 30 minutos de inactividad.
  • Registro: Realizamos un registro de los accesos y la actividad de la cuenta, y las modificaciones a los datos de las encuestas. Registramos una variedad de eventos relacionados con las cuentas compatibles con la HIPAA por marca horaria, identidad (dirección IP y/o nombre de usuario de la cuenta) y tipo de evento. En este momento, no existe una manera de que puedas acceder a estos registros a través de tu cuenta. Puedes contactarnos para solicitar los registros.

Cómo habilitar las funciones HIPAA

SurveyMonkey ofrece un formulario de BAA estándar que cumple los requisitos de la HIPAA. Si te interesa habilitar las funciones relacionadas con la HIPAA en tu cuenta, llena el formulario de BAA estándar y contáctanos.

Si ya celebraste un BAA con nosotros, puedes contactarnos para recibir una copia de tu BAA.

Una vez que una cuenta está habilitada de acuerdo con la HIPAA, no se puede deshacer. Si se anula el BAA, la cuenta tendrá que cerrarse también. Consulta la sección de Bajar de categoría más abajo para obtener más información.

Bajar de categoría

Revisa las preguntas comunes más abajo para comprender cómo funciona el bajar de categoría en cuentas habilitadas de acuerdo a la HIPAA.

Puedo bajar de categoría el plan de mi cuenta o equipo habilitado de acuerdo a la HIPAA?

No. Una vez que habilitas las funciones que cumplen la HIPAA en tu cuenta o equipo Enterprise, la cuenta no se puede revertir a una regular, que no esté habilitada de acuerdo a la HIPAA.

Si quieres eliminar las funciones que cumplen con la HIPAA en tu cuenta, o si quieres un plan con una categoría más baja, debes abrir una cuenta nueva. Ten en cuenta que puedes transferir encuestas desde tu cuenta habilitada según la HIPAA a una cuenta to regular, pero debes tener mucho cuidado de evitar transferir cualquier encuesta que incluya información confidencial de salud (no permitimos a los usuarios a guardar información confidencial de salud en cuentas regulares, y las cuentas regulares no están cubiertas por un acuerdo de asociación comercial).

¿Qué sucede si no renuevo mi cuenta o equipo habilitado según la HIPAA?

Si decides que ya no necesitas usar SurveyMonkey y no renuevas tu cuenta con funciones relacionadas con la HIPAA, tu cuenta será suspendida. Mientras está suspendida, SurveyMonkey guardará toda la información contenida en la cuenta y continuará manejándola en cumplimiento con el acuerdo de asociación comercial. Sin embargo, no podrás tener acceso directo a los datos de tus encuestas ni a tu cuenta (excepto a ciertas funciones limitadas de facturación y administración de la cuenta).

SurveyMonkey conservará tu cuenta suspendida por un tiempo para ofrecerte la oportunidad de renovarla. Si tu cuenta está suspendida y necesitas acceso a tus datos o deseas cerrarla, contáctanos. Al final del periodo de suspensión, SurveyMonkey cerrará la cuenta y eliminará todos los datos incluidos en ella.

¿Qué sucede si cierro mi cuenta habilitada según la HIPPA o si anulo mi acuerdo de asociación comercial?

Si cierras tu cuenta o equipo habilitado según la HIPAA, el acuerdo de asociación comercial se anulará.

Si anulas el acuerdo de asociación comercial, entonces, según los términos del mismo, tu cuenta o equipo habilitado según la HIPAA se cerrará. SurveyMonkey siempre te brinda la oportunidad de guardar una copia de los datos de tu encuesta antes de que se cierre tu cuenta.

Consejos de seguridad de HIPAA

Una vez que habilites las funciones en cumplimiento con la HIPAA en tu cuenta o equipo, sigue estas prácticas recomendadas al realizar ciertas acciones para asegurarte de que estás manejando los datos de una forma responsable y segura.

Acción
Consejos de seguridad de HIPAA
Cómo exportar los resultados de la encuestaSi descargas los resultados de la encuesta en tu propia computadora, asegúrate de que los archivos descargados se utilicen de forma adecuada ya que contienen PHI. Sugerimos que protejas esos archivos encriptándolos y transfiriéndolos únicamente mediante una conexión cifrada.
Cómo compartir encuestas con colaboradoresCuando compartas una encuesta con otras personas, los usuarios con los que decidas colaborar tendrán acceso para ver y editar esa encuesta, incluida cualquier respuesta de encuesta que hayas recopilado. Recuerda usar esta función cumpliendo de forma consistente tus obligaciones con la HIPAA. Solo colabora con gente autorizada a trabajar en esa encuesta.
Cómo transferir una encuesta a otra cuentaSi tienes que transferir una encuesta a una cuenta de SurveyMonkey distinta, asegúrate de que la cuenta de destino sea la correcta. Para transferir una encuesta, debes introducir el nombre de usuario exacto de la cuenta. El proceso de transferencia no se puede deshacer sin acción por parte del titular de la cuenta de destino.

Si tu encuesta incluye PHI, es tu responsabilidad garantizar que esta información solo se revele a los destinatarios adecuados. Esto significa que si transfieres información confidencial a otra cuenta, es imprescindible que esa cuenta esté habilitada conforme a la HIPAA.
Cómo recopilar respuestasSi recopilas PHI en tu encuesta, recomendamos que uses un recopilador de enlace web. Asimismo, si reúnes PHI en tus encuestas o tienes una cuenta habilitada conforme a la HIPAA, debes tener activado siempre el encriptado de SSL. La codificación SSL incrementa la protección codificando las encuestas y los resultados de las mismas.

No recomendamos el uso de un recopilador de invitación por correo electrónico. Los recopiladores de invitación por correo electrónico envían invitaciones a encuestas por correo a los destinatarios con un enlace de encuesta único asociado a la dirección de correo electrónico del remitente. Si los encuestados pueden modificar sus respuestas, un destinatario de una invitación por correo electrónico puede completar toda o parte de una encuesta y reenviar su enlace particular de una encuesta a otra persona. Esto permitiría que el segundo destinatario vea las respuestas del primer destinatario, las cuales podrían incluir información de salud confidencial.
Cómo compartir los resultados de la encuestaLos resultados de la encuesta pueden incluir PHI, por lo que debes recordar compartir los resultados de la encuesta cumpliendo de forma coherente tus obligaciones con la HIPAA. Revela los resultados solo a destinatarios autorizados.
La Ley de Transferibilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA, por sus siglas en inglés) es una ley de Estados Unidos que regula la recopilación y el manejo de "información confidencial de salud" (PHI). Algunas organizaciones llamadas "entidades cubiertas" y sus socios comerciales están obligadas a cumplir con la HIPAA. Puedes recopilar información confidencial de salud si habilitas las funciones de acuerdo a la HIPPA en tu cuenta o equipo.

Obtén respuestas