m

HIPAA-conformiteit en SurveyMonkey

Is HIPAA op mij van toepassing? Als u een betrokken eniteit (een zogeheten Covered entity, zoals gedefinieerd in de HIPAA) bent en u SurveyMonkey gebruikt voor het verzamelen of opslaan van beschermde gezondheidsgegevens (Protected Health Information of PHI - over het algemeen alle informatie over de gezondheidsstatus, levering van gezondheidszorg of betaling voor gezondheidszorg die kan worden gekoppeld aan een specifiek individu, zoals de naam en/of contactgegevens van een individu, in combinatie met informatie over gezondheidszorg die het individu heeft ontvangen), dan is HIPAA waarschijnlijk van toepassing op uw gebruik van SurveyMonkey.

De Health Insurance Portability and Accountability Act van 1996 (HIPAA) is een Amerikaanse wet die het verzamelen en behandelen van beschermde gezondheidsgegevens regelt. Bepaalde organisaties, zogeheten betrokken rechtspersonen en hun zakenpartners, moeten aan HIPAA voldoen.

Voor SurveyMonkey houdt "conformiteit met HIPAA" in dat we een service aanbieden die zogeheten betrokken rechtspersonen in staat stelt om beschermde gezondheidsgegevens te verzamelen en te beheren op een wijze die voldoet aan HIPAA. Als onderdeel van het aanbieden van deze service werkt SurveyMonkey op een wijze die consistent en compatibel is met deze wetgeving en de met rol van SurveyMonkey als een zakenpartner van een gebruiker van het type betrokken entiteit.

In overeenstemming met onze gebruiksvoorwaarden staat SurveyMonkey alleen toe dat beschermde gezondheidsgegevens worden verzameld door gereglementeerde rechtspersonen als dit gebeurt via een account waarvoor HIPAA is ingeschakeld en waarvoor er een BBA-overeenkomst (Business Associate Agreement) is geïmplementeerd. SurveyMonkey vereist echter niet dat u over een BBA-overeenkomst beschikt als u geen door HIPAA gereglementeerde rechtspersoon bent met betrekking tot de beschermde gezondheidsgegevens die u in uw enquêtes verzamelt.

HIPAA-functies

HIPAA-beveiligingsmaatregelen die SurveyMonkey hanteert

Zoals wordt vereist door de HIPAA, implementeren we administratieve, fysieke en technische voorzorgsmaatregelen die redelijk en toepasselijk zijn voor het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van elektronisch beschermde gezondheidsgegevens die we ontvangen, beheren en verzenden namens betrokken rechtspersonen met betrekking tot hun voor HIPAA ingeschakelde accounts. Deze voorzorgsmaatregelen omvatten vereiste maatregelen, zoals:

  • Regelmatige risicobeoordelingen van systemen om ervoor te zorgen dat voorzorgsmaatregelen relevant en doeltreffend blijven
  • Een toegewezen beveiligingsteam dat verantwoordelijk is voor het handhaven van de naleving met betrekking tot HIPAA-beveiligingsvereisten
  • Screening, autorisatie en training van SurveyMonkey-personeel dat in contact komt met beschermde gezondheidsgegevens van klanten
  • Plannen voor gegevensback-ups
  • Plannen voor herstel na noodgevallen
  • Het regelmatig controleren, bijwerken en corrigeren van systemen
  • Een responsplan voor incidenten, dat melding van beveiligingsincidenten aan getroffen betrokken rechtspersonen omvat
  • Alle communicatie met SurveyMonkey-servers is versleuteld via SSL

Zie onze beveiligingsverklaring voor meer informatie.

Functielijst

Als u functies voor HIPAA-conformiteit inschakelt, worden de volgende voor HIPAA vereiste functies voor uw account geactiveerd. Deze functies helpen betrokken rechtspersonen aan hun HIPAA-verplichtingen te voldoen:

  • Beveiligingsherinneringen: We herinneren gebruikers aan hun HIPAA-verplichtingen via berichten in het product die worden weergegeven wanneer ze gevoelige bewerkingen uitvoeren met beschermde gezondheidsgegevens (zoals het exporteren van enquêtegegevens die in theorie zouden kunnen worden gedeeld met derden).
  • Automatische afmelding: Er treedt na 30 minuten inactiviteit tijdens gebruikerssessies een time-out op.
  • Logboekregistratie: We registreren accounttoegangsactiviteiten en wijzigingen in enquêtegegevens. We registreren allerlei verschillende gebeurtenissen die betrekking hebben op voor HIPAA ingeschakelde accounts met behulp van een tijdstempel, de identiteit (IP-adres en/of accountgebruikersnaam) en het gebeurtenistype. Momenteel beschikken we niet over een methode om u via uw account toegang te geven tot deze logboekbestanden. U kunt contact met ons opnemen om logboekbestanden aan te vragen.

HIPAA-functies inschakelen

SurveyMonkey heeft een standaard BAA-formulier dat voldoet aan de vereisten van HIPAA. Als u de HIPAA-functies wilt inschakelen voor uw account, moet u het standaard BAA-formulier invullen en contact met ons opnemen.

Als u al een BAA met ons bent aangegaan, neemt u contact met ons op voor een kopie van uw BAA.

Als een account voor HIPAA is ingeschakeld, kan het niet meer worden omgezet naar een niet-HIPAA-account. Wordt de BAA-overeenkomst beëindigd, dan moet uw account worden gesloten. Zie de sectie Downgraden hierna voor meer informatie.

Downgraden

Lees de algemene vragen hierna voor meer info over hoe het downgraden werkt voor accounts waarvoor HIPAA is ingeschakeld.

Kan ik mijn voor HIPAA ingeschakelde account of team downgraden naar een lager abonnementstype?

Nee. Als u de functies voor HIPAA-conformiteit inschakelt voor uw account of Enterprise-team, is het niet mogelijk om dit ongedaan te maken.

Als u de functies voor HIPAA-conformiteit uit uw account wilt verwijderen of als u een lager abonnement wilt, moet u een nieuw account openen. Houd er rekening mee dat u enquêtes kunt overplaatsen van uw voor HIPAA ingeschakelde account naar een gewoon account. U moet echter bijzonder voorzichtig te werk gaan en geen enquêtes overplaatsen die beschermde gezondheidsgegevens bevatten (we staan gebruikers niet toe om beschermde gezondheidsgegevens op te slaan in gewone accounts, en gewone accounts worden niet gedekt door een BAA-overeenkomst).

Wat gebeurt er als ik mijn voor HIPAA ingeschakelde account of team niet verleng?

Als u besluit dat u SurveyMonkey niet meer nodig hebt en u uw voor HIPAA ingeschakelde account niet verlengt, wordt uw account opgeschort. Nadat het account is opgeschort, bewaart SurveyMonkey alle gegevens in het account en blijft SurveyMonkey deze in overeenstemming met de BAA-overeenkomst behandelen. U hebt echter niet langer rechtstreeks toegang tot uw enquêtegegevens of account (behalve voor beperkte facturerings- en accountbeheerfuncties).

SurveyMonkey bewaart een opgeschort account om u de kans te geven uw abonnement te verlengen. Als uw account is opgeschort en u toegang wilt tot uw gegevens, of als u uw account wilt sluiten, neemt u contact met ons op. Aan het einde van de opschortingsperiode sluit SurveyMonkey uw account en worden alle hierin opgenomen gegevens verwijderd.

Wat gebeurt er als ik mijn voor HIPAA ingeschakelde account sluit of mijn BAA-overeenkomst beëindig?

Sluit u een voor HIPAA ingeschakeld account of team, dan wordt de BAA-overeenkomst beëindigd.

Als u de BAA-overeenkomst beëindigt, wordt (conform de voorwaarden van de BAA-overeenkomst) uw voor HIPAA ingeschakelde account of team gesloten. SurveyMonkey biedt u altijd de mogelijkheid om een kopie van uw enquêtegegevens op te slaan voordat uw account wordt gesloten.

HIPAA-beveiligingstips

Als u eenmaal functies voor HIPAA-conformiteit hebt ingeschakeld voor uw account of team, moet u voor bepaalde acties deze aanbevolen procedures volgen. Zo weet u zeker dat u uw gegevens op een verantwoordelijke en veilige wijze behandelt.

Actie
HIPAA-beveiligingstips
Enquêteresultaten exporterenAls u enquêteresultaten downloadt naar uw eigen computer, zorg er dan voor dat de gedownloade bestanden op de juiste wijze worden behandeld, aangezien ze beschermde gezondheidsgegevens bevatten. Wij raden u aan die bestanden te beveiligen door ze te versleutelen en ze alleen met behulp van een versleutelde verbinding te verzenden.
Enquêtes delen met medewerkersAls u een enquête deelt met anderen, kunnen de gebruikers met wie u samenwerkt die enquête weergeven en bewerken (waaronder reacties die u al verzameld hebt). Onthoud dat u deze functie moet gebruiken op een manier die overeenstemt met uw HIPAA-verplichtingen. Werk uitsluitend samen met mensen die gemachtigd zijn om aan die enquête te werken.
Een enquête overplaatsen naar een ander accountAls u een enquête wilt verplaatsen aan een ander SurveyMonkey-account, moet u ervoor zorgen dat u zeker weet dat het ontvangende account toebehoort aan degene aan wie u het account wilt overdragen. Om een enquête door te geven, moet u de gebruikersnaam van dat account nauwkeurig invullen. De overdracht kan alleen met de hulp van de ontvangende accounthouder ongedaan worden gemaakt.

Als uw enquête beschermde gezondheidsgegevens bevat, is het uw verantwoordelijkheid ervoor te zorgen dat dergelijke informatie uitsluitend bekend wordt gemaakt aan een hiervoor geschikte geadresseerde. Dit houdt in dat als u beschermde gezondheidsgegevens overplaatst naar een ander account, het van essentieel belang is HIPAA voor dat account is ingeschakeld.
Reacties verzamelenAls u in uw enquête beschermde gezondheidsgegevens verzamelt, raden wij u aan een verzamelprogramma voor webkoppelingen te gebruiken. Bovendien moet u als u beschermde gezondheidsgegevens verzamelt in uw enquêtes of als u een voor HIPAA geschikt account hebt, altijd SSL-versleuteling aan hebben staan. SSL verbetert de beveiliging door enquêtes en enquêteresultaten te versleutelen.

Wij raden het gebruik van een verzamelprogramma voor e-mailuitnodigingen af. Verzamelprogramma's voor e-mailuitnodigingen sturen uitnodigingen via e-mail naar geadresseerden met een unieke link naar een enquête die gekoppeld is aan het e-mailadres van de geadresseerde. Als respondenten hun reacties kunnen bewerken, kan een geadresseerde van een uitnodiging per e-mail een volledige enquête of een deel daarvan invullen en zijn/haar unieke link naar de enquête naar iemand anders sturen. De tweede geadresseerde zou dan reacties kunnen bekijken die mogelijk beschermde gezondheidsinformatie van de eerste geadresseerde bevatten.
Enquêteresultaten delenUw enquêteresultaten kunnen beschermde gezondheidsgegevens bevatten. Onthoud dus dat u bij het delen van enquêteresultaten uw HIPAA-verplichtingen moet naleven. Maak resultaten uitsluitend openbaar aan geadresseerden die hiervoor gemachtigd zijn.
De HIPAA is een Amerikaanse wet die het verzamelen en behandelen van beschermde gezondheidsgegevens regelt. Bepaalde organisaties, zogeheten betrokken rechtspersonen en hun zakenpartners, moeten aan HIPAA voldoen. U kunt beschermde gezondheidsgegevens verzamelen in uw enquêtes als u HIPAA-functies inschakelt voor uw account of team.

Ontvang antwoorden