m

HIPAA-conformiteit en SurveyMonkey

Is HIPAA op mij van toepassing? Als u een betrokken rechtspersoon (een zogeheten Covered entity, zoals deze is gedefinieerd in de HIPAA) bent en u SurveyMonkey gebruikt voor het verzamelen of opslaan van beschermde gezondheidsgegevens (Protected Health Information of PHI - over het algemeen alle informatie over de gezondheidsstatus, levering van gezondheidszorg of betaling voor gezondheidszorg die kan worden gekoppeld aan een specifiek individu, zoals de naam en/of contactgegevens van een individu, in combinatie met informatie over gezondheidszorg die het individu heeft ontvangen), dan is HIPAA waarschijnlijk van toepassing op uw gebruik van SurveyMonkey.

De Health Insurance Portability and Accountability Act van 1996 (HIPAA) is een Amerikaanse wet die het verzamelen en behandelen van beschermde gezondheidsgegevens regelt. Bepaalde organisaties, zogeheten betrokken rechtspersonen en hun zakenpartners moet aan HIPAA voldoen.

Voor SurveyMonkey houdt "conformiteit met HIPAA" in dat we een service aanbieden die zogeheten betrokken rechtspersonen in staat stelt om beschermde gezondheidsgegevens te verzamelen en te beheren op een wijze die voldoet aan HIPAA. Als onderdeel van het aanbieden van deze service, zorgt SurveyMonkey ervoor dat er wordt gewerkt op een wijze die consistent en compatibel is met deze wetgeving en de rol van SurveyMonkey als een zakenpartner van een gebruiker van het type betrokken rechtspersoon.

Voor het inschakelen van functies voor HIPAA-conformiteit, moet u een BBA-overeenkomst (Business Associate Agreement) met SurveyMonkey aangaan. In overeenstemming met onze gebruiksvoorwaarden, staat SurveyMonkey alleen toe dat beschermde gezondheidsgegevens worden verzameld door gereglementeerde rechtspersonen als dit gebeurt via een account waarvoor HIPAA is ingeschakeld en waarvoor er een BBA-overeenkomst (Business Associate Agreement) is geïmplementeerd. SurveyMonkey vereist echter niet dat u over een BBA-overeenkomst beschikt als u geen door HIPAA gereglementeerde rechtspersoon bent met betrekking tot de beschermde gezondheidsgegevens die u in uw enquêtes verzamelt.

HIPAA-functies

BBA-overeenkomst van SurveyMonkey

SurveyMonkey biedt een standaard BBA-overeenkomst die voldoet aan de vereisten van HIPAA en staat betrokken rechtspersonen toe deze met hun SurveyMonkey-account aan te gaan. Wanneer een betrokken rechtspersoon de BBA-overeenkomst accepteert, worden de naam en functie van de persoon die deze namens de rechtspersoon tekent, geregistreerd, evenals de aanvaardingsdatum. Op de pagina Mijn account wordt er vervolgens een kopie van de BAA beschikbaar gesteld voor downloaden of toekomstige naslag. Na aanvaarding van de BBA-overeenkomst wordt een account omgezet naar een account waarvoor HIPAA is ingeschakeld.

We zijn ons ervan bewust dat voor sommige betrokken rechtspersonen geldt dat ze bepaalde items moeten opnemen in BAA-overeenkomsten met hun zakenpartners. Gezien het feit dat we zonder bijkomende kosten accounts aanbieden waarvoor HIPAA is ingeschakeld, onderhandelen we niet over BAA-overkomsten van klanten. We zijn echter bereid, tegen bijkomende kosten, te onderhandelen over onze standaard BAA-overeenkomst.

Vul het volgende formulier in als u geïnteresseerd bent in onderhandelen over een aangepaste BAA-overeenkomst: Onderhandelen over een BBA-overeenkomst

HIPAA-beveiligingsmaatregelen die SurveyMonkey hanteert

Zoals is vereist ten behoeve van HIPAA, implementeren we administratieve, fysieke en technische waarborgen die redelijke en toepasselijk zijn voor het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van elektronisch beschermde gezondheidsgegevens die we ontvangen, beheren en verzenden namens betrokken rechtspersonen met betrekking tot hun voor HIPAA ingeschakelde accounts. Deze waarborgen omvatten vereiste maatregelen, zoals:

  • Regelmatige risicobeoordelingen van systemen om ervoor te zorgen dat waarborgen relevant en doeltreffend blijven
  • Een toegewezen beveiligingsteam dat verantwoordelijk is voor het handhaven van de naleving met betrekking tot HIPAA-beveiligingsvereisten
  • Screening, autorisatie en training van SurveyMonkey-personeel dat in contact komt met beschermde gezondheidsgegevens van klanten
  • Plannen voor gegevensback-ups
  • Plannen voor herstel na noodgevallen
  • Het regelmatig controleren, bijwerken en corrigeren van systemen
  • Een responsplan voor incidenten, dat melding van beveiligingsincidenten aan getroffen betrokken rechtspersonen omvat
  • Alle communicatie met SurveyMonkey-servers is versleuteld via SSL

Zie onze beveiligingsverklaring voor meer informatie.

Functielijst

Wanneer u functies voor HIPAA-conformiteit inschakelt, worden de volgende voor HIPAA vereiste functies voor uw account geactiveerd. Deze functies helpen betrokken rechtspersonen aan hun HIPAA-verplichtingen te voldoen:

  • Beveiligingsherinneringen: We herinneren gebruikers aan hun HIPAA-verplichtingen via berichten in het product die worden weergegeven wanneer ze gevoelige bewerkingen uitvoeren met beschermde gezondheidsgegevens (zoals het exporteren van enquêtegegevens die in theorie zouden kunnen worden gedeeld met derde partijen).
  • Automatische afmelding: Er treedt na verloop van 30 minuten aan inactiviteit tijdens een gebruikerssessie een time-out op.
  • BAA: U kunt op elk gewenst moment een kopie van uw BAA-overeenkomst in uw account weergeven.
  • Logboekregistratie: We bieden uitgebreide logboekregistratie van accounttoegangsactiviteiten en wijzigingen in enquêtegegevens. We registreren een verscheidenheid aan gebeurtenissen die betrekking hebben op voor HIPAA ingeschakelde accounts met behulp van een tijdstempel, de identiteit (IP-adres en/of accountgebruikersnaam) en het gebeurtenistype. Gebeurtenistypen die we registreren omvatten:
    • Mislukte en geslaagde accountaanmeldingen
    • Handmatige accountafmeldingen
    • Aanvragen voor het opnieuw instellen van het accountwachtwoord
    • Aanvragen voor de accountgebruikersnaam
    • Het verwijderen, openen en sluiten van verzamelprogramma's
    • Het exporteren van enquêtereacties
    • Het delen en het opheffen van het delen van enquêtereacties
    • Het verwijderen van enquêtereacties
    • Autorisaties en het opheffen van autorisaties voor de API-toepassing
    • Het overplaatsen van enquêtes naar andere accounts
    • Of de gebruiker of een SurveyMonkey-beheerder de gebeurtenis heeft uitgevoerd

Momenteel beschikken we niet over een methode om u via uw online account toegang te bieden tot deze logboekbestanden. U kunt contact met ons opnemen om logboekbestanden aan te vragen.

HIPAA-functies inschakelen

U kunt functies voor HIPAA-conformiteit inschakelen voor een individueel PLATINA-plan of een ENTERPRISE-team door een BAA-overeenkomst aan te gaan met SurveyMonkey.

De stappen voor het aangaan van een BAA-overeenkomst variëren, afhankelijk van uw plantype. Selecteer de relevante sectie hierna voor instructies:

Individueel PLATINA-plan

Een BAA-overeenkomst aangaan met SurveyMonkey:

  1. Klik in uw PLATINA-account op de gebruikersnaam die rechts boven in de hoek wordt weergegeven.
  2. Kies Mijn account.
  3. Klik in de HIPAA-sectie onder aan de pagina op de optie voor het aangaan van een BAA-overeenkomst.
  4. Controleer de BAA-overeenkomst.
  5. Vul het formulier in. Zorg ervoor dat de BAA-overeenkomst uitsluitend wordt geaccepteerd door iemand die bevoegd is om namens de organisatie een BAA-overeenkomst aan te gaan. Dit kan met zich meebrengen dat het veld Naam in het BAA-acceptatieformulier afwijkt van die van de accounthouder.
  6. Klik op Accepteren.

U kunt uw BAA-overeenkomst op elk gewenst moment weergeven via de pagina Mijn account.

PLATINA-team

Het is momenteel niet mogelijk om functies voor HIPAA-comformiteit in te schakelen voor een PLATINUM-team in uw account. Neem contact met ons op om uw mogelijkheden te bespreken.

ENTERPRISE-team

De primaire beheerder van een ENTERPRISE-team kan de functies voor HIPAA-comformiteit inschakelen voor zijn of haar team. Voor alle accounts in het team wordt HIPAA ingeschakeld. Dit betekent dat dergelijke accounts beschermde gezondheidsgegevens mogen verzamelen in hun enquêtes.

Het is niet mogelijk om functies voor HIPAA-comformiteit alleen in te schakelen voor enkele afzonderlijke accounts in een team. U kunt functies voor HIPAA-comformiteit uitsluitend inschakelen voor een geheel team.

Een BAA-overeenkomst aangaan met SurveyMonkey:

  1. Klik in uw primaire beheerdersaccount op de gebruikersnaam die rechts boven in de hoek wordt weergegeven.
  2. Kies Mijn team (of Mijn groep).
  3. Klik onder TEAMGEGEVENS op de optie voor het aangaan van een BAA-overeenkomst.
  4. Controleer de BAA-overeenkomst, vul het formulier in en klik op Accepteren.

Alle teamleden kunnen via de pagina Mijn account van hun account een kopie van deze BAA-overeenkomst weergeven.

Het inschakelen van functies voor HIPAA-comformiteit voor uw account of team kan niet ongedaan worden gemaakt. Als een account eenmaal voor HIPAA is ingeschakeld, kan deze niet meer worden omgezet naar een niet-HIPAA-account. Als de BAA-overeenkomst wordt beëindigd, moet uw account worden gesloten. Zie de sectie Downgraden hierna voor meer informatie.

Downgraden

Lees de algemene vragen hierna voor een beter inzicht in hoe het downgraden werkt voor accounts waarvoor HIPAA is ingeschakeld.

Kan ik mijn voor HIPAA ingeschakelde account of team downgraden naar een lager plantype?

Nee. Als u de functies voor HIPAA-comformiteit inschakelt voor uw PLATINA-plan of ENTERPRISE-team, is het niet mogelijk om dit ongedaan te maken.

Als u de functies voor HIPAA-comformiteit uit uw account wilt verwijderen of als u een lager plan wilt, moet u een nieuw account openen. Houd er rekening mee dat u enquêtes kunt overplaatsen van uw voor HIPAA ingeschakelde account naar een gewoon account. U moet echter bijzonder behoedzaam te werk gaan zodat u geen enquêtes overplaatst die beschermde gezondheidsgegevens bevatten (we staan gebruikers niet toe om beschermde gezondheidsgegevens op te slaan in gewone accounts, en gewone accounts worden niet gedekt door een BAA-overeenkomst).

Wat gebeurt er als ik mijn voor HIPAA ingeschakelde account of team niet verleng?

Als u besluit dat u SurveyMonkey niet meer nodig hebt en u uw voor HIPAA ingeschakelde account niet verlengt, wordt uw account opgeschort. Terwijl het account is opgeschort, bewaart SurveyMonkey alle gegevens in het account en blijft SurveyMonkey deze in overeenstemming met de BAA-overeenkomst behandelen. U hebt echter niet langer rechtstreeks toegang tot uw enquêtegegevens of account (behalve voor beperkte facturerings- en accountbeheerfuncties).

SurveyMonkey bewaart een opgeschort account gedurende de periode die wordt vermeld in de BAA-overeenkomst om u in de gelegenheid te stellen het opschorten op te heffen door te verlengen. Aan het einde van de opschortingsperiode sluit SurveyMonkey uw account en worden alle hierin opgenomen gegevens verwijderd.

Wanneer een account is opgeschort, kunt u contact met ons opnemen om een geëxporteerde kopie aan te vragen van al uw enquêtegegevens of om ons te vragen uw account onmiddellijk te sluiten.

Wat gebeurt er als ik mijn voor HIPAA ingeschakelde account sluit of als ik mijn BAA-overeenkomst beëindig?

Als u een voor HIPAA ingeschakeld account of team sluit, wordt de BAA-overeenkomst beëindigd.

Als u de BAA-overeenkomst beëindigt, wordt, conform de voorwaarden van de BAA-overeenkomst uw voor HIPAA ingeschakelde account of team gesloten. Onze standaard BAA-overeenkomst is zo opgesteld dat u altijd de mogelijkheid wordt geboden om een kopie van uw enquêtegegevens op te slaan voordat uw account wordt gesloten.

HIPAA-beveiligingstips

Als u eenmaal functies voor HIPAA-comformiteit hebt ingeschakeld voor uw account of team, moet u deze aanbevolen procedures volgen wanneer u bepaalde acties uitvoert om te helpen waarborgen dat u uw gegevens op een verantwoordelijke en veilige wijze behandelt.

Actie
HIPAA-beveiligingstips
Enquêteresultaten exporterenAls u enquêteresultaten downloadt naar uw eigen computer, zorg er dan voor dat de gedownloade bestanden op de juiste wijze worden behandeld omdat ze beschermde gezondheidsgegevens bevatten. Wij raden u aan die bestanden te beveiligen door ze te versleutelen en ze alleen met behulp van een versleutelde verbinding te verzenden.
Enquêtes delen met medewerkersAls u een enquête deelt met anderen, krijgen de gebruikers met wie u besluit samen te werken, toegang om die enquête weer te geven en te bewerken. Dit omvat tevens mogelijke reacties die u al verzameld hebt. Onthoud dat u deze functie moet gebruiken op een manier die overeenstemt met uw HIPAA-verplichtingen. Werk uitsluitend samen met mensen die gemachtigd zijn om aan die enquête te werken.
Een enquête overplaatsen naar een ander accountAls u een enquête moet verplaatsen aan een ander SurveyMonkey-account, moet u ervoor zorgen dat u zeker weet dat het ontvangende account toebehoort aan degene aan wie u het account wilt overdragen. Om een enquête door te geven moet u de gebruikersnaam van dat account nauwkeurig invullen. Het doorgeefproces kan niet ongedaan worden gemaakt zonder actie van de ontvangende accounthouder.

Als uw enquête beschermde gezondheidsgegevens bevat, is het uw verantwoordelijkheid om ervoor te zorgen dat dergelijke informatie uitsluitend wordt openbaar gemaakt aan een hiervoor geschikte ontvanger. Dit houdt in dat als u beschermde gezondheidsgegevens overplaatst naar een ander account, het van essentieel belang is dat het account ook geschikt is voor HIPAA.
Reacties verzamelenAls u in uw enquête beschermde gezondheidsgegevens verzamelt, raden wij u aan een verzamelprogramma webkoppeling te gebruiken. Bovendien moet u als u beschermde gezondheidsgegevens verzamelt in uw enquêtes of als u een voor HIPAA geschikt account hebt, altijd SSL-versleuteling aan hebben staan. SSL verbetert de beveiliging door enquêtes en enquêteresultaten te versleutelen.

Wij raden het gebruik van een verzamelprogramma voor e-mailuitnodigingen af. Verzamelprogramma's voor e-mailuitnodigingen sturen uitnodigingen via e-mail naar ontvangers met een unieke link naar een enquête die gekoppeld is aan het e-mailadres van de ontvanger. Als respondenten hun reacties kunnen bewerken, kan een ontvanger van een uitnodiging per e-mail een volledige enquête of een deel daarvan invullen en zijn/haar unieke link naar de enquête naar iemand anders sturen. Dit zou de tweede geadresseerde/ontvanger in staat kunnen stellen om de reacties die mogelijk beschermde gezondheidsinformatie van de allereerste geadresseerde/ontvanger bevatten, te bekijken.
Enquêteresultaten delenUw enquêteresultaten kunnen beschermde gezondheidsgegevens bevatten, dus onthoud dat u het delen van enquêteresultaten moet gebruiken op een manier die overeenstemt met uw HIPAA-verplichtingen. Maak resultaten uitsluitend openbaar aan ontvangers die hiervoor gemachtigd zijn.
De HIPAA is een Amerikaanse wet die het verzamelen en behandelen van beschermde gezondheidsgegevens regelt. Bepaalde organisaties, zogeheten betrokken rechtspersonen en hun zakenpartners moeten aan HIPAA voldoen. U kunt beschermde gezondheidsgegevens verzamelen in uw enquêtes als u HIPAA-functies inschakelt voor uw account of team.

Ontvang antwoorden