Conformidade com a norma HIPAA e a SurveyMonkey
A Lei de Portabilidade e Responsabilidade dos Planos de Saúde (Health Insurance Portability and Accountability Act, HIPAA), de 1996, é uma lei dos Estados Unidos que regulamenta a coleta e o manuseio de informações protegidas de saúde (PHI, na sigla em inglês). Determinadas empresas denominadas "entidades cobertas" e suas associadas devem cumprir a norma HIPAA.
Para a SurveyMonkey, ser "compatível com a norma HIPAA" significa que prestamos um serviço que possibilita que entidades coletem e gerenciem PHI por meio de questionários em conformidade com a norma HIPAA. Como parte da oferta desse serviço, a SurveyMonkey garante que trabalha de forma consistente e compatível com essas leis e com a função da SurveyMonkey de associada comercial ao usuário de uma entidade coberta.
De acordo com nossos Termos de Uso, a SurveyMonkey só permite a coleta de PHI por entidades regulamentadas se ela for feita por uma "conta compatível com a norma HIPAA" com a vigência de um acordo de parceria comercial (BAA, na sigla em inglês). No entanto, a SurveyMonkey não exige que você tenha um BAA se não for regulamentado pela HIPAA com relação às PHIs coletadas nos questionários.
Recursos compatíveis com a norma HIPAA
Conforme exigido pela norma HIPAA, implementamos proteções administrativas, físicas e técnicas que protegem a confidencialidade, integridade e disponibilidade das PHIs eletrônicas recebidas por nós de forma razoável e adequada. Também as mantemos e transmitimos em nome das entidades cobertas com relação às contas compatíveis com a norma HIPAA. Essas proteções incluem medidas exigidas pela Regra de segurança, como:
- Avaliações regulares de risco de sistemas para garantir que as proteções continuam relevantes e efetivas
- Equipe de segurança atribuída responsável pela manutenção da conformidade com os requisitos de segurança da HIPAA
- Triagem, autorização e treinamento da equipe da SurveyMonkey com acesso a PHI do cliente
- Planos de backup de dados
- Planos de recuperação de dados
- Monitoramento, atualizações e correções frequentes dos sistemas
- Plano de resposta a incidentes com relatórios de incidentes de segurança às entidades cobertas afetadas
- Todas as comunicações com os servidores da SurveyMonkey criptografados com SSL
Para obter mais informações, consulte nossa Declaração de segurança.
Ao ativar recursos compatíveis com a norma HIPAA, os recursos a seguir exigidos pela HIPAA são ativados na sua conta. Estes recursos ajudam entidades cobertas a cumprir suas próprias obrigações com a norma HIPAA:
- Lembretes de segurança: Lembramos os usuários de suas obrigações com a HIPAA por meio de mensagens no produto exibidas sempre que qualquer operação confidencial for realizada em PHI (como exportar dados de questionário que podem ser compartilhados com terceiros).
- Logoff automático: O tempo limite de inatividade de cada sessão é de 30 minutos.
- Registro: Registramos as atividades de acesso à conta e as alterações feitas nela nos dados de questionários. Registramos uma variedade de eventos relacionados às contas compatíveis com a norma HIPAA por data/hora, identidade (endereço IP e/ou nome de usuário da conta) e tipo de evento. No momento, não é possível acessar esses registros pela sua conta. Fale conosco para solicitar registros.
Como habilitar recursos compatíveis com a norma HIPAA
A SurveyMonkey oferece um BAA padrão, que cumpre com os requisitos da norma HIPAA. Se você quiser habilitar os recursos de compatibilidade com a norma HIPAA em sua conta, preencha o formulário de BAA padrão e entre em contato conosco.
Se você já tiver assinado um BAA conosco, entre em contato para receber uma cópia do seu BAA.
Assim que uma conta se torna compatível com a norma HIPAA, a ação não pode ser desfeita. Se o BAA for rescindido, sua conta também será encerrada. Consulte a seção "Downgrades" abaixo para saber mais.
Downgrades
Leia as perguntas comuns abaixo para entender como os downgrades funcionam em contas compatíveis com a norma HIPAA.
Não. Ao habilitar os recursos compatíveis com a norma HIPAA da sua conta ou equipe Enterprise, o status da conta não poderá ser revertido.
Caso você queira remover os recursos compatíveis com a norma HIPAA da sua conta ou queira um plano inferior, deverá abrir uma nova conta. É possível transferir questionários da sua conta compatível com a norma HIPAA para uma conta normal. No entanto, é preciso ter cuidado para não transferir questionários que contenham PHI. Não permitimos que os usuários armazenem PHI em contas normais, pois elas não são regidas pelo BAA.
Se você decidir que não precisa mais usar a SurveyMonkey e não renovar sua conta compatível com a norma HIPAA, sua conta será colocada em estado suspenso. Enquanto estiver suspensa, a SurveyMonkey manterá todos os dados contidos na conta e continuará tratando ela de acordo com o BAA. No entanto, não será possível acessar seus dados de questionários ou sua conta diretamente (exceto funções limitadas e cobrança e administração da conta).
A SurveyMonkey mantém contas suspensas por um período, a fim de que você tenha a chance de cancelar a suspensão renovando seu plano. Caso sua conta esteja suspensa e você precisar acessar seus dados ou quiser encerrar a conta, entre em contato conosco. No fim do período de suspensão, a SurveyMonkey encerrará sua conta e excluirá todos os dados contidos nela.
Se você encerrar sua conta ou equipe compatível com a norma HIPAA, o BAA será rescindido.
Se você rescindir o BAA, sua conta ou equipe compatível com a norma HIPAA será encerrada, sujeito aos termos do BAA. A SurveyMonkey sempre oferece a você a opção de salvar uma cópia dos seus dados de questionários antes do encerramento da conta.
Dicas de segurança da norma HIPAA
Ao habilitar os recursos compatíveis com a norma HIPAA da sua conta ou equipe, siga essas práticas recomendadas ao realizar determinadas ações para ajudar a garantir que você esteja lidando com seus dados com responsabilidade e segurança.
|
Ação
|
Dicas de segurança da norma HIPAA
|
|---|---|
| Como exportar resultados de questionários | Se você fizer download dos resultados de um questionário no computador, use-os adequadamente, pois os arquivos baixados contêm PHI. Sugerimos que você proteja esses arquivos com criptografia e apenas os transfira usando uma conexão criptografada. |
| Como compartilhar questionários com colaboradores | Quando você compartilha um questionário com outras pessoas, os usuários com quem você decidiu colaborar têm acesso para visualizar e editar o questionário, inclusive as respostas coletadas. Lembre-se de usar esse recurso de maneira condizente com a norma HIPAA. Colabore apenas com pessoas autorizadas para trabalharem com o questionário. |
| Como transferir um questionário para outra conta | Se você precisar transferir um questionário para outra conta da SurveyMonkey, certifique-se de que a conta receptora seja a conta correta para a qual você deseja fazer a transferência. Para transferir um questionário, você precisa inserir o nome de usuário exato da conta. O processo de transferência só pode ser desfeito pelo titular da conta receptora. Caso seu questionário tenha PHI, é sua responsabilidade certificar-se de que essas informações sejam reveladas apenas para o destinatário adequado. Isso significa que, se você transferir PHI para outra conta, é essencial que essa conta também esteja em conformidade com a HIPAA. |
| Como coletar respostas | Se você coletar PHI em seu questionário, use um Coletor de link. Além disso, se você estiver coletando PHI em seus questionários ou tiver uma conta em conformidade com a norma HIPAA, sempre tenha uma criptografia SSL ativada. O SSL melhora a segurança criptografando os questionários e os resultados deles. Não recomendamos o uso de um Coletor de convite por email. Os Coletores de convite por email enviam convites de questionários por email aos destinatários com um link único vinculado ao endereço de email de cada um deles. Se o respondente puder editar as respostas, o destinatário de um convite por email pode preencher todo o questionário ou parte dele e encaminhar o link único para outra pessoa. Isso permite que o segundo destinatário visualize as respostas do primeiro, que podem conter informações confidenciais de saúde. |
| Como compartilhar resultados de questionários | Os resultados do seu questionário podem conter PHI. Por isso, lembre-se de apenas compartilhar os resultados do questionário de maneira condizente com a norma HIPAA. Divulgue os resultados apenas para destinatários autorizados. |
Obtenha respostas
Comece a tomar decisões melhores com a plataforma líder de questionários e pesquisas do mundo.
Fazer loginVocê já tem uma conta? Inscreva-se para ter um suporte mais rápido.