m

Conformidade com a norma HIPAA e a SurveyMonkey

A norma HIPAA se aplica a mim? Se sua empresa for uma "entidade coberta" (conforme definição da HIPAA) e estiver usando a SurveyMonkey para coletar ou armazenar informações confidenciais relacionadas a saúde (qualquer informação relacionadas à condição de saúde, ao fornecimento de atendimento de saúde ou ao pagamento de plano de saúde que possa ser associada a um indivíduo específico, como dados de contato e/ou nome do indivíduo combinados a informações sobre o atendimento de saúde recebido pelo indivíduo), é provável que a norma HIPAA não se aplique ao seu uso da SurveyMonkey.

A Lei de Portabilidade e Responsabilidade dos Planos de Saúde (Health Insurance Portability and Accountability Act, HIPAA), de 1996, é uma lei dos Estados Unidos que regulamenta a coleta e o manuseio de "informações confidenciais relacionadas a saúde". Determinadas empresas denominadas "entidades cobertas" e suas associadas devem cumprir a norma HIPAA.

Para a SurveyMonkey, ser "compatível com a norma HIPAA" significa que prestamos um serviço que possibilita que entidades coletem e gerenciem informações confidenciais relacionadas a saúde por meio de questionários em conformidade com a norma HIPAA. Como parte da oferta desse serviço, a SurveyMonkey garante que trabalha de forma consistente e compatível com essas leis e com a função da SurveyMonkey de associada comercial ao usuário de uma entidade coberta.

Para habilitar os recursos compatíveis com a norma HIPAA da sua conta ou equipe, é necessário firmar um contrato de associado comercial (BAA) com a SurveyMonkey. De acordo com nossos Termos de Uso, a SurveyMonkey só permite a coleta de informações confidenciais relacionadas a saúde por entidades regulamentadas se ela for feita por uma "conta compatível com a norma HIPAA" com a vigência de um contrato de associado comercial (BAA). No entanto, a SurveyMonkey não exige que você tenha um BAA se não for regulamentado pela HIPAA com relação às informações confidenciais relacionadas a saúde coletadas nos questionários.

Recursos compatíveis com a norma HIPAA

Contrato de associado comercial da SurveyMonkey

A SurveyMonkey oferece um formulário padrão de BAA que cumpre os requisitos da HIPAA e permite que entidades cobertas celebrem-no na sua conta da SurveyMonkey. Quando uma entidade coberta aceita o BAA, o nome e o cargo do indivíduo que assina em nome da entidade é registrado, além da data de aceitação. Uma cópia do BAA é disponibilizada para download ou referência futura na página "Minha conta". Mediante aceitação do BAA, a conta passará a ser compatível com a norma HIPAA.

Reconhecemos que algumas entidades cobertas têm determinados itens que precisam ser incluídos nos BAAs celebrados com suas associadas. Devido ao fato de que oferecemos contas compatíveis com a norma HIPAA sem nenhum custo adicional, não negociamos formulários de clientes de BAAs. No entanto, estamos abertos a negociação do nosso BAA padrão mediante o pagamento de uma taxa.

Se você tiver interesse em negociar um BAA personalizado, preencha este formulário: Negociar um contrato de associado comercial

Medidas de segurança da HIPAA empregadas pela SurveyMonkey

Conforme exigido pela HIPAA, implementamos proteções administrativas, físicas e técnicas que protegem a confidencialidade, integridade e disponibilidade das informações eletrônicas de saúde protegidas recebidas por nós de forma razoável e adequada. Também as mantemos e transmitimos em nome das entidades cobertas com relação às contas compatíveis com a norma HIPAA. Essas proteções incluem medidas exigidas pela Regra de segurança, como:

  • Avaliações regulares de risco de sistemas para garantir que as proteções continuam relevantes e efetivas
  • Equipe de segurança atribuída responsável pela manutenção da conformidade com os requisitos de segurança da HIPAA
  • Triagem, autorização e treinamento da equipe da SurveyMonkey com acesso a informações confidenciais relacionadas a saúde do cliente
  • Planos de backup de dados
  • Planos de recuperação de dados
  • Monitoramento, atualizações e correções frequentes dos sistemas
  • Plano de resposta a incidentes com relatórios de incidentes de segurança às entidades cobertas afetadas
  • Todas as comunicações com os servidores da SurveyMonkey criptografados com SSL

Para obter mais informações, consulte nossa Declaração de segurança.

Lista de recursos

Ao ativar recursos compatíveis com a norma HIPAA, os recursos a seguir exigidos pela HIPAA são ativados na sua conta. Estes recursos ajudam entidades cobertas a cumprir suas próprias obrigações com a norma HIPAA:

  • Lembretes de segurança: Lembramos os usuários de suas obrigações com a HIPAA por meio de mensagens no produto exibidas sempre que qualquer operação confidencial for realizada em informações confidenciais relacionadas a saúde (como exportar dados de questionário que podem ser compartilhados com terceiros).
  • Logoff automático: Definimos o tempo limite de cada sessão para 30 minutos de inatividade.
  • BAA: Consulte uma cópia do seu BAA na sua conta a qualquer momento.
  • Registro: Fornecemos um registro avançado de atividade de acesso à conta e de modificações em dados de questionários. Registramos uma variedade de eventos relacionados às contas compatíveis com a norma HIPAA por data/hora, identidade (endereço IP e/ou nome de usuário da conta) e tipo de evento. Os tipos de evento que registramos incluem:
    • Logins e falhas no login da conta
    • Logouts manuais da conta
    • Solicitações de redefinição de senha da conta
    • Solicitações de nome de usuário da conta
    • Exclusões, aberturas e encerramentos de coletores
    • Exportações de respostas de questionários
    • Compartilhamento e cancelamentos de compartilhamento de respostas de questionários
    • Exclusões de respostas de questionários
    • Autorizações e cancelamentos de autorização de aplicativos de API
    • Como transferir um questionário para outra conta
    • Se o usuário ou um administrador da SurveyMonkey executou um evento

No momento, não é possível acessar esses registros pela sua conta online. Fale conosco para solicitar registros.

Como habilitar recursos compatíveis com a norma HIPAA

É possível habilitar recursos compatíveis com a norma HIPAA em um plano PLATINUM individual ou em uma equipe ENTERPRISE firmando um BAA com a SurveyMonkey.

As etapas para firmar um BAA variam de acordo com o tipo do seu plano. Selecione a seção relevante abaixo para obter instruções:

Plano PLATINUM individual

Para firmar um BAA com a SurveyMonkey:

  1. Na sua conta PLATINUM, clique no seu nome de usuário, no canto superior direito.
  2. Selecione Minha conta.
  3. Na seção "HIPAAA", na parte inferior da página, clique em Assinar um BAA.
  4. Leia o BAA.
  5. Preencha o formulário. O BAA só pode ser assinado por alguém autorizado da empresa. Isso significa que o campo "Nome" do formulário de aceitação do BAA deverá conter o nome de alguém diferente do titular da conta.
  6. Clique em Aceitar.

É possível consultar seu BAA a qualquer momento na página "Minha conta".

Equipe PLATINUM

No momento, não é possível habilitar recursos compatíveis com a norma HIPAA em uma equipe PLATINUM da sua conta. Fale conosco para saber quais são suas opções.

Equipe ENTERPRISE

O administrador principal de uma equipe ENTERPRISE pode habilitar recursos compatíveis com a norma HIPAA para sua equipe. Todas as contas da equipe serão compatíveis com a norma HIPAA, ou seja, todas elas podem coletar informações confidenciais relacionadas a saúde nos questionários.

Não é possível habilitar recursos compatíveis com a norma HIPAA em apenas algumas contas individuais de uma equipe. Só é possível habilitar recursos compatíveis com a norma HIPAA em toda a equipe.

Para firmar um BAA com a SurveyMonkey:

  1. Na sua conta de administrador principal, clique no seu nome de usuário, no canto superior direito.
  2. Selecione Minha equipe (ou "Meu grupo").
  3. Em DETALHES DA EQUIPE, clique em Assinar um BAA.
  4. Leia o BAA, preencha o formulário e clique em Aceitar.

Todos os membros da equipe terão uma cópia do BAA na página "Minha conta".

A habilitação de recursos compatíveis com a norma HIPAA da sua conta ou equipe não pode ser cancelada. Assim que uma conta se torna compatível com a norma HIPAA, a ação não pode ser desfeita. Se o BAA for rescindido, sua conta também precisará ser encerrada. Consulte a seção "Downgrades" abaixo para saber mais.

Downgrades

Leia as perguntas comuns abaixo para entender como os downgrades funcionam em contas compatíveis com a norma HIPAA.

Posso fazer downgrade da minha conta ou equipe compatível com a norma HIPAA para um tipo de plano inferior?

Não. Ao habilitar os recursos compatíveis com a norma HIPAA do seu plano PLATINUM ou equipe ENTERPRISE, ele não poderá ser revertido para uma conta normal.

Caso você queira remover os recursos compatíveis com a norma HIPAA da sua conta ou queira um plano inferior, deverá abrir uma nova conta. É possível transferir questionários da sua conta compatível com a norma HIPAA para uma conta normal. No entanto, é preciso ter cuidado para não transferir questionários que contenham informações confidenciais relacionadas a saúde. Não permitimos que os usuários armazenem informações confidenciais relacionadas a saúde em contas normais, pois elas não são regidas pelo BAA.

O que acontece se eu não renovar minha conta ou equipe compatível com a norma HIPAA?

Se você decidir que não precisa mais usar a SurveyMonkey e não renovar sua conta compatível com a norma HIPAA, sua conta será colocada em estado suspenso. Enquanto estiver suspensa, a SurveyMonkey manterá todos os dados contidos na conta e continuará tratando ela de acordo com o BAA. No entanto, não será possível acessar seus dados de questionários ou sua conta diretamente (exceto funções limitadas e cobrança e administração da conta).

A SurveyMonkey manterá uma conta suspensa pelo período determinado no BAA, a fim de que você tenha a chance de cancelar a suspensão renovando seu plano. No fim do período de suspensão, a SurveyMonkey encerrará sua conta e excluirá todos os dados contidos nela.

Durante a suspensão da conta, fale conosco para solicitar uma cópia exportada de todos os seus dados de questionários ou o encerramento imediato dela.

O que acontece se eu encerrar minha conta compatível com a norma HIPAA ou rescindir meu BAA?

Se você encerrar sua conta ou equipe compatível com a norma HIPAA, o BAA será rescindido.

Se você rescindir o BAA, sua conta ou equipe compatível com a norma HIPAA será encerrada, sujeito aos termos do BAA. Nosso BAA padrão foi elaborado de forma a sempre oferecer a você a chance de salvar uma cópia dos seus dados de questionários antes do encerramento da conta.

Dicas de segurança da norma HIPAA

Ao habilitar os recursos compatíveis com a norma HIPAA da sua conta ou equipe, siga essas práticas recomendadas ao realizar determinadas ações para ajudar a garantir que você esteja lidando com seus dados com responsabilidade e segurança.

Ação
Dicas de segurança da norma HIPAA
Como exportar resultados de questionáriosSe você baixar os resultados de um questionário no computador, pedimos que use-os adequadamente, já que os arquivos baixados contêm informações confidenciais de saúde. Sugerimos que você proteja esses arquivos com criptografia e apenas os transfira usando uma conexão criptografada.
Como compartilhar questionários com colaboradoresQuando você compartilha um questionário com outras pessoas, os usuários com quem você decidiu colaborar têm acesso para visualizar e editar o questionário, inclusive as respostas coletadas. Lembre-se de usar esse recurso de maneira condizente com a norma HIPAA. Colabore apenas com pessoas autorizadas para trabalharem com o questionário.
Como transferir um questionário para outra contaSe você precisar transferir um questionário para outra conta da SurveyMonkey, certifique-se de que a conta receptora seja a conta correta para a qual você deseja fazer a transferência. Para transferir um questionário, você precisa inserir o nome de usuário exato da conta. O processo de transferência só pode ser desfeito pelo titular da conta receptora.

Se seu questionário tiver informações confidenciais de saúde, é sua responsabilidade certificar-se de que essas informações sejam reveladas apenas para um destinatário adequado. Isso significa que, se você transferir informações confidenciais de saúde para outra conta, é essencial que essa conta também esteja em conformidade com a HIPAA.
Como coletar respostasSe você coletar informações confidenciais de saúde em seu questionário, recomendamos que você use um Coletor de link da web. Além disso, se você estiver coletando informações confidenciais de saúde em seus questionários ou tiver uma conta em conformidade com a norma HIPAA, recomendamos que sempre tenha uma criptografia SSL ativada. O SSL melhora a segurança criptografando os questionários e os resultados deles.

Não recomendamos o uso de um Coletor de convite por email. Os Coletores de convite por email enviam convites de questionários por email aos destinatários com um link único vinculado ao endereço de email de cada um deles. Se o respondente puder editar as respostas, o destinatário de um convite por email pode preencher todo o questionário ou parte dele e encaminhar o link único para outra pessoa. Isso permite que o segundo destinatário visualize as respostas do primeiro, que podem conter informações confidenciais de saúde.
Como compartilhar resultados de questionáriosOs resultados do seu questionário podem conter informações confidenciais de saúde. Por isso, lembre-se de apenas compartilhar os resultados do questionário de maneira condizente com a norma HIPAA. Divulgue os resultados apenas para destinatários autorizados.
A HIPAA é uma lei dos Estados Unidos que regulamenta a coleta e o manuseio de "informações confidenciais relacionadas a saúde". Determinadas empresas denominadas "entidades cobertas" e suas associadas devem cumprir a norma HIPAA. É possível coletar informações confidenciais relacionadas a saúde habilitando os recursos compatíveis com a norma HIPAA da sua conta ou equipe.

Obtenha respostas