m

Conformidade com a norma HIPAA e a SurveyMonkey

A norma HIPAA se aplica a mim? Caso a sua empresa seja uma "entidade coberta" (conforme definição da HIPAA) e esteja usando a SurveyMonkey para coletar ou armazenar informações confidenciais relacionadas à saúde (qualquer informação relacionadas à condição de saúde, ao fornecimento de atendimento de saúde ou ao pagamento de plano de saúde que possa ser associada a um indivíduo específico, como dados de contato e/ou nome do indivíduo combinados a informações sobre o atendimento de saúde recebido pelo indivíduo), é provável que a norma HIPAA não se aplique ao seu uso da SurveyMonkey.

A Lei de Portabilidade e Responsabilidade dos Planos de Saúde (Health Insurance Portability and Accountability Act, HIPAA), de 1996, é uma lei dos Estados Unidos que regulamenta a coleta e o manuseio de informações protegidas de saúde (PHI, na sigla em inglês). Determinadas empresas denominadas "entidades cobertas" e suas associadas devem cumprir a norma HIPAA.

Para a SurveyMonkey, ser "compatível com a norma HIPAA" significa que prestamos um serviço que possibilita que entidades coletem e gerenciem PHI por meio de questionários em conformidade com a norma HIPAA. Como parte da oferta desse serviço, a SurveyMonkey garante que trabalha de forma consistente e compatível com essas leis e com a função da SurveyMonkey de associada comercial ao usuário de uma entidade coberta.

De acordo com nossos Termos de Uso, a SurveyMonkey só permite a coleta de PHI por entidades regulamentadas se ela for feita por uma "conta compatível com a norma HIPAA" com a vigência de um acordo de parceria comercial (BAA, na sigla em inglês). No entanto, a SurveyMonkey não exige que você tenha um BAA se não for regulamentado pela HIPAA com relação às PHIs coletadas nos questionários.

Recursos compatíveis com a norma HIPAA

Medidas de segurança da HIPAA empregadas pela SurveyMonkey

Conforme exigido pela norma HIPAA, implementamos proteções administrativas, físicas e técnicas que protegem a confidencialidade, integridade e disponibilidade das PHIs eletrônicas recebidas por nós de forma razoável e adequada. Também as mantemos e transmitimos em nome das entidades cobertas com relação às contas compatíveis com a norma HIPAA. Essas proteções incluem medidas exigidas pela Regra de segurança, como:

  • Avaliações regulares de risco de sistemas para garantir que as proteções continuam relevantes e efetivas
  • Equipe de segurança atribuída responsável pela manutenção da conformidade com os requisitos de segurança da HIPAA
  • Triagem, autorização e treinamento da equipe da SurveyMonkey com acesso a PHI do cliente
  • Planos de backup de dados
  • Planos de recuperação de dados
  • Monitoramento, atualizações e correções frequentes dos sistemas
  • Plano de resposta a incidentes com relatórios de incidentes de segurança às entidades cobertas afetadas
  • Todas as comunicações com os servidores da SurveyMonkey criptografados com SSL

Para obter mais informações, consulte nossa Declaração de segurança.

Lista de recursos

Ao ativar recursos compatíveis com a norma HIPAA, os recursos a seguir exigidos pela HIPAA são ativados na sua conta. Estes recursos ajudam entidades cobertas a cumprir suas próprias obrigações com a norma HIPAA:

  • Lembretes de segurança: Lembramos os usuários de suas obrigações com a HIPAA por meio de mensagens no produto exibidas sempre que qualquer operação confidencial for realizada em PHI (como exportar dados de questionário que podem ser compartilhados com terceiros).
  • Logoff automático: O tempo limite de inatividade de cada sessão é de 30 minutos.
  • Registro: Registramos as atividades de acesso à conta e as alterações feitas nela nos dados de questionários. Registramos uma variedade de eventos relacionados às contas compatíveis com a norma HIPAA por data/hora, identidade (endereço IP e/ou nome de usuário da conta) e tipo de evento. No momento, não é possível acessar esses registros pela sua conta. Fale conosco para solicitar registros.

Como habilitar recursos compatíveis com a norma HIPAA

A SurveyMonkey oferece um BAA padrão, que cumpre com os requisitos da norma HIPAA. Se você quiser habilitar os recursos de compatibilidade com a norma HIPAA em sua conta, preencha o formulário de BAA padrão e entre em contato conosco.

Se você já tiver assinado um BAA conosco, entre em contato para receber uma cópia do seu BAA.

Assim que uma conta se torna compatível com a norma HIPAA, a ação não pode ser desfeita. Se o BAA for rescindido, sua conta também será encerrada. Consulte a seção "Downgrades" abaixo para saber mais.

Downgrades

Leia as perguntas comuns abaixo para entender como os downgrades funcionam em contas compatíveis com a norma HIPAA.

Posso fazer downgrade da minha conta ou equipe compatível com a norma HIPAA para um tipo de plano inferior?

Não. Ao habilitar os recursos compatíveis com a norma HIPAA da sua conta ou equipe Enterprise, o status da conta não poderá ser revertido.

Caso você queira remover os recursos compatíveis com a norma HIPAA da sua conta ou queira um plano inferior, deverá abrir uma nova conta. É possível transferir questionários da sua conta compatível com a norma HIPAA para uma conta normal. No entanto, é preciso ter cuidado para não transferir questionários que contenham PHI. Não permitimos que os usuários armazenem PHI em contas normais, pois elas não são regidas pelo BAA.

O que acontece se eu não renovar minha conta ou equipe compatível com a norma HIPAA?

Se você decidir que não precisa mais usar a SurveyMonkey e não renovar sua conta compatível com a norma HIPAA, sua conta será colocada em estado suspenso. Enquanto estiver suspensa, a SurveyMonkey manterá todos os dados contidos na conta e continuará tratando ela de acordo com o BAA. No entanto, não será possível acessar seus dados de questionários ou sua conta diretamente (exceto funções limitadas e cobrança e administração da conta).

A SurveyMonkey mantém contas suspensas por um período, a fim de que você tenha a chance de cancelar a suspensão renovando seu plano. Caso sua conta esteja suspensa e você precisar acessar seus dados ou quiser encerrar a conta, entre em contato conosco. No fim do período de suspensão, a SurveyMonkey encerrará sua conta e excluirá todos os dados contidos nela.

O que acontece se eu encerrar minha conta compatível com a norma HIPAA ou rescindir meu BAA?

Se você encerrar sua conta ou equipe compatível com a norma HIPAA, o BAA será rescindido.

Se você rescindir o BAA, sua conta ou equipe compatível com a norma HIPAA será encerrada, sujeito aos termos do BAA. A SurveyMonkey sempre oferece a você a opção de salvar uma cópia dos seus dados de questionários antes do encerramento da conta.

Dicas de segurança da norma HIPAA

Ao habilitar os recursos compatíveis com a norma HIPAA da sua conta ou equipe, siga essas práticas recomendadas ao realizar determinadas ações para ajudar a garantir que você esteja lidando com seus dados com responsabilidade e segurança.

Ação
Dicas de segurança da norma HIPAA
Como exportar resultados de questionáriosSe você fizer download dos resultados de um questionário no computador, use-os adequadamente, pois os arquivos baixados contêm PHI. Sugerimos que você proteja esses arquivos com criptografia e apenas os transfira usando uma conexão criptografada.
Como compartilhar questionários com colaboradoresQuando você compartilha um questionário com outras pessoas, os usuários com quem você decidiu colaborar têm acesso para visualizar e editar o questionário, inclusive as respostas coletadas. Lembre-se de usar esse recurso de maneira condizente com a norma HIPAA. Colabore apenas com pessoas autorizadas para trabalharem com o questionário.
Como transferir um questionário para outra contaSe você precisar transferir um questionário para outra conta da SurveyMonkey, certifique-se de que a conta receptora seja a conta correta para a qual você deseja fazer a transferência. Para transferir um questionário, você precisa inserir o nome de usuário exato da conta. O processo de transferência só pode ser desfeito pelo titular da conta receptora.

Caso seu questionário tenha PHI, é sua responsabilidade certificar-se de que essas informações sejam reveladas apenas para o destinatário adequado. Isso significa que, se você transferir PHI para outra conta, é essencial que essa conta também esteja em conformidade com a HIPAA.
Como coletar respostasSe você coletar PHI em seu questionário, use um Coletor de link. Além disso, se você estiver coletando PHI em seus questionários ou tiver uma conta em conformidade com a norma HIPAA, sempre tenha uma criptografia SSL ativada. O SSL melhora a segurança criptografando os questionários e os resultados deles.

Não recomendamos o uso de um Coletor de convite por email. Os Coletores de convite por email enviam convites de questionários por email aos destinatários com um link único vinculado ao endereço de email de cada um deles. Se o respondente puder editar as respostas, o destinatário de um convite por email pode preencher todo o questionário ou parte dele e encaminhar o link único para outra pessoa. Isso permite que o segundo destinatário visualize as respostas do primeiro, que podem conter informações confidenciais de saúde.
Como compartilhar resultados de questionáriosOs resultados do seu questionário podem conter PHI. Por isso, lembre-se de apenas compartilhar os resultados do questionário de maneira condizente com a norma HIPAA. Divulgue os resultados apenas para destinatários autorizados.
A HIPAA é uma lei dos Estados Unidos que regulamenta a coleta e o manuseio de informações protegidas de saúde (PHI, na sigla em inglês). Determinadas empresas denominadas "entidades cobertas" e suas associadas devem cumprir a norma HIPAA. É possível coletar PHI habilitando os recursos compatíveis com a norma HIPAA da sua conta ou equipe.

Obtenha respostas