Соответствие HIPAA и SurveyMonkey

Касается ли меня HIPAA? Если Вы представляете «защищенный субъект» (covered entity), по определению HIPAA, и используете SurveyMonkey для сбора или хранения защищенной информации о здоровье (Protected Health Information, PHI) — любую информацию о состоянии здоровья, предоставлении медицинской помощи или ее оплате, которая может быть связана с конкретным лицом, например, его имя и/или контактные данные вместе с информацией о медицинской помощи, которую получило это лицо, то вероятно, HIPAA регулирует использование вами SurveyMonkey.

Закон 1996 г. о преемственности и подотчетности медицинского страхования (HIPAA) — это закон США, регулирующий сбор и обработку «защищенной информации о здоровье» (PHI). Определенные организации, называемые «защищенными субъектами», и их деловые партнеры обязаны выполнять требования HIPAA.

Для SurveyMonkey "поддержка HIPAA" означает, что предлагаемые нами услуги позволяют защищенным субъектам проводить сбор и обработку PHI в ходе опросов с соблюдением требований HIPAA. В рамках этих услуг SurveyMonkey заверяет, что все наши действия проводятся согласованно и в соответствии с этим законом, и что мы выступаем как деловой партнер пользователя-защищенного субъекта.

Для включения поддержки HIPAA в Вашей учетной записи или рабочей группе Вы должны заключить с SurveyMonkey соглашение о деловом сотрудничестве (BAA). Согласно нашим Условиям использования, SurveyMonkey разрешает сбор PHI субъектами, регулируемыми этим законом, только через «учетную запись с поддержкой HIPAA» при наличии соглашения о деловом сотрудничестве (BAA). В то же время SurveyMonkey не требует заключения BAA, если Ваша организация не подпадает под действие HIPAA в отношении сбора PHI в Ваших опросах.

Функции соответствия HIPAA

Соглашение с SurveyMonkey о деловом сотрудничестве

SurveyMonkey предлагает стандартную форму BAA, которая соответствует требованиям HIPAA и позволяет защищенным субъектам заключать соглашение в своей учетной записи SurveyMonkey. Когда защищенный субъект заключает BAA, регистрируются фамилия и должность лица, подписывающего соглашение от имени субъекта, а также дата заключения соглашения. Затем копия BAA предлагается на странице «Моя учетная запись» для загрузки или для справок в будущем. После заключения ВАА учетная запись преобразуется в учетную запись с поддержкой HIPAA.

Мы признаем, что некоторым защищенным субъектам необходимо включать в BAA с деловыми партнерами определенные нестандартные положения. В связи с тем, что мы предлагаем учетные записи с поддержкой HIPAA бесплатно, стандартная форма BAA не подлежит изменению. Однако мы можем адаптировать стандартное соглашение BAA к Вашим требованиям за дополнительную плату.

Если Вы заинтересованы в доработке типового BAA, заполните данную форму: Доработка соглашения о деловом сотрудничестве

Меры безопасности HIPAA, реализуемые в SurveyMonkey

Как того требует HIPAA, мы реализуем административные, физические и технические меры, которые разумно и надлежащим образом защищают конфиденциальность, целостность и доступность закрытой медицинской информации в электронном виде, которую мы получаем, храним и передаем от имени защищенных субъектов в отношении их учетные записей с поддержкой HIPAA. В состав этих защитных мер входят мероприятия, требуемые правилами обеспечения безопасности, в частности:

  • Регулярное проведение оценки риска систем для проверки актуальности и эффективности защитных мер.
  • Специально назначенная группа безопасности, которая отвечает за обеспечение соответствия требованиям безопасности HIPAA.
  • Подбор, допуск и обучение персонала SurveyMonkey, который имеет дело с PHI клиентов.
  • Планирование резервного копирования данных.
  • Планирование мероприятий аварийного восстановления.
  • Регулярный контроль, обновление и исправление систем.
  • План реагирования на происшествия, который предусматривает информирование защищенных субъектов, которых это касается, о случаях нарушения безопасности.
  • Обмен любыми данными с серверами SurveyMonkey защищается шифрованием с помощью SSL.

Дополнительную информацию можно найти в нашем Заявлении о безопасности.

Список функций

После включения поддержки HIPAA в Вашей учетной записи активируются следующие функции, требуемые положениями HIPAA. Эти функции помогают защищенным субъектам выполнять их обязательства согласно HIPAA:

  • Напоминания о безопасности. Мы напоминаем пользователям об их обязательствах согласно HIPAA с помощью сообщений, которые появляются, когда пользователь выполняет в системе определенные потенциально опасные действия с PHI (например, экспорт данных опроса, которые могут попасть к посторонним лицам).
  • Автоматический выход из системы. Мы завершаем сеансы пользователей, если они бездействовали больше 30 минут.
  • BAA. Вы можете в любое время просмотреть копию своего соглашения BAA.
  • Ведение журнала. Все операции доступа к учетной записи и внесения изменений в данные опроса регистрируются в журнале. Для разнообразных событий, связанных с учетными записями с поддержкой HIPAA, в журнал записываются метка времени, идентификация (IP-адрес и (или) имя пользователя учетной записи) и тип события. Регистрируются следующие события:
    • Успешные и неудачные попытки входа в учетную запись
    • Выход из учетной записи вручную
    • Запросы на сброс пароля учетной записи
    • Запросы на имя пользователя учетной записи
    • Удаление, открытие и закрытие коллекторов
    • Экспорт ответов на опрос
    • Открытие и закрытие совместного доступа к ответам на опрос
    • Удаление ответов на опрос
    • Авторизация и деавторизация приложений API
    • Передача опросов в другие учетные записи
    • Кто инициировал событие — пользователь или администратор SurveyMonkey

На данный момент мы не предоставляем доступа к журналам через учетные записи пользователей. Чтобы запросить доступ к журналу, обратитесь к нам.

Включение функций соответствия HIPAA

Вы можете включить поддержку HIPAA для индивидуального тарифного плана PLATINUM или рабочей группы ENTERPRISE, заключив с SurveyMonkey соглашение BAA.

Процедура заключения BAA зависит от типа Вашего тарифного плана. Выберите ниже раздел, соответствующий Вашему плану:

Индивидуальный тарифный план PLATINUM

Как заключить соглашение BAA с SurveyMonkey:

  1. В учетной записи PLATINUM щелкните Ваше имя пользователя в верхнем правом углу.
  2. Выберите пункт Моя учетная запись.
  3. В разделе «HIPAA» внизу страницы щелкните пункт Заключить соглашение BAA.
  4. Прочитайте текст BAA.
  5. Заполните форму. Удостоверьтесь, что соглашение подписывает лицо, которое имеет право заключать BAA от имени своей организации. Это может означать, что в поле «Имя» формы заключения BAA должно стоять имя лица, которое не является владельцем учетной записи.
  6. Нажмите кнопку Принять.

Просмотреть BAA можно в любое время на странице «Моя учетная запись».

Рабочая группа PLATINUM

На данный момент нет возможности активировать поддержку HIPAA для рабочей группы PLATINUM через Вашу учетную запись. Чтобы узнать о возможных способах активации, обратитесь к нам.

Рабочая группа ENTERPRISE

Основной администратор рабочей группы ENTERPRISE может включить поддержку HIPAA для своей учетной записи. При этом все учетные записи рабочей группы становятся совместимыми с HIPAA, то есть им разрешается собирать PHI в своих опросах.

Включить поддержку HIPAA для одной или нескольких определенных учетных записей в рабочей группе невозможно. Поддержка HIPAA включается во всей рабочей группе сразу.

Как заключить соглашение BAA с SurveyMonkey:

  1. В учетной записи основного администратора щелкните Ваше имя пользователя в верхнем правом углу.
  2. Выберите пункт Моя рабочая группа (или «Моя группа»).
  3. В разделе «СВЕДЕНИЯ О РАБОЧЕЙ ГРУППЕ» щелкните Заключить соглашение BAA.
  4. Прочитайте текст BAA, заполните форму и нажмите кнопку Принять.

Все члены рабочей группы смогут посмотреть копию этого соглашения BAA на своих страницах «Моя учетная запись».

Включение поддержки HIPAA в Вашей учетной записи — это необратимый процесс. После того, как поддержка HIPAA включена, отключить ее нельзя. В случае расторжения BAA Вашу учетную запись также будет необходимо закрыть. Более подробно читайте в следующем разделе «Переход на тарифный план нижнего уровня».

Переход на тарифный план нижнего уровня

Ниже приведены типичные вопросы о переходе на тарифный план нижнего уровня для учетных записей с поддержкой HIPAA.

Можно ли перевести мою учетную запись или рабочую группу с поддержкой HIPAA на тарифный план нижнего уровня?

Нет. После включения поддержки HIPAA в Вашем тарифном плане PLATINUM или рабочей группе ENTERPRISE их уже нельзя вернуть к исходному состоянию без функций HIPAA.

Если Вы хотите убрать функции соответствия HIPAA из своей учетной записи или выбрать тарифный план нижнего уровня, следует открыть новую учетную запись. Помните, что Вы можете переносить опросы из учетной записи с поддержкой HIPAA в обычную учетную запись, но старайтесь не допустить переноса опросов, которые содержат PHI (мы не разрешаем пользователям хранить PHI в обычных учетных записях, и такие учетные записи не подпадают под действие BAA).

Что будет, если не продлить действие учетной записи или группы с поддержкой HIPAA?

Если Вы больше не хотите использовать SurveyMonkey и не продлеваете свою учетную запись с поддержкой HIPAA, действие Вашей учетной записи будет приостановлено. В приостановленном состоянии SurveyMonkey сохраняет все данные учетной записи и обращается с ней в соответствии с BAA. Однако при этом у Вас нет прямого доступа к данным опросов или учетной записи (за исключением ограниченного числа функций управления оплатой и учетной записью).

SurveyMonkey сохраняет приостановленную учетную запись в течение срока, указанного в соглашении BAA, чтобы дать Вам возможность вновь активировать учетную запись, продлив ее. По завершении периода приостановки SurveyMonkey закроет учетную запись и удалит все данные в ней.

Когда учетная запись приостановлена, Вы можете также обратиться к нам и заказать экспортированную копию всех данных Ваших опросов или попросить немедленно закрыть Вашу учетную запись.

Что будет, если закрыть учетную запись с поддержкой HIPAA или расторгнуть BAA?

Если Вы закроете свою учетную запись или рабочую группу с поддержкой HIPAA, действие BAA будет прекращено.

Если расторгнуть BAA, то в соответствии с положениями BAA Ваша учетная запись или рабочая группа с поддержкой HIPAA будет закрыта. Наше стандартное соглашение BAA составлено так, что всегда дает Вам возможность сохранить копию данных опросов перед закрытием Вашей учетной записи.

Советы по безопасности в контексте HIPAA

После включения поддержки HIPAA в Вашей учетной записи или рабочей группе следуйте этим рекомендациям при выполнении определенных действий, чтобы обеспечить ответственную и безопасную обработку данных.

Действие
Советы по безопасности в контексте HIPAA
Экспорт результатов опросаЕсли Вы загружаете результаты опроса на свой собственный компьютер, Вам следует убедиться в том, что загруженные файлы обрабатываются соответствующим образом, так как они содержат конфиденциальную медицинскую информацию. Рекомендуем Вам обеспечить безопасность этих файлов с помощью шифрования, а также ограниченной передачи только по зашифрованным каналам связи.
Предоставление совместного доступа к опросамПри предоставлении совместного доступа к опросу пользователи, с которыми Вы решите сотрудничать, получат доступ для просмотра и изменения опроса, а также всех собранных Вами ответов на опрос. Использование данной функции должно соответствовать Вашим обязательствам согласно положениям HIPAA. Совместную работу следует вести только с лицами, имеющими право работать над конкретным опросом.
Передача опроса в другую учетную записьЕсли Вам необходимо передать опрос в другую учетную запись SurveyMonkey, убедитесь в том, что учетная запись получателя именно та, в которую Вы намереваетесь передать опрос. Для передачи опроса необходимо указать точное пользовательское имя учетной записи. Передачу нельзя отменить без действий со стороны владельца принимающей учетной записи.

Если Ваш опрос содержит конфиденциальную медицинскую информацию, Вы обязаны удостовериться в том, что она будет открыта только уполномоченным получателям. Это означает, что при передаче конфиденциальной медицинской информации в другую учетную запись получающая учетная запись также должна соответствовать нормам, установленным HIPAA.
Сбор ответовЕсли Вы осуществляете сбор конфиденциальной медицинской информации в рамках своего опроса, мы рекомендуем Вам использовать Коллектор данных по ссылке на веб-страницу. Кроме того, если Вы осуществляете сбор конфиденциальной медицинской информации в рамках своего опроса или являетесь владельцем учетной записи, соответствующей требованиям HIPAA, Вам всегда следует пользоваться SSL-шифрованием. SSL повышает безопасность путем шифрования опросов и их результатов.

Мы не рекомендуем использовать коллектор с рассылкой приглашений по электронной почте. Коллекторы с рассылкой приглашений по электронной почте отправляют приглашения получателям с помощью уникальной ссылки на опрос, привязанной к электронному адресу получателя. Если респонденты могут редактировать свои ответы, получатель электронного приглашения может пройти весь опрос (или его часть) и направить свою уникальную ссылку на опрос кому-либо еще. Это позволит второму получателю просмотреть ответы первого (такие ответы могут содержать конфиденциальную медицинскую информацию).
Совместный доступ к результатам опросаРезультаты Вашего опроса могут содержать конфиденциальную медицинскую информацию. Поэтому следует распространять результаты опроса только теми способами, которые соответствуют Вашим обязательствам согласно положениям HIPAA. Результаты опроса следует раскрывать только уполномоченным лицам.
HIPAA — это закон США, регулирующий сбор и обработку «защищенной информации о здоровье» (PHI). Определенные организации, называемые «защищенными субъектами», и их деловые партнеры обязаны выполнять требования HIPAA. Вы можете собирать PHI в опросах, если активируете поддержку HIPAA в своей учетной записи или рабочей группе.

Получите ответы на вопросы