m

HIPAA 遵約與 SurveyMonkey

我需遵守 HIPAA 規定嗎?如果您是「相關實體」(如 HIPAA 所界定),同時,您使用 SurveyMonkey 收集或儲存 PHI (任何可連結至特定個人的健康狀況、醫療提供或醫療付款的資訊,例如將個人的姓名和/或聯絡詳細資料與個人所接受的醫療資訊合併),則 HIPAA 可能適用於您使用 SurveyMonkey 的情形。

《1996 年健康保險可攜與責任法》(Health Insurance Portability and Accountability Act of 1996,HIPAA) 是規範收取和處理「受保護健康資料」(PHI) 的美國法律。 部份被稱為「相關實體」的組織及其商業合作夥伴必須遵守 HIPAA。

對 SurveyMonkey 而言,達到 "HIPAA 遵約" 表示我們提供的服務能讓相關實體以遵守 HIPAA 方式透過調查問卷收集和處理 PHI。在提供這項服務時,SurveyMonkey 確保會以遵守這些法律的方式來運作,並擔任符合 SurveyMonkey 保護使用者的商業夥伴角色。

若要在帳戶或團隊中啟用 HIPAA 遵約功能,您必須與 SurveyMonkey 簽訂需業務關聯協議 (BAA)。根據我們的使用條款規定,SurveyMonkey 只允許受規範實體收集 PHI,且一定要透過有簽訂業務關聯協議 (BAA) 並啟用 HIPAA 的帳戶來完成。但是,如果您不受 HIPAA 規範,則您在調查問卷中收集 PHI 方面,SureyMonkey 不會規定您要簽訂 BAA。

HIPAA 功能

SurveyMonkey 業務關聯協議

SurveyMonkey 會提供符合 HIPAA 規定的標準表格 BAA,讓相關實體在他們的 SurveyMonkey 帳戶中簽訂協議。當相關實體接受 BAA 時,我們會記錄實體簽約代表者的姓名和職稱,以及接受協議的日期。然後,我們會將 BAA 副本放在「我的帳戶」頁面供下載或日後參考。帳戶接受 BAA 後,即會轉換成啟用 HIPAA 的帳戶。

我們確認有些相關實體在與其商業合作夥伴簽訂的 BAA 中列入特定項目。基於我們是免費提供啟用 HIPAA 的帳戶,我們不會對客戶表格的 BAA 做任何協商。但是,我們可收費對標準表格的 BAA 進行協商。

如果您有興趣協商特定表格的 BAA,請填寫此表格:協商業務關聯協議

SurveyMonkey 採用的 HIPAA 安全措施

依照 HIPAA 規定,我們必須從管理、實質和技術層面來實施保護措施,以合理合宜方式保護我們代表相關實體接受、維護和傳輸與他們啟用 HIPAA 的帳戶有關的受保護電子健康資料。這些保護措施包含安全規則所規定的方法,例如:

  • 進行一般系統風險評估,確定所採取的保護措施確實有關且有效
  • 指派安全小組,負責維持遵守 HIPAA 安全規定
  • 篩選、授權和訓練會接觸客戶 PHI 的 SurveyMonkey 人員
  • 資料備份方案
  • 災難復原方案
  • 系統定期監督、更新和修補
  • 事件回應方案,包括對受影響的相關實體回報安全事件
  • 與 SurveyMonkey 伺服器進行的所有通訊都必須採取 SSL 加密

若要瞭解更多資訊,請查閱我們的安全聲明

功能列表

當您啟用 HIPAA 遵約功能時,您的帳戶就會啟用 HIPAA 規定的下列功能。這些功能會幫助相關實體遵守他們在 HIPAA 方面應盡的義務:

  • 安全提醒:我們會運用產品內部訊息來提醒使用者遵守 HIPAA 義務;當他們對 PHI 進行特定的靈敏操作時 (例如匯出的調查問卷資,且可能會供第三方使用),系統就會顯示這類訊息。
  • 自動登出:30 分鐘沒有任何動作時,使用者工作階段就會逾時。
  • BAA:隨時檢視您帳戶中的 BAA。
  • 作記錄:對於帳戶存取活動和調查問卷資料的修訂,我們會提供增強的記錄功能。我們會根據時間戳、身份識別 (IP 位址和/或帳戶使用者名稱) 和事件類別等,來記錄與啟用 HIPAA 的帳戶有關的各類事件。我們會記錄的事件類型包含:
    • 帳戶登入成功和失敗
    • 帳戶手動登出
    • 帳戶密碼重設要求
    • 帳戶使用者名稱要求
    • 收集器刪除、開啟和關閉
    • 調查問卷回覆匯出
    • 調查問卷回覆分享和取消分享
    • 調查問卷回覆刪除
    • API 應用程式授權和取除授權
    • 將調查問卷移轉到另一個帳戶
    • 使用者或 SurveyMonkey 管理員是否執行事件

目前,我們沒有任何方式可讓您透過線上帳戶來存取這些記錄。您可聯絡並要求我們提供記錄。

啟用 HIPAA 功能

如果您參加個人白金型方案,或是 Enterprise 型團隊,只要與 SurveyMonkey 簽訂 BAA,您就可啟用 HIPAA 遵約功能。

簽訂 BAA 的步驟取決於您的方案類型。請選取下列相關章節的說明:

個人白金型方案

若要與 SurveyMonkey 簽訂 BAA:

  1. 在您的白金型帳戶右上角,按一下您的使用者名稱。
  2. 選取 [我的帳戶]。
  3. 在頁面底部的 HIPAA 部份,按一定 [簽訂 BAA]。
  4. 查閱 BAA。
  5. 完成表格。確保 BAA 只能由他們組織授權簽訂 BAA 的人簽名同意。這表示 BAA 同意表格內的「姓名」欄位可能是非帳戶持有人的姓名。
  6. 按一下 [同意]。

您可以在 [我的帳戶] 頁面上隨時查閱您的 BAA。

白金型團隊

目前,您無法為帳戶內的白金型團隊啟用 HIPAA 遵約功能。請與我們聯絡以討論您有的選項。

Enterprise 型團隊

Enterprise 型團隊的主要管理員可為他們的團隊啟用 HIPAA 遵守功能。團隊包含的所有帳戶都會啟用 HIPAA 功能,也就是說這類帳戶獲准在他們的調查問卷中收集 PHI。

您無法只為團隊中的部份個別帳戶啟用 HIPAA 遵約功能。您只能為整個團隊啟用 HIPAA 遵約功能。

若要與 SurveyMonkey 簽訂 BAA:

  1. 在您的主要管理員帳戶右上角,按一下您的使用者名稱。
  2. 選擇 [我的團隊](或 [我的群組])。
  3. 在 [團隊詳細資料] 下,按一下 [簽訂 BAA]。
  4. 查閱 BAA、填寫表格,並按一下 [同意]。

所有團隊成員都可透過他們帳戶的「我的帳戶」頁面查閱 BAA。

當您為帳戶或團隊啟用 HIPAA 遵約功能時,這是一條不可回頭的單行道。只要帳戶啟用了 HIPAA 功能,就不能回到不啟用 HIPAA 的帳戶。如果要終止 BAA,您就必須要關閉帳戶。若要瞭解更多資訊,請瀏覽下面的 [降級] 部份。

降級

查閱下列常見問題,瞭解如何使啟用 HIPAA 的帳戶降級

我可以將啟用 HIPAA 的帳戶或團隊降至較低等級的方案類型嗎?

不可以。只要您為白金型方案或 Enterprise 型團隊啟用 HIPAA 功能,您就不能回到一般未啟用 HIPAA 的帳戶。

如果您想取消帳戶的 HIPAA 遵約功能,或者您想參加較低等級的方案,您必須開設新帳戶。請注意,您可從啟用 HIPAA 的帳戶將調查問卷轉移到一般帳戶使用,但您必須很小心不要轉移任何包含 PHI 的調查問卷 (我們不准使用者將 PHI 儲存在一般帳戶中,且一般帳戶不受 BAA 的保護)。

如果我不為啟用 HIPAA 的帳戶或團隊續約,會如何?

如果您決定不再需要使用 SurveyMonkey,且不要為啟用 HIPAA 的帳戶續約,則您的帳戶會設為暫停狀態。若帳戶在暫停狀態,SurveMonkey 會保留帳戶內的所有資料,並且會依 BAA 來處理這些資料。但是,您將無法直接存取您的調查問卷或帳戶 (但有限的帳單和帳戶管理功能除外)。

SurveyMonkey 會依照 BAA 中規定的期限保留暫停帳戶,讓您有機會進行續約並解除帳戶的暫停狀態。在暫停期間結束時,SurveyMonkey 將會關閉您的帳戶並刪除其中包含的所有資料。

帳戶暫停時,您還可與我們聯絡,要求取得所有調查問卷資料的匯出副本,或要求立即關閉您的帳戶。

如果我關閉啟用 HIPAA 的帳戶或終止我的 BAA,會如何?

如果您關閉啟用 HIPAA 的帳戶或團隊,BAA 將會隨終止。

如果您終止 BAA,則根據 BAA 的條款,您啟用 HIPAA 的帳戶或團隊將會關閉。我們的標準 BAA 是要讓您隨時有機會在帳戶被關閉前儲存您的調查問卷資料。

HIPAA 安全提示

只要您在帳戶或團隊中啟用 HIPAA 遵約功能,則在執行特別操作時要遵守這些最佳實務,以便確保您以負責和安全的方式處理資料。

操作
HIPAA 安全提示
匯出調查問卷結果如果您將調查問卷結果下載至您自己的電腦,則請確保妥善處理這些下載的檔案,因為這些檔案中包含受保護的健康方面的資訊。我們建議您使用加密功能確保這些檔案的安全,並僅使用加密連線傳輸之。
與協作者分享調查問卷當您與他人分享調查問卷時,您確定的協作方使用者將可用其存取權限檢視並編輯所及調查問卷以及您收集的任何回覆。請依照 HIPAA 的相關規定使用這一功能,請切記。與他人協作時,僅與相關調查問卷授權的人合作。
將調查問卷移轉到另一個帳戶若必須將調查問卷移轉至另一個 SurveyMonkey 帳戶,您必須確保接收帳戶是您打算移轉的帳戶。若需移轉調查問卷,您必須輸入目的地帳戶的使用者名稱。若沒有接收帳戶持有者的適當動作,移轉過程不能被取消。

如果您的調查問卷中包含受保護的健康方面的資訊(PHI),則您有責任確保此類 PHI 資訊只能披露給適當人士。這意味著,如果您將 PHI 資訊移轉至另一帳戶,該帳戶也必須是具 HIPAA 功能的帳戶,這一點極為重要。
收集回覆如果您在您的調查問卷中收集受保護的健康資訊(PHI),我們建議您使用網頁連結收集器。不僅如此,如果您在您的調查問卷中採集受保護的健康資訊(PHI),或擁有具 HIPAA 功能的帳戶,則您應永遠開啟SSL 加密功能。SSL 可對調查問卷和調查問卷結果進行加密處理,從而改善安全性。

我們不建議使用電子郵件邀請函收集器。電子郵件邀請函收集器可透過電子郵件將邀請函傳送給收件者,其專用的問卷連結與收件者的電子郵件地址相關聯。若受訪者能編輯其回覆,則電子郵件邀請函的接收人便能在完成或部分完成問卷後,將其專用的問卷連結轉寄給別人。這樣便可使第二個收件人看到第一個收件人的回覆,其中可能含 PHI 資訊。
分享調查問卷結果您獲得的調查問卷結果可能包含受保護的健康方面的資訊,因此,請務必要依照 HIPAA 的相關規定分享調查問卷結果。僅向受權人士披露相關結果。
HIPAA 是規範收集和處理「受保護健康資料」(PHI) 的美國法律。部份被稱為「相關實體」的組織及其商業合作夥伴必須遵守 HIPAA。如果您在帳戶或團隊中啟用 HIPAA 功能,您就可在調查問卷中收集 PHI。

獲得回答