Overholdelse af HIPAA og SurveyMonkey

HIPAA-funktioner
Aktivering af HIPAA-funktioner
Nedgraderinger
HIPAA-sikkerhedstips
Adgang til funktioner til AI og maskinel indlæring (ML)

ENTERPRISE-UDVIDELSE: Konti, som overholder HIPAA, er kun tilgængelige for kunder på Enterprise. Kontakt salgsafdelingen, hvis du er interesseret. Hvis du allerede har en Enterprise-konto, skal du kontakte din Customer Success Manager (CSM).

Gælder HIPAA for mig? Hvis du er en “dækket enhed” (som defineret af HIPAA: "covered entity") og bruger SurveyMonkey til at indsamle eller opbevare beskyttede helbredsoplysninger (generelt alle oplysninger om sundhedstilstand, levering af sundhedspleje eller betaling for sundhedspleje, der kan relateres til en bestemt person, såsom en persons navn og/eller kontaktoplysninger kombineret med oplysninger om sundhedspleje, som den pågældende har modtaget), så gør HIPAA sig sandsynligvis gældende for din brug af SurveyMonkey. Hvis du ikke har brug for HIPAA, men har brug for et højere sikkerhedsniveau, når du bruger SurveyMonkey til at indsamle eller opbevare oplysninger, kan du se funktionen Forbedret beskyttelse af følsomme data.

USA's Health Insurance Portability and Accountability Act fra 1996 (HIPAA) er en lov, der regulerer indsamling og håndtering af beskyttede helbredsoplysninger (PHI – protected health information). Visse organisationer, der kaldes "dækkede enheder", og deres forretningsforbindelser, skal overholde HIPAA.

For SurveyMonkey betyder det at "overholde HIPAA", at vi tilbyder en service, der gør det muligt for dækkede enheder at indsamle og administrere beskyttede helbredsoplysninger gennem spørgeundersøgelser på en måde, som er i overensstemmelse med HIPAA. Som en del af det at tilbyde denne service sikrer SurveyMonkey, at den fungerer på en måde, der er i overensstemmelse og forenelig med disse love og SurveyMonkeys rolle som forretningspartner til en dækket enhedsbruger.

I overensstemmelse med vores Brugsbetingelser tillader SurveyMonkey kun regulerede enheders indsamling af beskyttede helbredsoplysninger, hvis det sker gennem en "HIPAA-aktiveret konto" med en indgået BAA (forretningspartneraftale). SurveyMonkey kræver dog ikke, at du har en BAA, hvis du ikke er reguleret af HIPAA med hensyn til de beskyttede helbredsoplysninger, du indsamler i dine spørgeundersøgelser.

HIPAA-funktioner

HIPAA-sikkerhedsforanstaltninger, som SurveyMonkey anvender
Som påkrævet af HIPAA implementerer vi administrative, fysiske og tekniske sikkerhedsforanstaltninger, som på rimelig og passende vis beskytter fortroligheden, integriteten og tilgængeligheden af de elektroniske beskyttede helbredsoplysninger (PHI), som vi modtager, vedligeholder og sender på vegne af dækkede enheder, i forbindelse med deres HIPAA-aktiverede konti. Disse sikkerhedsforanstaltninger omfatter foranstaltninger, som er påkrævede i henhold til reglen om sikkerhed, såsom:
- Regelmæssige risikovurderinger af systemer for at sikre, at sikkerhedsforanstaltningerne forbliver relevante og virkningsfulde
- Et tildelt sikkerhedsteam som har ansvaret for at opretholde overensstemmelse med HIPAA's sikkerhedskrav
- Screening, godkendelse og oplæring af SurveyMonkey-personale, som kommer i kontakt med kunders beskyttede helbredsoplysninger
- Planer for sikkerhedskopiering af data
- Planer for katastrofeberedskab
- Regelmæssig overvågning, opdatering og rettelse af systemer
- Plan for reaktion på sikkerhedsrelaterede hændelser, der omfatter rapportering af hændelser til berørte dækkede enheder
- Al kommunikation med SurveyMonkeys servere skal være krypteret med SSL
Du kan få flere oplysninger i vores Sikkerhedserklæring.
Liste over funktioner
Når du aktiverer funktioner til overholdelse af HIPAA, bliver følgende funktioner, som kræves af HIPAA, aktiveret på din konto. Disse funktioner hjælper dækkede enheder med at overholde deres egne HIPAA-forpligtelser:
- Sikkerhedspåmindelser: Vi minder brugere om deres forpligtelser i henhold til HIPAA med meddelelser i produktet, som vises, når de udfører visse følsomme handlinger på beskyttede helbredsoplysninger (såsom eksport af spørgeundersøgelsesdata, der potentielt kan deles med tredjeparter).
- Automatisk aflogning: Vi giver brugersessioner timeout efter 30 minutters inaktivitet.
- Logføring: Vi logger kontoadgangsaktivitet og forskellige hændelser med relation til HIPAA-aktiverede konti med tidsstempel, identitet (IP-adresse og/eller brugernavn for konto) og hændelsestype. Det er ikke muligt at få adgang til disse logge på din konto – men du kan kontakte os for at anmode om logge.

Aktivering af HIPAA-funktioner

SurveyMonkey tilbyder en BAA-standardformular, som overholder kravene i HIPAA. Hvis du er interesseret i at aktivere HIPAA-funktioner på din konto, skal du kontakte os.

Hvis du allerede har indgået en forretningspartneraftale (BAA) med os, kan du kontakte os for at modtage en kopi af din BAA.

Når først en konto er HIPAA-aktiveret, kan den ikke omdannes til en ikke-HIPAA-konto igen. Hvis din BAA ophører, bliver din konto også lukket. Se afsnittet Nedgraderinger nedenfor for at få yderligere oplysninger.

Nedgraderinger

Gennemse de ofte stillede spørgsmål nedenfor for at forstå, hvordan nedgraderinger fungerer for HIPAA-aktiverede konti.

Kan jeg nedgradere min HIPAA-aktiverede konto eller mit team til en billigere abonnementstype?
Nej. Når først du aktiverer funktioner til overholdelse af HIPAA, på din konto eller dit Enterprise-team, er det ikke muligt at vende tilbage til en almindelig, ikke-HIPAA-aktiveret konto.
Hvis du ønsker at fjerne funktioner til overholdelse af HIPAA fra din konto, eller du ønsker et billigere abonnement, skal du oprette en ny konto. Bemærk, at du kan overføre spørgeundersøgelser fra din HIPAA-aktiverede konto til en almindelig konto, men du skal være meget forsigtig med ikke at overføre spørgeundersøgelser, der indeholder beskyttede helbredsoplysninger (vi tillader ikke, at brugere opbevarer beskyttede helbredsoplysninger på almindelige konti, og almindelige konti er ikke dækket af en BAA).
Hvad sker der, hvis jeg ikke fornyer min HIPAA-aktiverede konto eller mit team?
Hvis du beslutter dig for, at du ikke længere skal bruge SurveyMonkey og ikke fornyer din HIPAA-aktiverede konto, vil din konto skifte til suspenderet tilstand. Så længe den er suspenderet, vil SurveyMonkey bevare alle data, der er indeholdt på kontoen, og fortsætte med at behandle den i overensstemmelse med den pågældende BAA. Du vil dog ikke kunne få direkte adgang til dine spørgeundersøgelsesdata eller konto (bortset fra begrænsede fakturerings- og kontoadministrationsfunktioner).
SurveyMonkey bevarer en suspenderet konto i en periode for at give dig mulighed for at ophæve suspenderingen af din konto ved at forny den. Hvis din konto er blevet suspenderet, og du har brug for adgang til dine data eller ønsker at lukke kontoen, skal du kontakte os. Ved udgangen af suspensionsperioden lukker SurveyMonkey din konto og sletter alle data på den.
Hvad sker der, hvis jeg lukker min HIPAA-aktiverede konto eller opsiger min BAA?

HIPAA-sikkerhedstips

Når du aktiverer funktioner til overholdelse af HIPAA på din konto eller dit team, skal du følge disse best practices, når du udfører visse handlinger, for at sikre, at du behandler dine data på en ansvarlig og sikker måde.

Handling	HIPAA-sikkerhedstips
Eksport af spørgeundersøgelsesresultater	Hvis du downloader spørgeundersøgelsesresultater til din egen computer, skal du sørge for, at de downloadede filer bliver håndteret korrekt, da de indeholder beskyttede helbredsoplysninger. Vi foreslår, at du sikrer disse filer ved at kryptere dem og kun overfører dem ved brug af en krypteret forbindelse.
Deling af spørgeundersøgelser med andre	Når du deler en spørgeundersøgelse, har de personer, som du vælger at dele den med, adgang til at se og eventuelt redigere spørgeundersøgelsen eller til at få adgang til alle de indsamlede besvarelser. Husk kun at dele spørgeundersøgelser på en måde, som er i overensstemmelse med dine forpligtelser i henhold til HIPAA. Del kun en spørgeundersøgelse med personer, der er godkendt til at arbejde på den pågældende spørgeundersøgelse.
Overførsel af en spørgeundersøgelse til en anden konto	Hvis du er nødt til at overføre en spørgeundersøgelse til en anden SurveyMonkey-konto, skal du være helt sikker på, at modtagerkontoen er den, du har til hensigt at sende den til. Hvis du vil overføre en spørgeundersøgelse, skal du indtaste det nøjagtige brugernavn på den pågældende konto. Overførselsprocessen kan ikke fortrydes uden handling fra ejeren af den modtagende konto. Hvis din spørgeundersøgelse indeholder PHI, er det dit ansvar at sikre, at en sådan PHI kun oplyses til en passende modtager. Det vil sige, at hvis du overfører beskyttede helbredsoplysninger til en anden konto, er det afgørende, at denne konto også er HIPAA-aktiveret.
Indsamling af besvarelser	Hvis du indsamler beskyttede helbredsoplysninger i din spørgeundersøgelse, anbefaler vi, at du bruger en weblink-indsamler. Vi anbefaler ikke at bruge en e-mailinvitation-indsamler. E-mailinvitation-indsamlere sender e-mails med invitationer til spørgeundersøgelser ud til kontaktpersoner og indeholder et unikt spørgeundersøgelseslink, der er knyttet til en kontaktpersons e-mailadresse. Hvis respondenter kan redigere deres besvarelser, kan en kontaktperson i en e-mailinvitation gennemføre hele eller en del af en spørgeundersøgelse og videresende sit unikke spørgeundersøgelseslink til en anden. Dette ville gøre det muligt for den anden kontaktperson at se den første kontaktpersons besvarelser, som kan indeholde beskyttede helbredsoplysninger.
Sådan deler du resultaterne fra spørgeundersøgelsen	Dine spørgeundersøgelsesresultater kan indeholde beskyttede helbredsoplysninger, så husk kun at dele spørgeundersøgelsesresultater på en måde, som er i overensstemmelse med dine forpligtelser i henhold til HIPAA. Oplys kun resultater til autoriserede modtagere.

Adgang til funktioner til AI og maskinel indlæring (ML)

Den primære administrator styrer adgangen til de fleste af de AI/ML-funktioner, som er tilgængelige for brugere af Enterprise-team, og som kan ændres under Enterprise-indstillinger. Visse funktioner, såsom Byg med AI, er dog ikke tilgængelige for HIPAA-aktiverede konti.

Funktion	Standardtilladelser til HIPAA
Byg med AI	Ikke tilgængelig
Meningsanalyse	Til Den primære administrator styrer adgangen til denne funktion.
Besvarelseskvalitet	Til Den primære administrator styrer adgangen til denne funktion.

Du kan få flere oplysninger i artiklen Styring af AI-funktionsadgang.

Relaterede artikler

Brugerdefinerede roller

Administrationscentral for Enterprise

Bliv klar til at sende sms-beskeder