SurveyMonkey

ENTERPRISE ADD-ON: HIPAA-konforme Konten stehen nur für Enterprise-Kunden zur Verfügung. Wenn Sie Interesse haben, wenden Sie sich an den Vertrieb. Wenn Sie bereits ein Enterprise-Konto haben, wenden Sie sich an Ihren Customer Success Manager.

Gilt HIPAA für mich? Wenn Sie entsprechend der Definition von HIPAA eine „betroffene Rechtsperson“ (Covered Entity) sind und SurveyMonkey zum Erfassen oder Speichern geschützter Gesundheitsinformationen (im Allgemeinen sämtliche Informationen zum Gesundheitszustand, zu medizinischen Behandlungen oder deren Bezahlung, die mit einer bestimmten Einzelperson in Verbindung gebracht werden können und/oder Kontaktdetails zusammen mit Informationen zur medizinischen Versorgung, die die Einzelperson erhält) verwenden, dann gelten die HIPAA-Bestimmungen wahrscheinlich für Ihre Nutzung von SurveyMonkey. Wenn Sie zwar keinen Schutz nach HIPAA, aber beim Erfassen oder Speichern von Informationen mit SurveyMonkey ein höheres Maß an Sicherheit benötigen, testen Sie den Erweiterten Schutz Sensibler Daten.

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein Gesetz der Vereinigten Staaten, in dem die Erfassung und Handhabung von „geschützten Gesundheitsinformationen“ (Protected Health Information, PHI) geregelt wird. Bestimmte Organisationen, die „betroffene Rechtspersonen“ genannt werden, sowie deren Geschäftspartner müssen die HIPAA-Bestimmungen einhalten.

Dass SurveyMonkey „HIPAA-konform“ ist, bedeutet, dass wir einen Service anbieten, der es betroffenen Rechtspersonen ermöglicht, PHI-Daten über Umfragen so zu erfassen und zu verwalten, dass diese Vorgänge mit HIPAA konform sind. Als Bestandteil dieses Services gewährleistet SurveyMonkey, dass der Service so betrieben wird, dass er mit diesen Gesetzen und der Rolle von SurveyMonkey als Geschäftspartner eines Benutzers als betroffener Rechtsperson übereinstimmt und kompatibel ist.

Entsprechend unseren Nutzungsbedingungen gestattet SurveyMonkey nur dann geregelten Rechtspersonen, PHI-Daten zu erfassen, wenn dies über ein „HIPAA-fähiges Konto“ mit einem vorhandenen Geschäftspartnerabkommen (BAA) geschieht. SurveyMonkey verlangt von Ihnen jedoch nicht, ein BAA einzugehen, wenn Sie in Bezug auf die in Ihren Umfragen erfassten PHI-Daten nicht unter die HIPAA-Bestimmungen fallen.

  • HIPAA-Sicherheitsmaßnahmen, die von SurveyMonkey eingesetzt werden
  • Liste der Funktionen

SurveyMonkey bietet ein HIPAA-konformes Standardformular für das BAA, welches die Anforderungen von HIPAA erfüllt. Wenn Sie die HIPAA-Features für Ihr Konto freischalten möchten, setzen Sie sich mit uns in Verbindung.

Haben Sie mit uns bereits ein BAA abgeschlossen, dann setzen Sie sich mit uns in Verbindung, wenn Sie eine Kopie Ihres BAA benötigen.

Wenn ein Konto einmal HIPAA-fähig gemacht wurde, kann es nicht mehr in ein nicht HIPAA-konformes Konto zurückverwandelt werden. Wird das BAA beendet, wird auch Ihr Konto geschlossen. Im nachstehenden Abschnitt „Herabstufungen“ finden Sie nähere Informationen hierzu.

Lesen Sie die folgenden Fragen, um zu erfahren, wie Herabstufungen bei HIPAA-fähigen Konten funktionieren.

  • Kann ich mein HIPAA-fähiges Konto oder Team auf einen niedrigeren Tariftyp herabstufen?
  • Was geschieht, wenn ich mein HIPAA-fähiges Konto oder Team nicht verlängere?
  • Was geschieht, wenn ich mein HIPAA-fähiges Konto schließe oder mein BAA beende?

Sobald Sie HIPAA-konforme Funktionen in Ihrem Konto oder Team aktiviert haben, beachten Sie bei der Durchführung bestimmter Vorgänge die folgenden Best Practices, um zu gewährleisten, dass Sie Ihre Daten verantwortlich und sicher handhaben.

Aktion
HIPAA-Sicherheitstipps
Export Ihrer UmfrageergebnisseWenn Sie Umfrageergebnisse auf Ihren Computer herunterladen, achten Sie auf angemessenen Umgang mit den heruntergeladenen Dateien, da es sich um geschützte Gesundheitsdaten handelt. Wir empfehlen aus Sicherheitsgründen, diese Dateien zu verschlüsseln und sie nur über eine verschlüsselte Verbindung zu übertragen.
Freigeben von Umfragen für andereWenn Sie eine Umfrage für andere freigeben, können diese die Umfrage ansehen und gegebenenfalls bearbeiten. Oder sie haben Zugriff auf die erfassten Umfragebeantwortungen. Geben Sie Umfragen nur auf eine Weise frei, die den verbindlichen Vorgaben des HIPAA entspricht. Geben Sie die Umfrage ausschließlich für die Personen frei, die berechtigt sind, an dieser Umfrage zu arbeiten.
Übertragen einer Umfrage in ein anderes KontoWenn Sie eine Umfrage an ein anderes SurveyMonkey-Konto übertragen müssen, stellen Sie in jedem Fall sicher, dass das Empfängerkonto tatsächlich das Konto ist, an das Sie die Umfrage senden möchten. Zum Übertragen einer Umfrage müssen Sie den exakten Benutzernamen des betreffenden Kontos eingeben. Der Übertragungsvorgang kann ohne Mithilfe des Inhabers des Empfängerkontos nicht rückgängig gemacht werden.

Wenn Ihr Konto PHI-Informationen (geschützte Gesundheitsdaten) umfasst, liegt es in Ihrer Zuständigkeit, dafür Sorge zu tragen, dass diese PHI-Informationen nur einem berechtigten Empfänger offengelegt werden. Das bedeutet, dass, wenn Sie PHI-Informationen an ein anderes Konto übertragen, dieses Konto ebenfalls HIPAA-fähig sein muss.
Erfassen von BeantwortungenWenn Sie PHI-Informationen in Ihrer Umfrage erfassen, empfehlen wir Ihnen die Verwendung eines Weblink-Collectors.

Von der Verwendung eines E-Mail-Einladungs-Collectors raten wir ab. Mit E-Mail-Einladungs-Collectors werden Umfrageeinladungen an Kontakte versandt, die einen eindeutigen Umfragelink enthalten, der mit der E-Mail-Adresse eines Kontakts verknüpft ist. Wenn Befragte ihre Beantwortungen bearbeiten können, könnte ein Kontakt einer E-Mail-Einladung eine Umfrage theoretisch vollständig oder teilweise beantworten und seinen eindeutigen Umfragelink dann an einen anderen Benutzer weiterleiten. Auf diese Weise kann der zweite Kontakt die Beantwortungen des ersten anzeigen, die auch PHI-Informationen enthalten können.
Freigeben von UmfrageergebnissenIhre Umfrageergebnisse enthalten unter Umständen PHI-Informationen. Deswegen muss die Freigabe der Umfrageergebnisse auf eine Weise erfolgen, die den verbindlichen Vorgaben des HIPAA entspricht. Die Ergebnisse dürfen nur autorisierten Empfängern gegenüber offengelegt werden.