HIPAA-efterlevnad och SurveyMonkey

HIPAA-funktioner
Aktivera HIPAA-funktioner
Nedgraderingar
Säkerhetstips kring HIPAA
Tillgång till AI- och maskininlärningsfunktioner (ML)

Enterprise-tillägg: HIPAA-kompatibla konton är endast tillgängliga för kunder med Enterprise. Kontakta försäljningsteamet om du är intresserad. Kontakta kundrelationsansvarig (CSM) om du redan har ett Enterprise-konto.

Gäller HIPAA mig? Om du är en ”berörd enhet” (enligt definitionen i HIPAA) och använder SurveyMonkey för att samla in eller lagra skyddad hälsoinformation (i allmänhet all information om hälsotillstånd, tillhandahållande av hälso- och sjukvård eller betalning för hälsovård som kan kopplas till en specifik individ, såsom en persons namn och/eller kontaktuppgifter i kombination med information om hälso- och sjukvård som personen har fått) gäller sannolikt HIPAA för din användning av SurveyMonkey. Om du inte behöver HIPAA men behöver en högre säkerhetsnivå när du använder SurveyMonkey för att samla in eller lagra information kan du kolla funktionen för förbättrat skydd av känsliga data.

The Health Insurance Portability and Accountability Act från 1996 (HIPAA) är en amerikansk lag som reglerar insamling och hantering av ”skyddad hälsoinformation” (PHI). Vissa organisationer som kallas ”berörda enheter” och deras affärspartners måste följa HIPAA.

För SurveyMonkey innebär "HIPAA-kompatibel" att vi erbjuder en tjänst som gör det möjligt för berörda enheter att samla in och hantera PHI via enkäter på ett sätt som överensstämmer med HIPAA. Som en del i att tillhandahålla denna tjänst försäkrar SurveyMonkey att den fungerar på ett sätt som är konsekvent och förenligt med dessa lagar och SurveyMonkeys roll som affärspartner till en användare som är en berörd enhet.

I enlighet med våra Användarvillkor tillåter SurveyMonkey endast reglerade enheter att samla in PHI om insamlingen sker via ett ”HIPAA-aktiverat konto” med ett gällande affärspartneravtal (BAA). SurveyMonkey kräver dock inte att du har ett BAA om du inte regleras av HIPAA med avseende på den PHI du samlar in i dina enkäter.

HIPAA-funktioner

HIPAA-säkerhetsåtgärder som SurveyMonkey tillämpar
I enlighet med HIPAA-bestämmelserna implementerar vi administrativa, fysiska och tekniska skyddsåtgärder som på ett rimligt och lämpligt sätt skyddar konfidentialiteten, integriteten och tillgängligheten hos den elektroniska PHI (skyddad hälsorelaterad information) som vi tar emot, underhåller och överför på uppdrag av berörda enheter beträffande deras HIPAA-aktiverade konton. Dessa skyddsåtgärder omfattar åtgärder som krävs enligt Säkerhetsregeln, till exempel:
- Regelbundna riskutvärderingar av system för att säkerställa att skyddsåtgärderna förblir relevanta och effektiva
- Säkerhetsteam vars uppdrag är att ansvara för att HIPAA:s säkerhetskrav upprätthålls
- Säkerhetskontroller, auktorisering och utbildning av personal på SurveyMonkey som kommer i kontakt med PHI
- Planer för säkerhetskopiering av data
- Planer för återställning vid katastrofer
- Att system övervakas, uppdateras och patchas regelbundet
- Incidenthanteringsplan som inkluderar rapportering av säkerhetsincidenter till berörda enheter
- All kommunikation med SurveyMonkeys servrar krypteras med SSL
Mer information finns i vår Säkerhetspolicy.
Lista på funktioner
När du aktiverar HIPAA-kompatibla funktioner aktiveras följande funktioner som krävs enligt HIPAA på ditt konto. Dessa funktioner hjälper berörda enheter att uppfylla sina egna skyldigheter enligt HIPAA:
- Säkerhetspåminnelser: Vi påminner användare om deras skyldigheter enligt HIPAA med hjälp av inbäddade produktmeddelanden när de utför vissa känsliga operationer kring PHI (t.ex. export av enkätdata som skulle kunna delas med tredje part).
- Automatisk utloggning: Vi avbryter användarsessioner efter 30 minuters inaktivitet.
- Loggning: Vi loggar aktivitet som rör åtkomst till konton och en rad olika händelser relaterade till HIPAA-aktiverade konton efter tidsstämpel, identitet (IP-adress och/eller användarnamn) och händelsetyp. Du kan inte få tillgång till dessa loggar på ditt konto, men du kan kontakta oss för att begära ut loggar.

Aktivera HIPAA-funktioner

SurveyMonkey erbjuder ett BAA i standardformat som uppfyller kraven i HIPAA. Om du är intresserad av att aktivera HIPAA-funktioner på ditt konto är du välkommen att kontakta oss.

Om du redan har ingått ett BAA med oss kan du ta kontakt med oss för att få en kopia av det.

När ett konto har blivit HIPAA-aktiverat kan det inte återställas till ett konto som inte är HIPAA-aktiverat. Om ditt BAA sägs upp kommer ditt konto att stängas. Se avsnittet Nedgraderingar nedan för mer information.

Nedgraderingar

Läs de vanliga frågorna nedan för att förstå hur nedgraderingar fungerar när det gäller HIPAA-aktiverade konton.

Kan jag nedgradera mitt HIPAA-aktiverade konto eller team till en lägre plan?
Nej. När du har aktiverat HIPAA-kompatibla funktioner på ditt konto eller på ditt Enterprise-team kan det inte återställas till ett vanligt, icke-HIPAA-aktiverat konto.
Om du vill ta bort HIPAA-kompatibla funktioner från ditt konto, eller om du vill ha en lägre plan, måste du skaffa ett nytt konto. Observera att du kan överföra enkäter från ditt HIPAA-aktiverade konto till ett vanligt konto, men du måste vara mycket försiktig så att du inte överför enkäter som innehåller PHI (vi tillåter inte att användare lagrar PHI på vanliga konton och vanliga konton omfattas inte av ett BAA).
Vad händer om jag inte förnyar mitt HIPAA-aktiverade konto eller team?
Om du bestämmer dig för att du inte längre behöver använda SurveyMonkey och inte förnyar ditt HIPAA-aktiverade konto kommer ditt konto att stängas av. När kontot är avstängt kommer SurveyMonkey att spara alla uppgifter som finns på kontot och fortsätta att hantera dem i enlighet med BAA. Du kommer dock inte att kunna komma åt dina enkätdata eller ditt konto direkt (förutom när det gäller begränsade funktioner för fakturering och kontoadministration).
SurveyMonkey behåller ett avstängt konto under en viss tid så att du får chans att aktivera ditt konto igen genom att förnya det. Om ditt konto är avstängt och du behöver tillgång till dina uppgifter eller vill avsluta ditt konto ber vi dig att kontakta oss. När avstängningsperioden har löpt ut stänger SurveyMonkey ditt konto och alla uppgifter på det raderas.
Vad händer om jag stänger mitt HIPAA-aktiverade konto eller säger upp mitt BAA?

Säkerhetstips kring HIPAA

När du har aktiverat HIPAA-kompatibla funktioner på ditt konto eller team ska du följa bästa praxis nedan när du utför vissa åtgärder för att se till att du hanterar dina data på ett ansvarsfullt och säkert sätt.

Åtgärd	Säkerhetstips kring HIPAA
Exportera enkätresultat	Om du laddar ner enkätresultat till din egen dator ska de nedladdade filerna hanteras på lämpligt sätt eftersom de innehåller PHI. Vi föreslår att du skyddar dessa filer genom att kryptera dem och endast överför dem via krypterad anslutning.
Dela enkäter med andra	När du delar en enkät kan personerna du väljer att dela den med visa och redigera enkäten eller komma åt insamlade enkätsvar. Kom ihåg att endast dela enkäter på ett sätt som överensstämmer med dina skyldigheter enligt HIPAA. Dela endast en undersökning med personer som är behöriga att arbeta med den enkäten.
Överföra en befintlig enkät till ett annat konto	Om du måste överföra en enkät till ett annat SurveyMonkey-konto måste du vara helt säker på att det mottagande kontot är det som du avser att skicka den till. Du måste ange kontots exakta användarnamn för att kunna överföra en enkät. Överföringen kan inte ångras utan att åtgärd vidtas av den mottagande kontoinnehavaren. Om din enkät innehåller PHI är det ditt ansvar att se till att denna PHI endast lämnas ut till lämplig mottagare. Detta innebär att om du överför PHI till ett annat konto är det absolut avgörande att även det kontot är HIPAA-aktiverat.
Samla in svar	Om du samlar in PHI i din enkät rekommenderar vi att du använder en webblänksinsamlare. Vi rekommenderar inte att du använder en insamlare för mejlinbjudan. Insamlare för mejlinbjudan mejlar enkätinbjudningar till kontakter med en unik enkätlänk kopplad till en kontakts e-postadress. Om de svarande kan redigera sina svar skulle en kontakt i en mejlinbjudan kunna slutföra hela eller delar av en enkät och vidarebefordra sin unika enkätlänk till någon annan. Detta skulle göra det möjligt för den andra kontakten att se den första kontaktens svar, som kan innehålla PHI.
Dela enkätresultat	Dina enkätresultat kan innehålla PHI, så tänk på att endast dela resultaten på ett sätt som är förenligt med dina skyldigheter enligt HIPAA. Visa endast resultat för godkända mottagare.

Tillgång till AI- och maskininlärningsfunktioner (ML)

Huvudadministratören kontrollerar åtkomsten till de flesta AI/ML-funktioner som är tillgängliga för Enterprise-team och kan ändra dessa under Enterprise-inställningarna. Vissa funktioner, som Bygg med AI, är dock inte tillgängliga för HIPAA-aktiverade konton.

Funktion	Standardbehörigheter för HIPAA
Bygg med AI	Inte tillgängligt.
Attitydanalys	På Huvudadministratören kontrollerar åtkomsten till den här funktionen.
Svarskvalitet	På Huvudadministratören kontrollerar åtkomsten till den här funktionen.

Läs mer i artikeln Hantera åtkomst till AI-funktioner.

Relaterade artiklar

Anpassade roller

Administratörscentral för Enterprise

Kom igång med att skicka sms