Smartsheet und HIPAA

In diesem Hilfeartikel wird allgemein beschrieben, wie Sie für die Übermittlung von PHI (geschützten Gesundheitsinformationen) berechtigte Services derart nutzen und schützen können, dass Sie Ihre Compliance-Verpflichtungen gemäß dem Health Insurance Portability and Accountability Act (HIPAA) in der geänderten Fassung einhalten können, einschließlich des Health Information Technology for Economic and Clinical Health (HITECH) Act.

Wer kann das nutzen?

Pläne:

  • Smartsheet
  • Smartsheet Advance Package

Berechtigungen:

Nur Enterprise-Benutzer*innen haben die Möglichkeit, die Smartsheet-Funktionen zu implementieren, die Sie benötigen, um Ihre HIPAA-Verpflichtungen zu erfüllen.

Finden Sie heraus, ob diese Funktion in Smartsheet-Regionen oder Smartsheet Gov enthalten ist.

Smartsheet bietet abonnementbasierte Online-Services (Abonnementservices) an, wobei bestimmte Plantypen als für die Übermittlung von PHI berechtigte Services (unten aufgeführt) bezeichnet werden. Smartsheet-Kund*innen (Sie, Ihre usw.) können für die Übermittlung von PHI berechtigte Services im Rahmen qualifizierter Pläne nutzen, um geschützte Gesundheitsinformationen (Protected Health Information, PHI) zu speichern oder zu verarbeiten.

Kund*innen sind nur dann berechtigt, PHI in die Abonnementservices hochzuladen, wenn sie (1) für die Übermittlung von PHI berechtigte Services nutzen und (2) eine Business-Associate-Vereinbarung (BAA) mit Smartsheet haben.

Dieser Artikel stellt keine Rechtsberatung dar und ist auch nicht als solche gedacht. Alle in diesem Artikel enthaltenen Informationen dienen zu Informationszwecken für Ihre eigenen Bemühungen um HIPAA-Compliance. Wenn Sie Fragen haben oder eine Business-Associate-Vereinbarung (BAA) mit Smartsheet abschließen möchten, wenden Sie sich an Ihre*n Smartsheet-Kundenbetreuer*in oder füllen Sie das Formular Smartsheet für Gesundheitsdienstleister aus.

Für die Übermittlung von PHI berechtigte Services

  • Smartsheet Enterprise-Plan (vorbehaltlich der folgenden Einschränkungen)

Services, die nicht für die Übermittlung von PHI berechtigt sind

  • Smartsheet-Testversionen, Pro-Plan, Business-Plan
  • EAP-Mitglieder in beliebigen Plänen
  • Brandfolder
  • Smartsheet University, Community und andere Smartsheet-Websites

Weitere Informationen zu Plantypen und enthaltenen Funktionen finden Sie auf unserer Seite Smartsheet-Pläne.

Servicebeschreibung

Smartsheet bietet seinen Kund*innen abonnementbasierte Online-Services mit zusätzlichen Sicherheitsmaßnahmen, Funktionen und Funktionalitäten, die es ihnen ermöglichen, ihren Verpflichtungen im Rahmen des HIPAA nachzukommen (für die Übermittlung von PHI berechtigte Services). Diese Sicherheitsmaßnahmen werden jährlich von externen Prüfer*innen gemäß den SOC2-Standards des AICPA (oder alternativen, im Wesentlichen gleichwertigen Standards) bewertet, um nachzuweisen, wie Smartsheet wichtige Compliance-Kontrollen und -Ziele erreicht.

Weitere Informationen zum SOC2-Bericht von Smartsheet oder um eine Kopie dieses Berichts anzufordern, besuchen Sie unser Compliance Trust Center.

Smartsheet implementiert Härtungs- und Konfigurationsanforderungen, die im Einklang mit den Empfehlungen des SANS Institute, des National Institute of Standards and Technology (NIST) und/oder des Center for Internet Security (CIS) oder den in der Branche üblichen Nachfolgestandards stehen. 

Sämtliche Daten, Anhänge, Texte, Bilder, Berichte, personenbezogenen Daten oder anderen Inhalte, die Sie oder Ihre Benutzer*innen in die Online-Services hochladen oder übermitteln, werden in verschlüsselter Form (während der Übertragung und im Ruhezustand) gespeichert.

Konfigurierbare Einstellungen, einschließlich Zugriffssteuerungen, sind auch innerhalb der für die Übermittlung von PHI berechtigten Services verfügbar, damit Sie sicherstellen können, dass PHI nur gemäß Ihren Anweisungen und den in der BAA festgelegten Bestimmungen verwendet oder aufgerufen werden. Diese Daten werden durch kundenseitig konfigurierbare Sicherheitssteuerungen, die einen der logischen Trennung gleichwertigen Schutz bieten, vor unberechtigtem Zugriff geschützt.

Besuchen Sie unser Trust Center und lesen Sie unsere Sicherheitspraktiken, um weitere Informationen zum Schutz Ihrer Daten zu erhalten.

Sicherheit als gemeinsame Verantwortung

Da Sie wissen, was zum Schutz Ihrer Daten erforderlich ist, verwendet Smartsheet ein Software-as-a-Service-Modell (SaaS) mit gemeinsamer Verantwortung, um Ihre Compliance- und regulatorischen Anforderungen bestmöglich zu erfüllen. Was bedeutet das? Im Grunde bedeutet es, dass sowohl Sie als auch Smartsheet dafür verantwortlich sind, Maßnahmen zum Schutz Ihrer Daten zu ergreifen.

Smartsheet ist für die Bereitstellung von Maßnahmen zur Sicherung, Unterstützung und Aufrechterhaltung der Abonnementservices verantwortlich. Zu diesen Maßnahmen gehört die Wiederherstellung von Informationssystemen durch die Einbeziehung von Schutz-, Erkennungs- und Reaktionsfunktionen, wie in Abbildung 1 unten dargestellt.

Sie sind dafür verantwortlich, sicherzustellen, dass Sie und Ihre Benutzer*innen die Abonnementservices in Übereinstimmung mit Ihren Verpflichtungen gemäß geltendem Recht (einschließlich HIPAA), Ihrer BAA mit Smartsheet und wie in diesem Artikel dargelegt nutzen. Dazu gehört auch, dass Sie die von Smartsheet unterstützten, anpassbaren Sicherheitssteuerungen verstehen und implementieren, die Sie als notwendig erachten, um Ihre rechtlichen und Compliance-Verpflichtungen zu erfüllen. Smartsheet ergreift keine datenspezifischen Maßnahmen in Ihrem Namen, da es hinsichtlich der Behandlung und der Art der Daten, die Sie an die Services übermitteln, datenunabhängig ist.

Measures for maintaining security as a shared responsibility

 

Weitere Informationen zum Anpassen und Konfigurieren von Abonnementservices finden Sie in unserem Artikel Richtlinie zur sicheren Freigabe konfigurieren und anderen zugehörigen Hilfeartikeln. 

Wenn Sie sich dafür entscheiden, Anlagen über einen Drittanbieter zu integrieren oder zu speichern, sind Sie allein dafür verantwortlich, sicherzustellen, dass alle angemessenen Kontrollen und Vereinbarungen vorhanden sind.

Weitere Ressourcen

Die unten verlinkten Ressourcen sind zwar nicht HIPAA-spezifisch, können Ihnen aber helfen, zu verstehen, wie der Abonnementservice unter Berücksichtigung von Datenschutz, Vertraulichkeit und Datenverfügbarkeit konzipiert ist.

Dieser Hilfeartikel dient nur zu Informationszwecken. Alle Kund*innen sollten im Rahmen einer unabhängigen Bewertung ermitteln, ob ihre Nutzung der Abonnementservices mit ihren Compliance-Anforderungen vereinbar ist. Smartsheet übernimmt keine ausdrückliche, stillschweigende oder gesetzliche Garantie für die Informationen in diesem Dokument.

Wenn Sie für die Übermittlung von PHI berechtigte Services nutzen und feststellen, dass Sie eine BAA mit Smartsheet eingehen müssen, wenden Sie sich an Ihre*n Smartsheet-Kundenbetreuer*in oder kontaktieren Sie unser Vertriebsteam über das Formular Smartsheet für Gesundheitsdienstleister.