Smartsheet und HIPAA-Compliance

Dieser Artikel stellt keine Rechtsberatung dar und ist auch nicht als solche gedacht; Stattdessen sollten Sie alle Informationen in diesem Artikel im Rahmen Ihrer eigenen HIPAA-Compliance-Bemühungen überprüfen.

Alle großgeschriebenen Begriffe, die hier verwendet, aber nicht definiert werden, müssen die Definitionen aufweisen, die im Rahmen von HIPAA oder der Vereinbarung zugewiesen wurden, die Ihre Nutzung der abonnementbasierten Online-Dienste von Smartsheet regelt (Abonnementvereinbarung).

HIPAA

HIPAA ist ein Bundesgesetz, das nationale Standards dafür festlegt, wie Krankenkassen, Clearingstellen im Gesundheitswesen und Gesundheitsdienstleister (Covered Entities) auf Patientendaten zugreifen, diese verwenden oder offenlegen, so genannte geschützte Gesundheitsdaten (PHI). 

Die nationalen Standards im Rahmen von HIPAA können sich auch auf Auftragnehmer erstrecken, die den abgedeckten Organisationen (Geschäftspartnern) Dienstleistungen zur Verfügung stellen, oder auf deren Unterauftragnehmer (Unterauftragnehmer von Geschäftspartnern), die im Namen der Geschäftspartner mit geschützten Patientendaten in Berührung kommen. HIPAA wird vom US Department of Health and Human Services durchgesetzt.

BESCHREIBUNG DES SERVICES

Smartsheet bietet seinen Kunden abonnementbasierte Online-Dienste und -Anwendungen (zusammen die Abonnementdienste), die berechtigten Kunden mit zusätzlichen Sicherheitsmaßnahmen zur Verfügung gestellt werden, damit Kunden ihren Verpflichtungen aus HIPAA nachkommen können.

Smartsheet implementiert Härtungs- und Konfigurationsanforderungen, die mit den Empfehlungen des SANS Institute, des National Institute of Standards and Technology (NIST) und/oder des Center for Internet Security (CIS) oder den branchenweit verbreiteten Nachfolgestandards übereinstimmen, damit Sie Ihren Verpflichtungen aus HIPAA nachkommen können.

Alle Daten, Anhänge, Texte, Bilder, Berichte, persönlichen Informationen oder sonstigen Inhalte, die Sie oder Ihre Benutzer hochladen oder an die Onlinedienste übermitteln und die von Smartsheet für Sie oder in Ihrem Namen verarbeitet werden, werden in verschlüsselter Form gespeichert (während der Übertragung und im Ruhezustand). Die Daten, die Sie an die Online-Dienste übermitteln, sind durch Sicherheitskontrollen vor unbefugtem Zugriff geschützt, die einen Schutz bieten, der einer logischen Trennung entspricht.

Smartsheet schließt mit seinen Subunternehmern, die Kundendaten verarbeiten, Geschäftspartnervereinbarungen ab, die es Ihnen ermöglichen, Dateianhänge mit geschützten Patientendaten in den Abonnementdiensten zu speichern, sodass Sie Ihre HIPAA-Verpflichtungen erfüllen können.

Wenn Sie sich dafür entscheiden, Anlagen in einen Drittanbieter zu integrieren oder über diesen zu speichern, sind Sie allein dafür verantwortlich, sicherzustellen, dass die richtigen Kontrollen und Vereinbarungen vorhanden sind. Smartsheet ist datenunabhängig in Bezug auf ihre Behandlung und die Art oder den Inhalt der Daten, die Sie an die Dienste übermitteln.

Smartsheet werden nur auf den Inhalt Ihrer Daten zugreifen oder diese analysieren, (a) wie von Ihnen angefordert, um die Bereitstellung von Dienstleistungen oder Support zu ermöglichen; und (b) soweit dies erforderlich ist, damit Smartsheet (i) geltende Gesetze oder Gerichtsverfahren einhalten oder (ii) mutmaßlichen Missbrauch, Betrug oder Verstoß gegen den Abonnementvertrag untersuchen, verhindern oder Maßnahmen ergreifen können.

Unabhängige Bewertungsorganisation (3PAO)

 

Smartsheet setzt externe Gutachter (3PAOs) ein, um die Angemessenheit seiner Sicherheitsmaßnahmen im Zusammenhang mit den Abonnementdiensten jährlich zu überprüfen. Dieses Audit:

(a) umfasst die Prüfung des gesamten Messzeitraums seit dem Ende des vorherigen Messzeitraums;

(b) gemäß AICPA SOC2-Standards oder anderen alternativen Standards durchgeführt werden, die im Wesentlichen AICPA SOC2 gleichwertig sind;

(c) von unabhängigen Sicherheitsexperten Dritter auf Auswahl und Kosten von Smartsheet durchgeführt werden; und

(d) zur Erstellung eines Prüfberichts (Prüfbericht) in Bezug auf die Abonnementdienste führt, der von Smartsheet allgemein zur Verfügung gestellt wird.

Ein Prüfungsbericht wird Ihnen auf Ihre schriftliche Anfrage hin und nur einmal jährlich zur Verfügung gestellt, vorbehaltlich einvernehmlich vereinbarter Geheimhaltungsbedingungen für den Prüfungsbericht. Zur Klarstellung: Alle Ihnen zur Verfügung gestellten Prüfungsberichte sind vertrauliche Informationen von Smartsheet.

   Verantwortlichkeiten von Kund*innen:

Um PHI in den Online-Diensten speichern zu können, müssen Sie über einen Enterprise-Plan (mit Ausnahme von veralteten Enterprise ) verfügen und die Geschäftspartnervereinbarung (Business Associate Agreement, BAA) von Smartsheet abgeschlossen haben.

Nur Enterprise Benutzer haben die Möglichkeit, die Smartsheet Features und Funktionen zu implementieren, die erforderlich sind, damit Sie Ihren Verpflichtungen im Rahmen von HIPAA nachkommen können. Wenn Sie feststellen, dass Sie detailliertere Benutzerüberwachungsfunktionen benötigen, empfiehlt es sich, die Ereignisberichte zu nutzen oder Zugriff auf Smartsheet Advance zu haben.

Modell der geteilten Verantwortung

Smartsheet wendet ein Software-as-a-Service (SaaS)-Modell der geteilten Verantwortung zwischen Ihnen und Smartsheet an. Smartsheet ist dafür verantwortlich, unserer Plattform Maßnahmen zur Verfügung zu stellen, die es Ihnen ermöglichen, Ihre gesetzlichen Compliance-Anforderungen zu erfüllen. Zu diesen Maßnahmen gehört die Wiederherstellung von Informationssystemen durch die Integration von Schutz-, Erkennungs- und Reaktionsfähigkeiten, wie in Abbildung 1 unten beschrieben. Spezifische Steueranweisungen und Empfehlungen finden Sie weiter unten im Abschnitt Verantwortung des Kunden für die Konfiguration der Sicherheitseinstellungen.

Sie sind dafür verantwortlich, festzustellen, ob eine Geschäftspartnervereinbarung mit Smartsheet erforderlich ist, und sicherzustellen, dass Sie und Ihre Nutzer die Abonnementdienste in Übereinstimmung mit Ihren Verpflichtungen gemäß HIPAA nutzen. Dazu gehört auch das Verständnis und die Implementierung der Smartsheet bereitgestellten, anpassbaren Sicherheitskontrollen, die Sie für notwendig erachten, um Ihre HIPAA-Compliance-Verpflichtungen zu erfüllen. 

Verantwortung des Kunden für die Konfiguration der Sicherheitseinstellungen

Smartsheet bietet anpassbare Einstellungen, um die Sicherheit Ihrer Daten zu gewährleisten. Diese Einstellungen sollen sicherstellen, dass alle geschützten Patientendaten, die Sie an die Abonnementdienste übermitteln, in Übereinstimmung mit Ihren Anweisungen und/oder gemäß dem vom BAA zwischen Ihnen und Smartsheet zulässigen Daten verwendet und/oder abgerufen werden. Die Verpflichtung, sicherzustellen, dass Ihre Nutzung der Online-Dienste es Ihnen ermöglicht, Ihren HIPAA-Verpflichtungen nachzukommen, liegt in Ihrer alleinigen Verantwortung.

Weitere Einzelheiten und Anweisungen finden Sie unter Sicherheitssteuerung für einen Enterprise-Plan konfigurieren und in anderen verwandten Hilfeartikeln.

Weitere Ressourcen

Die unten verlinkten zusätzlichen Ressourcen sind zwar nicht HIPAA-spezifisch, können Ihnen aber dabei helfen zu verstehen, wie der Abonnementdienst unter Berücksichtigung von Datenschutz, Vertraulichkeit und Verfügbarkeit von Daten konzipiert wurde.

• Datenschutzhinweis von Smartsheet
• Smartsheet-Hilfeartikel
• Smartsheet für Gesundheitsdienstleister

Dieser Hilfeartikel dient nur zu Informationszwecken. Jeder Kunde sollte seine eigene Nutzung der Abonnementdienste unabhängig bewerten, um seine gesetzlichen Verpflichtungen zu erfüllen. Smartsheet übernimmt keine ausdrückliche, stillschweigende oder gesetzliche Gewährleistung in Bezug auf die Informationen in diesem Dokument.

 

Weitere Unterstützung zu HIPAA erhalten Sie auf unserem Finanz-Team