Gilt für
Smartsheet und HIPAA
Dieser Hilfeartikel soll Sicherheitsbeauftragten, Compliance-Beauftragten, IT-Administratoren und anderen Mitarbeitern von Smartsheet-Kunden („Sie“, „Ihr“ usw.), die für die Verwendung von Smartsheet-Abonnementservices zur Speicherung oder Verarbeitung geschützter Gesundheitsinformationen auf eine Weise qualifiziert sind, die es ihnen erlaubt, ihre Verpflichtungen unter dem The Health Insurance Portability and Accountability Act („HIPAA“) in seiner abgeänderten Form zu erfüllen, einschließlich des Health Information Technology for Economic and Clinical Health („HITECH“) Act.
Dieser Artikel stellt keine juristische Beratung dar und ist auch nicht dafür konzipiert. Stattdessen können Sie alle in diesem Artikel dargebotenen Informationen als Teil Ihrer eigenen Bemühungen zur HIPAA-Compliance lesen. Sämtliche groß geschriebenen Begriffe hierin, die nicht definiert wurden, sind definiert laut HIPAA oder laut der Vereinbarung, die Ihre Nutzung der Abonnement-basierten Online-Services von Smartsheet („Abonnement-Vereinbarung“) regelt.
HIPAA
HIPAA ist ein US-Bundesgesetz, das die nationalen Standards dafür festlegt, wie Krankenkassen, Abrechnungsstellen von Gesundheitseinrichtungen und Anbieter im Gesundheitswesen („Abgedeckte Entitäten“) auf Patienteninformationen, die als „Geschützte Gesundheitsinformationen“ (oder „PHI“ im Englischen) bezeichnet werden, zugreifen, diese verwenden und offenlegen. Die durch den HIPAA festgelegten nationalen Standards können auch auf Unterauftragnehmer erweitert werden, die Dienste für die Abgedeckten Entitäten erbringen („Geschäftspartner“) oder deren Unterauftragnehmer („Unterauftragnehmer von Geschäftspartnern“) und in deren Namen in Kontakt mit geschützten Gesundheitsinformationen kommen. Der HIPAA wird durch das US Department of Health and Human Services umgesetzt.
Servicebeschreibung
Smartsheet bietet seinen Kunden Abonnement-basierte Online-Services und -Anwendungen (insgesamt die „Abonnementservices“), die qualifizierten Kunden mit zusätzlichen Sicherheitsmaßnahmen zur Verfügung gestellt werden, die es den Kunden erlauben sollen, ihren Verpflichtungen laut HIPAA nachzukommen. Smartsheet implementiert die strengere Gestaltung und Konfiguration der Anforderungen im Einklang mit dem Ansatz der Empfehlungen des SANS Institute, National Institute of Standards and Technology (NIST) und/oder Center for Internet Security (CIS) oder Nachfolgestandards, die in der Branche weithin verwendet werden und es Ihnen erlauben sollen, Ihre Verpflichtungen laut HIPAA zu erfüllen. Sämtliche Daten, Dateianlagen, Texte, Bilder, Berichte, persönlichen Informationen oder andere Inhalte, die Sie oder Ihre Benutzer in die Online-Services hochladen oder einreichen und die von Smartsheet für Sie oder in Ihrem Namen verarbeitet werden, werden in verschlüsselter Form (bei der Übertragung und im Ruhezustand) beibehalten. Die von Ihnen an die Online-Services übertragenen Daten sind durch Sicherheitssteuerungen vor unbefugtem Zugriff geschützt, die einem Schutz entsprechend einer logischen Segregation entsprechen. Smartsheet ist Geschäftspartnervereinbarungen mit seinen Unterauftragnehmern eingegangen, die Kundendaten verarbeiten, wodurch Sie Dateianlagen mit geschützten Gesundheitsinformationen in den Abonnement-Services so speichern können, dass Sie Ihre HIPAA-Verpflichtungen einhalten können. Wenn Sie auswählen, Anlagen über einen Dritten zu integrieren oder zu speichern, sind Sie allein dafür verantwortlich, sicherzustellen, dass angemessene Kontrollen und Vereinbarungen bestehen. Smartsheet ist datenagnostisch im Hinblick auf die Behandlung und die Art oder Substanz der Daten, die Sie an die Services weiterreichen. Smartsheet greift nur auf die Substanz Ihrer Daten zu bzw. analysiert diese, (a) wenn Sie dies anfordern, um Services oder Unterstützung bereitzustellen; und (b) wie dies erforderlich ist, damit Smartsheet (i) geltende Gesetze oder rechtliche Vorschriften erfüllen kann oder (ii) Fälle von mutmaßlichem Missbrauch, Betrug oder Verletzung der Abonnement-Vereinbarung untersuchen, verhindern oder entsprechende Maßnahmen ergreifen kann.
Externe Analyseorganisation (Third Party Assessment Organization, 3PAO)
Smartsheet setzt externe Analysten (3PAOs) ein, um die Angemessenheit seiner Sicherheitsmaßnahmen in Zusammenhang mit den Abonnement-Services auf jährlicher Basis zu untersuchen. Diese Prüfung: (a) umfasst die Testung des gesamten Analysezeitraums seit dem Ende des letzten Analysezeitraums; (b) wird entsprechend AICPA SOC2-Standards oder anderer alternativer Standards durchgeführt, die AICPA SOC2 grundsätzlich entsprechen; (c) wird durch unabhängige externe Sicherheitsexperten nach Auswahl und auf Kosten von Smartsheet durchgeführt; und (d) führt zur Erstellung eines Prüfberichts („Prüfbericht“) in Zusammenhang mit den Abonnement-Services, der von Smartsheet allgemein verfügbar gemacht wird.
Ein Prüfbericht wird Ihnen auf schriftliche Anfrage und nicht mehr als einmal jährlich zur Verfügung gestellt, und zwar unter Einhaltung gegenseitig vereinbarter Verschwiegenheitsbestimmungen, die den Prüfbericht abdecken. Um Zweifel auszuschließen, bei dem Ihnen zur Verfügung gestellten Prüfbericht handelt es sich um vertrauliche Informationen von Smartsheet.
Verantwortung des Kunden
Um geschützte Gesundheitsinformationen in den Online-Services zu speichern, benötigen Sie einen Enterprise-Plan (ausschließlich Legacy Enterprise) und müssen eine Smartsheet-Geschäftspartnervereinbarung (Business Associate Agreement, „BAA“) abgeschlossen haben. Nur Enterprise-Benutzer haben die Möglichkeit, die Funktionen und Funktionalitäten zu implementieren, die erforderlich sind, um Smartsheet so zu verwenden, dass Sie Ihre HIPAA-Verpflichtungen erfüllen können. Wenn Sie zu dem Schluss kommen, dass Sie detailliertere Benutzerprüffunktionen benötigen, empfehlen wird, dass Sie Ereignisberichte nutzen oder sich Zugriff auf Smartsheet Advance holen.
Modell der gemeinsamen Verantwortung
Smartsheet setzt ein Software-as-a-Service- („SaaS“-)Modell der gemeinsamen Verantwortung zwischen Ihnen und Smartsheet ein. Smartsheet ist dafür verantwortlich, Maßnahmen für Ihre Plattform zur Verfügung zu stellen, die es Ihnen ermöglichen, Ihre gesetzlichen Compliance-Anforderungen zu erfüllen. Diese Maßnahmen umfassen die Wartung von Informationssystemen durch Einbeziehung von Schutz-, Erkennungs- und Reaktionskapazitäten, wie in Abbildung 1 unten dargestellt. Informationen zu spezifischen Kontrollanweisungen und -empfehlungen finden Sie im Abschnitt zur Kundenverantwortung zur Konfiguration der Sicherheitseinstellungen unten.
Sie sind dafür verantwortlich zu entscheiden, ob eine Geschäftspartnervereinbarung mit Smartsheet erforderlich ist sowie zur Sicherstellung, dass Sie und Ihre Benutzer die Abonnement-Services im Einklang mit Ihren HIPAA-Verpflichtungen nutzen. Dies umfasst das Verständnis und die Implementierung der von Smartsheet zur Verfügung gestellten anpassbaren Sicherheitssteuerungen, die Sie als erforderlich ansehen, um Ihre HIPAA-Compliance-Verpflichtungen zu erfüllen.
Kundenverantwortung zur Konfiguration der Sicherheitseinstellungen
Smartsheet bietet anpassbare Einstellungen, die sicherstellen sollen, dass Ihre Daten sicher sind. Diese Einstellungen sollen gewährleisten, dass sämtliche geschützten Gesundheitsinformationen, die Sie an die Abonnement-Services senden in Übereinstimmung mit Ihren Anweisungen und/oder wie durch die Geschäftspartnervereinbarung zwischen Ihnen und Smartsheet zulässig verwendet und/oder eingesehen werden. Sie sind allein dafür verantwortlich zu gewährleisten, dass Ihre Nutzung der Online-Services es Ihnen erlaubt, Ihre HIPAA-Verpflichtungen zu erfüllen. Bitte lesen Sie Sicherheitssteuerung für einen Enterprise-Plan konfigurieren und andere verwandte Hilfeartikel für weitere Details und Anweisungen.
Weitere Ressourcen
Die weiteren Ressourcen, zu denen Sie im Anschluss Links finden, helfen Ihnen dabei zu verstehen, wie der Abonnement-Service in Bezug auf Datenschutz, Vertraulichkeit und Verfügbarkeit der Daten gestaltet ist. Sie können auch unsere Seite Smartsheet für Gesundheitsdienstleister besuchen und unser Gesundheitsdienstleisterteam kontaktieren, um weitere Informationen zu erhalten.
Dieser Hilfeartikel dient nur zu Informationszwecken. Jeder Kunde sollte seine eigene Nutzung der Abonnement-Services unabhängig angemessen bewerten, um seine rechtlichen Verpflichtungen erfüllen zu können. SMARTSHEET GIBT KEINE GARANTIEN, WEDER AUSDRÜCKLICHER NOCH STILLSCHWEIGENDER ART ODER GESETZLICH VORGESCHRIEBEN IN BEZUG AUF DIE INFORMATIONEN IN DIESEM DOKUMENT.