Sorge dafür, dass dein Acuity-Konto HIPAA-konform ist.
Acuity Scheduling ist darauf ausgelegt, dich in die Lage zu versetzen, die Anforderungen der Sicherheitsvorschriften des Health Insurance Portability and Accountability Act (HIPAA) zu erfüllen. Andere Teile der Squarespace-Plattform, darunter Kontaktformular-Funktionen wie der Formular-Block, können nicht als Teil einer HIPAA-konformen Lösung verwendet werden. Wir empfehlen, zur sicheren Erhebung von Patienteninformationen für Bereiche außerhalb von Acuity auf einen externen Service zu verlinken, der die entsprechenden Vorgaben erfüllt.
In dieser Anleitung wird beschrieben, wie Acuity mit geschützten Gesundheitsinformationen im Sinne des Rechts der Vereinigten Staaten umgeht. Wenn du nicht im Gesundheitsbereich tätig bist, betrifft diese Anleitung dich wahrscheinlich nicht.
Hinweis: Acuity ist die einzige Squarespace-Funktion, die derzeit darauf ausgelegt ist, Services in Übereinstimmung mit den HIPAA-Verpflichtungen anzubieten. Dein Business Associate Addendum (BAA) deckt keine anderen Funktionen von Squarespace ab. Du solltest keine geschützten Gesundheitsinformationen außerhalb von Acuity über Squarespace pflegen oder übertragen.
Du kannst dein Acuity-Konto mit dem Powerhouse-Abonnement HIPAA-konform machen.
Scheduling erfüllt die Anforderungen der HIPAA-Sicherheitsregeln
Ein qualifizierter externer Berater für Informationssicherheit hat Acuity geprüft. Der Berater hat bestätigt, dass Acuity in der Lage ist, die Anforderungen der HIPAA-Sicherheitsregeln zu erfüllen.
Mache dein Konto HIPAA-konform
- Stelle sicher, dass du das Powerhouse-Abonnement verwendest.
- Klicke in Acuity auf Erscheinungsbild anpassen.
- Klicke auf Optionen für Terminplanungs-Seite.
- Klicke auf den Link oben auf der Seite, um den Prozess zum Abschluss eines BAA zu beginnen.
- Überprüfe das BAA und vergewissere dich, dass du deine Verpflichtungen verstanden hast.
- Schließe das BAA ab, indem du die erforderlichen Informationen einreichst und auf Senden klickst
Deine Pflichten für HIPAA
Die Aktivierung von HIPAA-bezogenen Funktionen in Acuity allein reicht nicht aus, um die HIPAA-Konformität zu erreichen. Du musst außerdem sicherstellen, dass deine Geschäftspraktiken und Systeme im Einklang mit Acuity sind, um die Einhaltung der Vorschriften zu gewährleisten.
Um Acuity so zu nutzen, dass es der HIPAA-Sicherheitsregelung entspricht, musst du bei der Einrichtung deines Kontos verantwortungsvoll vorgehen. Zu diesen Pflichten gehören die sorgfältige Auswahl der Menge und Art der elektronisch geschützten Gesundheitsinformationen, die in SMS- und E-Mail-Nachrichten enthalten und von diesen ausgeschlossen sind, sowie der Abschluss eines Business Associate Addendum (BAA) mit Squarespace.
Ein BAA regelt die Nutzung und den Schutz von geschützten Gesundheitsinformationen, die zwischen einer „abgedeckten Organisation“ („covered entity“) und einem „Geschäftspartner“ („business associate“) ausgetauscht werden. Wenn du in dieser Situation eine abgedeckte Organisation gemäß HIPAA bist, dann ist Squarespace für dich ein Geschäftspartner. Mehr darüber erfährst du auf der Website des U.S. Department of Health and Human Services.
Allgemeine Anforderungen
- Du musst über das Powerhouse-Abonnement verfügen, um HIPAA-bezogene Dienstleistungen zu aktivieren und ein BAA mit Squarespace abzuschließen. Wir gehen für dieses Abonnement keine externen BAAs ein, aber kundenspezifische BAAs für Enterprise-Abonnements sind gegen Aufpreis erhältlich. Wenn du mehr über Enterprise-Abonnements erfahren möchtest, kontaktiere uns.
- Vergewissere dich, dass du dein Acuity-Konto HIPAA-konform gemacht hast, bevor du geschützte Gesundheitsinformationen über dein Konto verwaltest oder überträgst.
- Du musst jedes Acuity-Konto HIPAA-konform machen. Ein Konto wird nur dann HIPAA-konform, wenn ein separates BAA für dieses spezifische Konto abgeschlossen wird.
- Du bist allein dafür verantwortlich, dass die richtigen Kontrollen, Einstellungen und Einschränkungen vorhanden sind, um deine Anforderungen zu erfüllen und die HIPAA-Compliance zu gewährleisten. Jedes Unternehmen kontrolliert und bestimmt seine eigenen Vorgehensweisen für die HIPAA-Compliance, einschließlich der Implementierung bestimmter Kontrollen, der Anonymisierung sowie der Arten von Informationen, die zwischen deinem Unternehmen, deinen Kunden und Squarespace ausgetauscht werden. Jedes Unternehmen ist anders und hat andere Bedürfnisse. Daher stellen wir Einstellungen bereit, die dir helfen sollen, dein eigenes Compliance-Programm zu erfüllen.
Zusätzliche Schutzmechanismen für HIPAA-konforme Acuity Scheduling-Konten
Acuity-Konten verfügen größtenteils über dieselben technischen Vorkehrungen und Sicherheitsvorkehrungen, doch es gibt zusätzliche Schutzmaßnahmen speziell für HIPAA-konforme Konten:
- E-Mail-Benachrichtigungen, die wir dir senden, enthalten keine Antworten auf Kundenformulare.
- Aufnahmeformulare akzeptieren nur Datei-Uploads von einem lokalen Computer oder Gerät. Das Hochladen aus Google Docs und ähnlichen Diensten ist deaktiviert.
- Kunden können keine E-Mail-Adressen verwenden, um das Guthaben von Paket-, Geschenkgutschein- oder Abonnementcodes zu überprüfen.
- Kalender-Synchronisierung mit Office 365, Outlook.com, Live.com, Exchange und iCloud sind nicht verfügbar. Bevor du dein Acuity-Konto HIPAA-konform machst, deaktiviere bitte jegliche Synchronisierung mit diesen Diensten.
- Die Integration mit Squarespace E-Mail-Marketing ist nicht verfügbar. Wenn diese Integration aktiv ist, bist du dafür verantwortlich, sie zu deaktivieren, bevor du dein Acuity-Konto HIPAA-konform machst.
- Die Rechnungsfunktion von Acuity ist nicht aktiviert.
- Die Integration mit „Mit Google reservieren“ ist nicht aktiviert.
- Erinnerungs-E-Mails zur Abonnementverlängerung enthalten keine Abonnementnamen.
Steuerelemente und Einstellungen für E-Mail- und SMS-Benachrichtigungen
- E-Mail- und SMS-Benachrichtigungen können standardmäßig geschützte Gesundheitsinformationen (Protected Health Information, PHI) enthalten, einschließlich Kundennamen, E-Mail-Adressen, Terminarten sowie Datum und Uhrzeit von Terminen. Du bist dafür verantwortlich, die Informationen in Nachrichten zu ändern, indem du deine Benachrichtigungseinstellungen aktualisierst.
- Standardmäßig enthalten die Nachrichten zur Bestätigung und beim Verschieben von Terminen, die an den Kunden und an dich gesendet werden, eine Kalenderdatei (ICS-Einladung) als Anlage. Diese ICS-Einladung enthält den Namen des Kunden, die Terminart und die Uhrzeit des Termins. Um diese Funktion zu deaktivieren, kontaktiere uns bitte.
- Wenn du die E-Mail-Benachrichtigungen nicht deaktivierst, sendet Acuity dir E-Mails mit den Feldern Von und Antwort an, die den Namen und die E-Mail-Adresse des Kunden enthalten.
- Kunden können sich von Marketing-E-Mails abmelden, indem sie auf Abbestellen klicken. Sie erhalten weiterhin automatisierte E-Mails bezüglich abgeschlossener Transaktionen. Sie können sich von SMS-Nachrichten abmelden, indem sie mit STOP antworten. Wenn du einen Termin im Namen eines Kunden vereinbarst, kannst du das Senden von Benachrichtigungen verhindern, indem du die E-Mail-Adresse oder Telefonnummer des Kunden in den Termindetails nicht angibst.
Drittanbieter-Integrationen und HIPAA
Viele Integrationen von Drittanbietenden unterstützen HIPAA nicht. Du kannst einige oder alle dieser Integrationen deaktivieren, bevor du dein Acuity-Konto HIPAA-konform machst.
Wenn du Acuity mit Integrationen von Drittanbietenden wie Google Kalender oder Stripe verbindest, liegt es in deiner Verantwortung, festzustellen, ob die jeweilige Integration für dein Unternehmen akzeptabel ist, und/oder deine Nutzung, Einstellungen, Sicherheit oder Informationen zu ändern, um deine HIPAA-Compliance-Praktiken und -Verpflichtungen zu erfüllen. Es liegt darüber hinaus in deiner Verantwortung, alle neuen vertraglichen Vereinbarungen zu treffen, die notwendig sind, um deine HIPAA-Compliance-Praktiken und -Verpflichtungen zu erfüllen. All dies solltest du tun, bevor du den Service von Drittanbietenden nutzt.
Greifen Sie auf Ihre BAA zu
Du kannst dein BAA jederzeit überprüfen oder herunterladen:
- Klicke in Acuity auf Erscheinungsbild anpassen.
- Klicke auf Optionen für Terminplanungs-Seite und dann auf Unterschriebenes BAA anzeigen und herunterladen.
- Optional kannst du auch auf Als PDF herunterladen klicken, um eine Kopie herunterzuladen.