Hacer que tu cuenta de Acuity cumpla con la HIPAA.
Acuity Scheduling fue diseñado para cumplir los requisitos de las disposiciones de seguridad de la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA, por sus siglas en inglés). Otras partes de la plataforma de Squarespace, incluidas las funciones del formulario de contacto, como el bloque de formulario, no se pueden emplear como parte de una solución para el cumplimiento de HIPAA. Para recopilar los datos del paciente de manera segura en línea para otras áreas fuera de Acuity, te recomendamos vincular con un servicio externo que cumpla las disposiciones de la ley.
Esta guía explica cómo Acuity maneja la Información Médica Protegida, según cómo se define el término en las leyes estadounidenses. Si no perteneces al sector sanitario, probablemente, esta guía no te concierna.
Nota: Acuity es la única función de Squarespace que actualmente ha sido diseñada para ofrecer servicios que satisfacen tus obligaciones conforme a HIPAA. Tu Anexo de Asociado Comercial (BAA, por sus siglas en inglés) no comprende otras funciones de Squarespace. No debes retener ni transmitir Información Médica Protegida a través de Squarespace por fuera de Acuity.
Puedes hacer que tu cuenta de Acuity esté habilitada para HIPAA en el plan Powerhouse.
Acuity cumple los requisitos de las disposiciones de seguridad de HIPAA
Un consultor independiente y calificado en materia de seguridad de la información revisó Acuity. Este validó que Acuity cumple los requisitos de las disposiciones de seguridad de HIPAA.
Hacer que tu cuenta cumpla los requisitos de HIPAA
- Asegúrate de estar en el plan Powerhouse.
- En Acuity, haz clic en Personalizar el aspecto.
- Haz clic en Opciones de la página de reserva de citas.
- Haz clic en el enlace de la parte superior de la página para iniciar el proceso de suscribir un BAA.
- Revisa el BAA y verifica que comprendes tus obligaciones.
- Para suscribir al BAA, envía la información necesaria y haz clic en Enviar.
Tus responsabilidades según la HIPAA
Solo habilitar las funciones relacionadas con HIPAA en Acuity no es suficiente para que cumplas tus obligaciones de la HIPAA. También debes comprobar que tus prácticas comerciales y tus sistemas funcionen con Acuity para mantenerte en cumplimiento de la ley.
Para usar Acuity de manera tal que cumpla las disposiciones de seguridad de la HIPAA, debes actuar con responsabilidad cuando configures tu cuenta. Estas responsabilidades incluyen seleccionar cuidadosamente la cantidad y el tipo de información médica protegida en formato electrónico que se incluye y que se excluye en los mensajes de texto y de correo electrónico, además de suscribir un Anexo para Asociados Comerciales (BAA, por sus siglas en inglés) con Squarespace.
El BAA rige el uso y la protección de la Información Médica Protegida que se intercambia entre una "entidad cubierta" y un "asociado comercial". En este caso, si eres una entidad cubierta conforme a la HIPAA, Squarespace es un asociado comercial para ti. Si deseas informarte mejor, visita el sitio del Departamento de Salud y Servicios Sociales de los Estados Unidos.
Requisitos generales
- Debes tener un plan Powerhouse para habilitar los servicios relacionados con HIPAA y suscribir un BAA con Squarespace. No suscribimos BAA externos para este plan, pero los BAA personalizados están disponibles en el plan Enterprise por un costo adicional. Para informarte mejor sobre los planes Enterprise, comunícate con nosotros.
- Comprueba que hayas hecho que tu cuenta de Acuity cumpla los requisitos de HIPAA antes de retener o transmitir Información Médica Protegida a través de tu cuenta.
- Debes hacer que todas tus cuentas de Acuity cumplan los requisitos de HIPAA. Una cuenta solo cumple los requisitos de HIPAA cuando se suscribe un BAA para esa cuenta específica.
- Tú eres el único responsable de verificar que se hayan implementado los controles, las configuraciones y las limitaciones adecuadas para satisfacer tus necesidades y cumplir los requisitos de la HIPAA. Cada organización dirige y determina sus propias prácticas para el cumplimiento de HIPAA, incluidos cómo se implementan ciertos controles, la desidentificación y los tipos de información que se intercambian entre tu organización, tus clientes y Squarespace. Cada organización es diferente y tiene distintas necesidades; por ese motivo, brindamos ajustes que te permiten seguir tu propio programa de cumplimiento.
Protecciones adicionales para las cuentas de Acuity Scheduling que cumplen los requisitos de HIPAA
Todas las cuentas de Acuity comparten la mayoría de las protecciones técnicas y de seguridad, pero hay protecciones adicionales para las cuentas que cumplen los requisitos de HIPAA:
- Las notificaciones que te enviamos por correo electrónico no incluyen las respuestas del formulario del cliente.
- Los formularios de admisión solo aceptan la carga de archivos de una computadora o de un dispositivo local. No se permite cargar desde Google Docs ni servicios similares.
- Los clientes no pueden usar direcciones de correo electrónico para verificar los saldos del paquete, el vale regalo o los códigos de suscripción.
- No se puede sincronizar el calendario con Office 365, Outlook.com, Live.com, Exchange e iCloud. Antes de que tu cuenta de Acuity cumpla los requisitos de HIPAA, debes desactivar la sincronización con esos servicios.
- La integración con Email Marketing de Squarespace no está disponible. Si esta integración está activa, eres responsable de deshabilitarla antes de que tu cuenta de Acuity esté habilitada para la HIPAA.
- La función de facturas de Acuity no está habilitada.
- La integración con Reservar con Google no está habilitada.
- Los correos electrónicos de recordatorio de renovación de suscripción no incluyen nombres de suscripción.
Controles y configuración de las notificaciones por correo electrónico y por mensaje de texto
- Las notificaciones por correo electrónico y por mensaje de texto pueden estar preconfiguradas para contener Información Médica Protegida (PHI, por sus siglas en inglés), incluidos el nombre del cliente, su dirección de correo electrónico, el tipo de cita y la fecha y hora de la cita. Tú eres responsable de cambiar la información en los mensajes actualizando tu configuración de notificaciones.
- Como opción predeterminada, los mensajes de confirmación inicial y de reprogramación que se envían al cliente y a ti contienen un archivo de calendario (invitación ICS) como adjunto. Esta invitación ICS contiene el nombre del cliente, el tipo de cita y la hora de la cita. Para desactivar esta función, comunícate con nosotros.
- Si no desactivarás las notificaciones por correo electrónico, Acuity te enviará mensajes de correo electrónico con los campos De y Responder a con el nombre y la dirección de correo electrónico del cliente.
- Los clientes pueden optar por no recibir correos electrónicos de marketing haciendo clic en Cancelar suscripción. Continuarán recibiendo correos electrónicos automatizados que documentan las transacciones completadas. Pueden optar por no recibir mensajes de texto contestando STOP. Cuando haces una reserva en nombre del cliente, puedes impedir que se envíen las notificaciones omitiendo la dirección de correo electrónico o el número de teléfono en los detalles de la cita.
Integraciones de terceros y la HIPAA
Muchas integraciones de terceros no cumplen los requisitos de HIPAA. Puedes deshabilitar algunas integraciones o todas para hacer que tu cuenta de Acuity cumpla los requisitos de HIPAA.
Si conectas la cuenta de Acuity con una integración de terceros, como Google Calendar o Stripe, es tu responsabilidad determinar si la integración es aceptable para tu empresa o modificar tu uso, configuración, medidas de seguridad o información para que se adecuen a tus prácticas y obligaciones respecto del cumplimiento de HIPAA. También es tu responsabilidad ingresar los nuevos acuerdos contractuales necesarios para cumplir las prácticas y las obligaciones respecto del cumplimiento de HIPAA. Debes hacer todo esto antes de usar el servicio de terceros.
Acceso al BAA
Puedes revisar o descargar tu BAA en cualquier momento:
- En Acuity, haz clic en Personalizar el aspecto.
- Haz clic en Opciones de página de programación y, a continuación, haz clic en Ver y descargar tu BAA firmada.
- Si lo deseas, haz clic en Descargar como PDF para tener una copia.