Deixando sua conta Acuity em conformidade com a HIPAA.
O Acuity Scheduling foi desenvolvido para você atender aos requisitos da Regra de Segurança da Lei de Portabilidade e Responsabilização de Seguros de Saúde (HIPAA). Outras seções da plataforma Squarespace, incluindo recursos do formulário para contato, como o bloco de formulário, não podem ser usadas como parte de uma solução em conformidade com a HIPAA. Para coletar informações seguras on-line sobre pacientes em áreas fora do Acuity, recomendamos vincular um serviço externo.
Este guia aborda como o Acuity lida com as Informações Protegidas sobre Saúde conforme interpretadas na legislação dos EUA. Este guia é voltado apenas para quem trabalha na área da saúde.
Atenção: no momento, o Acuity é o único recurso do Squarespace que oferece serviços de acordo com as normas da HIPAA. O seu Adendo de Associado Corporativo (BAA) não cobre outros recursos do Squarespace. Você não pode manter nem transmitir Informações Protegidas sobre Saúde pelo Squarespace fora do Acuity.
Para que sua conta Acuity cumpra com a HIPAA, assine o plano Powerhouse.
O Acuity atende aos requisitos da Regra de Segurança da HIPAA
Um consultor qualificado em segurança de informações externas analisou o Acuity e confirmou que ele atende aos requisitos da Regra de Segurança da HIPAA.
Ative a HIPAA na sua conta
- Você precisa ter um plano Powerhouse.
- No Acuity, clique em Personalizar aparência.
- Clique em Opções de página de agendamentos.
- Clique no link no topo da página para iniciar o processo de entrada em um BAA.
- Leia o BAA e confirme que você entendeu suas obrigações.
- Para entrar no BAA, envie as informações necessárias e clique em Enviar.
Suas responsabilidades com a HIPAA
Para cumprir a HIPAA, não basta apenas ativar os recursos relacionados a ela no Acuity. As práticas e sistemas da sua loja também precisam estar em conformidade.
Para que o Acuity cumpra com a Regra de Segurança da HIPAA, você deve ter responsabilidade ao configurar sua conta. Isso inclui selecionar cuidadosamente a quantidade e o tipo de informações eletrônicas protegidas sobre saúde incluídas e excluídas de mensagens de texto e e-mail, bem como aderir a um Adendo de Associado Comercial (BAA) com o Squarespace.
Um BAA rege o uso e a proteção de Informações de Saúde Protegidas trocadas entre uma "entidade coberta" e um "associado de negócios". Nesse caso, se você for uma entidade coberta de acordo com a HIPAA, o Squarespace é um associado comercial em relação a você. Saiba mais no site do Departamento de Saúde e Serviços Humanos dos Estados Unidos.
Requisitos gerais
- Para ativar serviços relacionados à HIPAA e assinar um BAA com o Squarespace, você deve estar no plano Powerhouse. Não assinamos BAAs externos neste plano, mas há BAAs personalizadas disponíveis no plano Enterprise (inclui taxa). Para saber mais sobre os planos Enterprise, fale conosco.
- Antes de transmitir ou guardar informações de saúde protegidas na sua conta Acuity, ative a HIPAA.
- É necessário ativar a HIPAA em cada conta Acuity. A HIPAA só é ativada em uma conta quando o BAA dessa conta específica é assinado.
- Você deve garantir que controles, configurações e limitações adequados estejam em vigor para satisfazer suas necessidades e cumprir com a HIPAA. Cada organização controla e determina as próprias práticas de conformidade com a HIPAA, incluindo como implementar determinados controles, desidentificação e os tipos de informações trocadas entre sua organização, seus clientes e o Squarespace. Como cada organização é diferente e tem necessidades específicas, oferecemos configurações para que você atenda ao seu próprio programa de conformidade.
Mais proteções para contas Acuity Scheduling com a HIPAA ativada
Todas as contas Acuity compartilham a maioria das proteções técnicas e de segurança, mas existem outras proteções nas contas com HIPAA ativada:
- Os avisos por e-mail que enviamos não incluem as respostas do formulário do cliente.
- Os formulários de admissão só aceitam uploads de arquivos de um computador ou aparelho local. O upload do Documentos Google e serviços similares está desativado.
- Os clientes não podem usar endereços de e-mail para verificar os saldos de pacotes, vales-presente ou códigos de assinatura.
- A sincronização com Office 365, Outlook.com, Live.com, Exchange e iCloud não está disponível. Antes de ativar a HIPAA na sua conta Acuity, desative a sincronização com esses serviços.
- A integração com o Campanhas por E-mail do Squarespace não está disponível. Se essa integração estiver ativa, você é responsável por desativá-la antes deixar sua conta Acuity de acordo com a HIPAA.
- O recurso de faturas do Acuity não está ativado.
- A integração com o Reserve com o Google não está ativada.
- Os e-mails de lembrete para renovar a assinatura não incluem os nomes da assinatura.
Configurações e controles de notificação por e-mail e texto
- Como padrão, os avisos por e-mail e por texto podem conter PHI (Informações Protegidas sobre Saúde ), incluindo nome do cliente, endereço de e-mail, tipo de sessão e data e horário da sessão. Você é responsável por alterar as informações nas mensagens — para isso, atualize suas configurações dos avisos.
- Como padrão, as mensagens de confirmação inicial e de reagendamento enviadas para o cliente e para você contêm um arquivo de calendário (convite ICS) como anexo. Esse convite ICS contém o nome do cliente e o tipo e horário da sessão. Para desativar esse recurso, fale conosco.
- Se você não desativar os avisos por e-mail, o Acuity enviará e-mails com os campos De e Responder para com o nome e o endereço de e-mail do cliente.
- Para não receberem e-mails de marketing, os clientes podem clicar em Cancelar cadastro. Os e-mails automáticos que documentam transações concluídas continuarão sendo enviados. Para cancelarem o recebimento das mensagens via texto, os clientes podem responder PARAR. Ao agendar uma sessão em nome de um cliente, para impedir que os avisos sejam enviados, você pode omitir o endereço de e-mail ou número de telefone dele nos detalhes da sessão.
Integrações externas e HIPAA
Muitas integrações externas não cumprem com a HIPAA. Você pode desativar essas integrações antes de ativar a HIPAA na sua conta Acuity.
Ao vincular o Acuity a uma integração externa, como o Google Calendar ou o Stripe, é sua responsabilidade determinar se a integração é aceitável para sua empresa e/ou modificar seu uso, configurações, segurança ou informações para atender às suas práticas e obrigações de conformidade com a HIPAA. Também é sua responsabilidade entrar em novos acordos contratuais necessários para atender às suas práticas e obrigações de conformidade com a HIPAA. Você deve fazer tudo isso antes de usar o serviço externo.
Acesse seu BAA
Você pode revisar ou baixar seu BAA a qualquer momento:
- No Acuity, clique em Personalizar aparência.
- Clique em Opções de página de agendamento,depois em Exibir e faça o download do BAA assinado.
- Opcionalmente, clique em Baixar como PDF para baixar uma cópia.