Hinweis: Während unsere beliebtesten Anleitungen ins Deutsche übersetzt wurden, sind einige Anleitungen nur auf Englisch verfügbar.

Squarespace und HIPAA

Squarespace Scheduling ist darauf ausgelegt, dich in die Lage zu versetzen, die Anforderungen der Sicherheitsvorschriften des Health Insurance Portability and Accountability Act (HIPAA) zu erfüllen. Andere Teile der Squarespace-Plattform, darunter Kontaktformular-Funktionen wie der Formular-Block, können nicht als Teil einer HIPAA-konformen Lösung verwendet werden. Wir empfehlen, zur sicheren Sammlung von Patienteninformationen für Bereiche außerhalb von Scheduling auf einen externen Service zu verlinken, der die entsprechenden Vorgaben erfüllt.

Diese Anleitung beschreibt, wie Scheduling mit geschützten Gesundheitsinformationen im Sinne des Rechts der Vereinigten Staaten umgeht. Wenn du nicht im Gesundheitsbereich tätig bist, betrifft diese Anleitung dich wahrscheinlich nicht.

Hinweis: Scheduling ist die einzige Squarespace-Funktion, die derzeit darauf ausgelegt ist, Services in Übereinstimmung mit den HIPAA-Verpflichtungen anzubieten. Dein Business Associate Addendum (BAA) deckt keine anderen Funktionen von Squarespace ab. Du solltest keine geschützten Gesundheitsinformationen außerhalb von Scheduling über Squarespace pflegen oder übertragen.
Du kannst dein Scheduling-Konto mit dem Powerhouse Player-Abonnement HIPAA-konform machen.

Scheduling erfüllt die Anforderungen der HIPAA-Sicherheitsregeln

Ein qualifizierter externer Berater für Informationssicherheit hat Scheduling geprüft. Der Berater hat bestätigt, dass Scheduling in der Lage ist, die Anforderungen der HIPAA-Sicherheitsregeln zu erfüllen.

Mache dein Konto HIPAA-konform

  1. Vergewissere dich, dass du über das Powerhouse Player-Abonnement verfügst.
  2. Klicke im Hauptmenü auf Scheduling.
  3. Klicke im Scheduling-Menü auf Erscheinungsbild anpassen.
  4. Klicke auf Optionen für Terminplanungs-Seite.
  5. Klicke auf den Link oben auf der Seite, um den Prozess zum Abschluss eines BAA zu beginnen.
  6. Überprüfe das BAA und vergewissere dich, dass du deine Verpflichtungen verstanden hast.
  7. Schließe das BAA ab, indem du die erforderlichen Informationen einreichst und auf Senden klickst

Deine Pflichten für HIPAA

Die Aktivierung von HIPAA-bezogenen Funktionen in Scheduling allein reicht nicht aus, um die HIPAA-Konformität zu erreichen. Du musst außerdem sicherstellen, dass deine Geschäftspraktiken und Systeme im Einklang mit Scheduling sind, um die Einhaltung der Vorschriften zu gewährleisten.

Um Scheduling so zu nutzen, dass es der HIPAA-Sicherheitsregelung entspricht, musst du bei der Einrichtung deines Kontos verantwortlich vorgehen. Zu diesen Pflichten gehört die sorgfältige Auswahl der Menge und Art der elektronisch geschützten Gesundheitsinformationen, die in SMS- und E-Mail-Nachrichten enthalten und von diesen ausgeschlossen sind, sowie der Abschluss eines Business Associate Addendum (BAA) mit Squarespace.

Ein BAA regelt die Nutzung und den Schutz von geschützten Gesundheitsinformationen, die zwischen einer „abgedeckten Organisation“ („covered entity“) und einem „Geschäftspartner“ („business associate“) ausgetauscht werden. Wenn du in dieser Situation eine abgedeckte Organisation gemäß HIPAA bist, dann ist Squarespace für dich ein Geschäftspartner. Mehr darüber erfährst du auf der Website des U.S. Department of Health and Human Services

Allgemeine Anforderungen

  • Du musst über das Powerhouse Player-Abonnement verfügen, um HIPAA-bezogene Dienstleistungen zu aktivieren und ein BAA mit Squarespace abzuschließen. Wir gehen für dieses Abonnement keine externen BAAs ein, aber kundenspezifische BAAs für Enterprise-Abonnements sind gegen Aufpreis erhältlich. Wenn du mehr über Enterprise-Abonnements erfahren möchtest, kontaktiere uns.
  • Vergewissere dich, dass du dein Scheduling-Konto HIPAA-konform gemacht hast, bevor du geschützte Gesundheitsinformationen über dein Konto verwaltest oder überträgst. 
  • Du musst jedes Scheduling-Konto HIPAA-konform machen. Ein Konto wird nur dann HIPAA-konform, wenn ein separates BAA für dieses spezifische Konto abgeschlossen wird.
  • Du bist allein dafür verantwortlich, dass die richtigen Kontrollen, Einstellungen und Einschränkungen vorhanden sind, um deine Anforderungen zu erfüllen und die HIPAA-Compliance zu gewährleisten. Jede Organisation kontrolliert und bestimmt ihre eigenen Praktiken für die HIPAA-Compliance, einschließlich der Implementierung bestimmter Kontrollen, der Anonymisierung sowie der Arten von Informationen, die zwischen deiner Organisation, deinen Kunden und Squarespace ausgetauscht werden. Jedes Unternehmen ist anders und hat andere Bedürfnisse. Daher stellen wir Einstellungen bereit, die dir helfen sollen, dein eigenes Compliance-Programm zu erfüllen. 

Zusätzliche Schutzmechanismen für HIPAA-konforme Scheduling-Konten

Scheduling-Konten verfügen größtenteils über dieselben technischen und Sicherheitsvorkehrungen, doch es gibt zusätzliche Schutzmaßnahmen speziell für HIPAA-konforme Konten:

  • Deine Browsersitzung wird nach vier Stunden und nicht erst nach mehreren Tagen beendet.
  • E-Mail-Benachrichtigungen, die wir dir senden, enthalten keine Antworten auf Kundenformulare.
  • Aufnahmeformulare akzeptieren nur Datei-Uploads von einem lokalen Computer oder Gerät. Das Hochladen aus Google Docs und ähnlichen Diensten ist deaktiviert.
  • Kunden können ihre E-Mail-Adresse nicht zum Einlösen gekaufter Pakete verwenden. Stattdessen müssen sie den zufällig generierten Code eingeben, den sie erhalten haben, oder sich bei ihrem Kundenkonto anmelden. 
  • Kalender-Synchronisierung mit Office 365, Outlook.com, Live.com, Exchange und iCloud sind nicht verfügbar. Bevor du dein Scheduling-Konto HIPAA-konform machst, deaktiviere bitte jegliche Synchronisierung mit diesen Diensten.

Steuerelemente und Einstellungen für E-Mail- und SMS-Benachrichtigungen

  • E-Mail- und SMS-Benachrichtigungen können standardmäßig geschützte Gesundheitsinformationen (Protected Health Information, PHI) enthalten, einschließlich Kundennamen, E-Mail-Adressen, Terminarten sowie Datum und Uhrzeit von Terminen. Du bist dafür verantwortlich, die Informationen in Nachrichten zu ändern, indem du deine Benachrichtigungseinstellungen aktualisierst. 
  • Standardmäßig enthalten die Nachrichten zur Bestätigung und beim Verschieben von Terminen, die an den Kunden und an dich gesendet werden, eine Kalenderdatei (ICS-Einladung) als Anlage. Diese ICS-Einladung enthält den Namen des Kunden, die Terminart und die Uhrzeit des Termins. Um diese Funktion zu deaktivieren, kontaktiere uns bitte.
  • Wenn du die E-Mail-Benachrichtigungen nicht deaktivierst, sendet Scheduling dir E-Mails mit den Feldern Von und Antwort an, die den Namen und die E-Mail-Adresse des Kunden enthalten.
  • Kunden können sich von zukünftigen Mitteilungen abmelden, indem sie in E-Mails auf Abmelden klicken oder auf eine SMS mit STOP antworten. Wenn du einen Termin im Namen eines Kunden vereinbarst, kannst du das Senden von Benachrichtigungen verhindern, indem du die E-Mail-Adresse oder Telefonnummer des Kunden in den Termindetails nicht angibst.

Drittanbieter-Integrationen und HIPAA

Viele Integrationen von Drittanbietern unterstützen HIPAA nicht. Du kannst einige oder alle dieser Integrationen deaktivieren, bevor du dein Scheduling-Konto HIPAA-konform machst.

Wenn du Scheduling mit Integrationen von Drittanbietern wie Google Kalender oder Stripe verbindest, liegt es in deiner Verantwortung, festzustellen, ob die jeweilige Integration für dein Unternehmen akzeptabel ist, und/oder deine Nutzung, Einstellungen, Sicherheit oder Informationen zu ändern, um deine HIPAA-Compliance-Praktiken und -Verpflichtungen zu erfüllen. Es liegt darüber hinaus in deiner Verantwortung, alle neuen vertraglichen Vereinbarungen zu treffen, die notwendig sind, um deine HIPAA-Compliance-Praktiken und -Verpflichtungen zu erfüllen. All dies solltest du tun, bevor du den Service des Drittanbieters nutzt.

Acuity und Squarespace Scheduling

Wenn du Squarespace Scheduling nicht verwendest, aber Squarespace Scheduling zum Einbetten deines Terminplaners von Acuity nutzt, musst du dennoch deinen Teil zum Erreichen der HIPAA-Compliance in deinem Acuity-Konto tun. Weitere Informationen findest du in der Anleitung zur HIPAA-Compliance von Acuity

Squarespace Scheduling bettet einen Acuity-Terminplaner in deine Squarespace-Website ein, mit dem Besucher Termine buchen können. Die Termindaten der Besucher werden direkt auf die Server von Acuity übertragen und fließen nicht über Webhosting-Server von Squarespace. Acuity verwendet iFrames und HTTPS-Verschlüsselung, um die Privatsphäre der Kundendaten zu schützen und zu verhindern, dass andere Websites und Server während der Übertragung an Acuity auf die Daten zugreifen.

Greifen Sie auf Ihre BAA zu

Sie können den BAA-Text jederzeit überprüfen oder ausdrucken:

  1. Klicken Sie im Hauptmenü auf Scheduling und klicken Sie dann auf Darstellung anpassen.
  2. Klicken Sie auf Scheduling-Seitenoptionen und klicken Sie dann auf BAA anzeigen.
War dieser Beitrag hilfreich?
15 von 18 fanden dies hilfreich