Co je to BAA a proč na tom záleží?

V nejzákladnějším smyslu je dohoda o přidružení nebo BAA právním dokumentem mezi poskytovatelem zdravotní péče a dodavatelem. Poskytovatel vstupuje do BAA s dodavatelem nebo jiným prodejcem, když tento prodejce může získat přístup k chráněným zdravotním informacím (PHI).

Následující průvodce poskytuje základní informace o BAA, včetně toho, kdo je potřebuje, když ‚ je požadováno, co do jednoho, a šablona dohody o přidružení HIPAA (PDF) pro rok 2017.

Co je BAA?

BAA je dohoda o přidružení. Předpisy HIPAA tomu říkají smlouva s obchodním partnerem. Jsou to opravdu totéž.

BAA splňují předpisy HIPAA a vytvářejí závazkové vazby, které zavazují dvě strany.

Pokud jeden člen poruší BAA, druhý má právní postih. . Pokud neexistuje žádný BAA nebo je neúplný, nebo pokud dojde k jeho porušení, mohou se oba spolupracovníci ocitnout v horké vodě s předpisy HIPAA a dalšími předpisy FDA.

Co je obchodní spolupracovník?

Definice obchodního partnera je velmi jednoduchá. Je to kdokoli, s kým uzavíráte smlouvu, kdo z jakéhokoli důvodu zpracovává vaše chráněné zdravotní informace (PHI). Živým příkladem je, že ve slavném případě HIPAA najala klinika prodejce, který převede jejich rentgenové filmy do digitální podoby a získá zpět stříbro z těchto filmů. Nepodařilo se jim podepsat BAA a dostali od OCR platební příkaz ve výši 750 000 $.

Obchodní partneři jsou jakákoli organizace nebo osoba, která vytváří, přenáší, přijímá nebo udržuje PHI jménem jakékoli kryté entity, nebo jménem obchodního partnera zastřešeného subjektu.

Musí zaměstnanci podepsat BAA?

Přímí zaměstnanci nemusí podepisovat BAA. Je to proto, že lidé, kteří pro vás pracují, jsou součástí vaší organizace a nejsou považováni za obchodní partnery. To znamená, že stále spadají pod zákony HIPAA. Jako vaši agenti jste odpovědní za to, abyste je školili v oblasti ochrany soukromí a bezpečnosti. To platí nejen pro vaše běžné zaměstnance na plný úvazek, ale také pro stážisty, dočasné zaměstnance, dobrovolníky a kohokoli jiného, nad kým máte přímou kontrolu.

Musí dodavatelé podepsat BAA?

Každý dodavatel, který přijde do kontaktu s jakýmkoli PHI, bude muset podepsat BAA. Protože tito lidé a organizace nejsou ve vaší přímé kontrole, nelze s nimi zacházet jako se zaměstnanci. Proto jsou považováni za obchodní partnery. To znamená, že musí být připraveni dodržovat HIPAA. To zahrnuje přijetí odpovědnosti za dodržování předpisů a podepsání dohody o přidružení k podnikání HIPAA.

Kdo potřebuje dohodu o přidružení k podnikání?

Jakákoli osoba nebo organizace označen v rámci HIPAA jako obchodní partner, musí s vámi podepsat bakalářský titul.

Pokud si najmete dodavatele, který jako první projde vaší společností prostřednictvím společnosti PHI, musíte podepsat BAA s tímto dodavatelem. Vaši obchodní partneři pak musí se svými obchodními partnery podepsat formuláře smlouvy HIPAA.

Pokud si například najmete společnost B k likvidaci rentgenových filmů, potřebujete s nimi bakalářský titul. Pokud si najmou společnost C k přepravě filmů do spalovny, pak společnosti B a C potřebují BAA, aby vyhověly předpisům HIPAA. Vaše společnost ale nepotřebuje BAA se společností C.

Šablona BAA 2017

Dohoda o obchodním partnerství HIPAA nemusí být samostatnou smlouvou. Jazyk BAA lze zahrnout do dohod o zabezpečení dat, hlavních smluv o poskytování služeb nebo podmínek smluv o poskytování služeb.

Zde jsme zahrnuli ukázku BAA 2017 zde (PDF), (tk vložte odkaz) na základě příklad BAA poskytnutý HHS.gov zde. Šablona, na kterou se odkazuje výše, by nikdy neměla být používána bez rady právního zástupce.

Výše uvedený dokument BAA PDF byl vytvořen jako dohoda mezi jedním krytým subjektem a jedním obchodním partnerem. To znamená, že jej lze upravit pro použití s obchodním partnerem a jeho subdodavatelem.

Kliknutím na obrázek si stáhnete ukázkový soubor BAA PDF.

Jaké druhy poskytovatelů musí podepsat BAA?

BAA musí být podepsány všemi zahrnutými entitami, kdykoli jejich obchodní partner zpracuje PHI, která projde krytou entitou jako první. Níže je uveden seznam zahrnutých entit. Podrobnější informace najdete na stránce HHS.gov o HIPAA zahrnutých entitách.

Následující zahrnuté entity musí podepsat formuláře BAA.

Poskytovatelé zdravotní péče

  • Lékaři
  • Kliniky
  • Zubní lékaři
  • Psychologové
  • Domy s pečovatelskou službou
  • Chiropraktici
  • Lékárny

Zdravotní plány

  • HMO
  • zdravotní pojišťovny
  • Vládní plátci jako Medicaid a Medicare

Clearinghouse zdravotní péče

  • Včetně subjektů, které převádějí PHI do elektronické podoby.

Nikdy nechte dodavatele zpracovávat PHI bez BAA

Pokud jste nepodepsali BAA s prodejcem, držte od něj PHI za každou cenu. Poskytovatelům zdravotní péče, kteří jsou v pokušení podívat se na předpisy BAA jinak, by bylo dobré přehodnotit.

V roce 2016 se OCR vyrovnalo s North Memorial Health Care of Minnesota ve výši 1,55 milionu $.

Porušení? Společnost North Memorial uzavřela smlouvu s prodejcem na provádění různých operací týkajících se databáze zákazníků. Společnost North Memorial zapomněla podepsat smlouvu HIPAA BAA s prodejcem.

Jsem odpovědná za nevyhovující prodejce, kteří podepíší BAA?

Není vaší vinou, pokud prodejce poruší BAA nějakým způsobem porušuje HIPAA. Když prodejce podepíše dokument, přebírá odpovědnost za ochranu PHI. Žádná společnost nemůže být činěna odpovědnou za dohled nad jinou, pokud jde o HIPAA a BAA.

To znamená, že tabulky se otočí, kdy a jestli lze prokázat, že jste věděli o porušení smlouvy. Předpisy HIPAA stanoví, že podniky, které zjistí porušení obchodního partnera, musí chybu napravit nebo ukončit BAA. Pokud tak neučiní, sdílejí odpovědnost za porušení společně se spolupracovníkem.

Zjistit, kolik Můžete ušetřit okamžitě. Vyzkoušejte naši online kalkulačku úspor.

Kontrolní seznam dohod HIPAA pro obchodní partnery

HHS zjednodušuje věci, které by BAA měla pokrývat. Zdrojem předpisů je administrativní zjednodušení HIPAA. Jedná se o 115stránkový dokument, takže se zaměřte pouze na následující dvě části:

Pro stručnější pohled jsme v níže uvedeném seznamu shrnuli základní potřeby BAA, které musíte mít. (Zdroj seznamu naleznete v druhém odstavci dokumentu HHS zde.) Každý BAA musí:

  1. Stanovit povolené zveřejnění údajů PHI.
  2. Vyžadovat od obchodního partnera (BA) ochranu PHI.
  3. Vyžadovat, aby BA hlásila porušení HIPAA .
  4. Vyžadovat, aby BA uvolnila PHI jako krytou entitu nebo na žádost pacienta.
  5. Ujistěte se, že Po ukončení dohody BA vrátí nebo zničí všechny PHI.

Co jiného by mohlo být v BAA?

Zde uvedená šablona BAA (tk vložte odkaz do pdf ) je zobecněn. Jakékoli skutečné použití takové dohody bude vyžadovat přizpůsobení konkrétním potřebám organizace. Zde je jen několik dalších úvah, které by podnik mohl vzít v úvahu při sestavování své vlastní konkrétní smlouvy.

  • Specifika okna pro hlášení porušení. Současný jazyk HIPAA požaduje, aby BA oznámily porušení předpisů nejpozději do 60 dnů a „bez nepřiměřeného zpoždění“. Tento jazyk lze přizpůsobit konkrétnějším pokynům.
  • porušení požadavků na pojištění. To se liší v závislosti na typu dodavatele a služby.
  • Změny výchozích pravidel pro hlášení incidentů HIPAA. Podle zákona HIPAA jsou BA povinny hlásit všechny „bezpečnostní incidenty“ svým krytým subjektům. Jedná se o velmi široký pojem, který může těžit z určité specifičnosti při definování toho, co vlastně porušení je. Mělo by například zahrnovat všechny neúspěšné pokusy o neoprávněné přihlášení do databáze pacientů?
  • Ustanovení o odškodnění za porušení. Krytý subjekt by měl být odpovědný pouze za porušení, která jsou ve skutečnosti jeho chybou.

Prostřednictvím: Wikimedia Commons

Dodavatelé dodavatelů a BAA

Musí smluvní dodavatel dodržovat všechna ustanovení ve vašem BAA? ? Pravidlo ochrany osobních údajů zřejmě říká, že ano. Pravidlo stanoví, že všichni subdodavatelé obchodních partnerů musí souhlasit se stejnými omezeními jako obchodní partner.

To však neznamená, že vaše HIPAA Smlouva o obchodním přidružení se vztahuje na dodavatele vašeho dodavatele.

Subdodavatelé musí spíše dodržovat BAA dodavatele.Jelikož všechny formuláře dohody HIPAA musí obsahovat stejná základní pravidla (poskytovaná HHS), ustanovení pro všechny jsou stejná.

Hlášení porušení BAA

Pokryté subjekty (CE) se mohou pokusit zahrnout jazyk o velmi krátkých oknech hlášení porušení v jejich smlouvách. Například CE může obsahovat něco jako: „Obchodní partner nahlásí všechna porušení do tří dnů od porušení.“ To zní rozumně, kromě případů, kdy se domníváme, že BA o porušení mohla vědět až o několik dní později.

V takovém případě se BA nyní dostává do konfliktu s HIPAA v naprosté nevině. Z tohoto důvodu je pro BA lepší prosazovat jazyk jako: „jakmile je porušení zjištěno nebo mělo být zjištěno“ v části Oznámení o porušení.

Váš dodavatel není váš právní zástupce

Dohoda HIPAA s obchodními partnery, která nutí dodavatele nebo subdodavatele do postavení právního zástupce, je nebezpečná a zbytečná. V případě porušení by pak právní důsledky strany, která se dopustila protiprávního jednání, dopadly na agenta této strany. Jinými slovy, pokud společnost A vytvoří porušení a společnost B je jejím zástupcem, pak společnost B také sdílí pokuty HIPAA. Nejlepší je zahrnout do BAA jazyk, který výslovně definuje vztah mezi agenty mezi oběma stranami.

BAA a poskytovatelé cloudových služeb

Věk cloudových dat vytvořil nové úvahy pro kryté subjekty a dodavatele, kteří požadují BAA. Někteří poskytovatelé cloudových služeb (CSP) se pokusili vyhnout odpovědnosti v rámci BAA únikem přes určité mezery.

Conduit Clause je ustanovení HIPAA pro určité subjekty nebo jednotlivce, jako jsou poštovní pracovníci, kteří doručují poštu, která může obsahovat PHI.

Janitor Clause je další pravidlo HIPAA, které uděluje výjimky těm, jejichž služby nebo funkce mají pouze tangenciální expozici vůči PHI. Například správce nemocnice by byl osvobozen od odpovědnosti PHI.

Omnibusové pravidlo z roku 2013 však tyto výmluvy zjevně potlačuje přijetím souladu s jakýmkoli subjektem, který vytváří, vysílá, přijímá nebo udržuje PHI.

Závěr

BAA je zásadní pro každou osobu, společnost nebo jinou organizaci, která zpracovává PHI, která pochází z jiného místa. Kdykoli si poskytovatel nebo dodavatel najme dodavatele, který poté zpracuje PHI poskytovatele / dodavatele, musí obě strany podepsat BAA.

Tento dokument HIPAA Business Associate Agreement PDF (tk add link) je upraven z verze HHS zde . Stejně jako u všech dohod o přidružení k podnikání zavádí povolená zveřejnění, vyžaduje zveřejnění porušení předpisů HIPAA a stanoví další pokyny pro nakládání s PHI poskytovatele.

BAA je zásadní dokument, který chrání kryté subjekty a jejich obchodní partneři. Rovněž stanoví odpovědnost a omezení pro obě strany, takže je vždy nutné poradit se s právním poradcem.

Zjistit Kolik můžete okamžitě ušetřit. Vyzkoušejte naši online kalkulačku úspor.

Leave a Reply

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *