I den mest basale forstand er en Business Associate Agreement eller BAA et juridisk dokument mellem en sundhedsudbyder og en entreprenør. En udbyder indgår en BAA med en entreprenør eller en anden leverandør, når denne leverandør muligvis får adgang til Protected Health Information (PHI).
Vejledningen nedenfor giver det grundlæggende i BAA’er, herunder hvem der har brug for dem, når de ‘ kræves, hvad der skal anbringes i en, og en HIPAA Business Associate Agreement Template (PDF) for 2017.
Hvad er en BAA?
En BAA er en Business Associate Agreement. HIPAA-reglerne kalder det en Business Associate Contract. De er virkelig den samme ting.
BAA tilfredsstiller HIPAA-reglerne og skaber et ansvarsobligation, der binder to parter.
Hvis et medlem overtræder en BAA, har det andet en juridisk mulighed. . Hvis der ikke er nogen BAA, eller hvis den er ufuldstændig, eller hvis den bliver krænket, kan begge associerede virksomheder befinde sig i varmt vand med HIPAA og andre FDA-regler.
Hvad er en forretningsassistent?
Definitionen af en forretningsforbindelse er ret enkel. Det er nogen, du indgår kontrakt med, der håndterer dine beskyttede sundhedsoplysninger (PHI) af en eller anden grund. For et levende eksempel hyrede en klinik i en berømt HIPAA-sag en sælger til at konvertere deres røntgenfilm til digital form og genvinde sølvet fra filmene. De undlod at underskrive en BAA og blev ramt med en $ 750.000 betalingsordre fra OCR.
Forretningsforbindelser er enhver organisation eller person, der opretter, transmitterer, modtager eller vedligeholder PHI på vegne af enhver omfattet enhed, eller på vegne af en dækket enheds forretningsforbindelse.
Skal medarbejdere underskrive en BAA?
Direkte medarbejdere behøver ikke at underskrive en BAA. Det skyldes, at folk, der arbejder for dig, er en del af din organisation og ikke betragtes som forretningsforbindelser. Når det er sagt, falder de stadig under HIPAA-love. Som dine agenter er du ansvarlig for at træne dem i fortrolighed og sikkerhed. Dette gælder ikke kun for dine regelmæssige fuldtidsansættelser, men også for praktikanter, midlertidigt ansatte, frivillige og alle andre, som du har direkte kontrol over.
Skal entreprenører underskrive en BAA?
Enhver entreprenør, der kommer i kontakt med en PHI, skal underskrive en BAA. Da disse mennesker og organisationer ikke er under din direkte kontrol, kan de ikke behandles som medarbejdere. Som sådan betragtes de som forretningsforbindelser. Det betyder, at de skal være klar til at overholde HIPAA. Dette inkluderer accept af overholdelsesansvar og underskrivelse af en HIPAA Business Associate Agreement.
Hvem har brug for en Business Associate Agreement?
Enhver person eller organisation identificeret under HIPAA som en forretningsassistent skal underskrive en BAA med dig.
Hvis du ansætter en entreprenør, og den håndterer PHI, der først passerer gennem din virksomhed, skal du underskrive en BAA med den pågældende entreprenør. Dine forretningsforbindelser skal derefter underskrive HIPAA-aftaleformularer med deres forretningsforbindelser.
Hvis du f.eks. Ansætter firma B til at bortskaffe røntgenfilm, har du brug for en BAA med dem. Hvis de ansætter firma C til at transportere filmene til forbrændingsanlægget, har B og C brug for en BAA for at overholde HIPAA-reglerne. Men din virksomhed har ikke brug for en BAA med Company C.
BAA-skabelon 2017
En HIPAA Business Associate Agreement behøver ikke at være en selvstændig kontrakt. Sproget for en BAA kan rulles ind i datasikkerhedsaftaler, mastertjenesteaftaler eller vilkår for servicekontrakter.
Vi har inkluderet en prøve 2017 BAA her (PDF), (tk indsæt link) baseret på eksemplet BAA leveret af HHS.gov her. Skabelonen, der er knyttet til ovenstående, bør aldrig bruges uden rådgivning fra juridisk rådgiver.
BAA-PDF’en ovenfor blev designet som en aftale mellem en enkelt omfattet enhed og en enkelt forretningsforbindelse. Når det er sagt, kan det ændres til brug med en forretningsforbindelse og deres underleverandør.
Klik på billedet for at downloade eksemplet på BAA PDF.
Hvilke slags udbydere skal underskrive en BAA?
BAA’er skal underskrives af alle dækkede enheder, hver gang deres forretningsforbindelse håndterer PHI, der først passerer gennem den dækkede enhed. Der er en liste over omfattede enheder nedenfor. For mere detaljeret information, se siden HHS.gov på HIPAA-omfattede enheder.
Følgende omfattede enheder skal underskrive BAA-formularer.
Udbydere af sundhedspleje
- Læger
- Klinikker
- Tandlæger
- Psykologer
- Plejehjem
- Kiropraktorer
- Apoteker
Sundhedsplaner
- HMO’er
- Sundhedsforsikringsselskaber
- Regeringsbetalere som Medicaid og Medicare
Clearinghuse for sundhedspleje
- Inklusive enheder, der konverterer PHI til elektronisk form.
Har aldrig en leverandør, der håndterer PHI uden en BAA
Hvis du ikke har underskrevet en BAA med en sælger, skal du holde PHI væk fra dem for enhver pris. Sundhedsudbydere, der er fristet til at se en anden vej over BAA-reglerne, anbefales at genoverveje.
I 2016 afviklede OCR med North Memorial Health Care af Minnesota til en værdi af $ 1,55 millioner.
Overtrædelsen? North Memorial indgik kontrakt med en leverandør om at udføre forskellige operationer vedrørende en kundedatabase. North Memorial forsømte at underskrive en HIPAA BAA med sælgeren.
Er jeg ansvarlig for ikke-kompatible leverandører, der underskriver en BAA?
Det er ikke din skyld, hvis en sælger overtræder BAA og overtræder HIPAA på en eller anden måde. Når sælgeren underskriver dokumentet, påtager sig ansvaret for at beskytte PHI. Intet selskab kan holdes ansvarlig for politiovervågning af et andet, når det kommer til HIPAA og en BAA.
Når det er sagt, drejer tabellerne om, hvornår og hvis det kan bevises, at du vidste om kontraktbruddet. HIPAA-reglerne siger, at virksomheder, der opdager en overtrædelse af en forretningsforbindelse, enten skal rette fejlen eller afslutte BAA. Hvis de ikke gør det, deler de ansvaret for overtrædelsen sammen med associerede.
Find ud af hvor meget Du kan spare med det samme. Prøv vores online besparelsesberegner.
HIPAA Business Associate Agreement Checklist
HHS forenkler de ting, som en BAA skal dække. Kilden til reglerne er den administrative forenkling af HIPAA. Det er et dokument på 115 sider, så fokus bare på følgende to sektioner:
For en mere kortfattet visning har vi konsolideret BAA-must-haves på øverste niveau i listen nedenfor. (For at se kilden til listen, se andet afsnit i HHS-dokumentet her.) Enhver BAA skal:
- Etabler de tilladte afsløringer af PHI.
- Kræv, at Business Associate (BA) beskytter PHI.
- Kræv BA for at rapportere HIPAA-overtrædelser .
- Kræv, at BA’en frigiver PHI, som den dækkede enhed eller patienten anmoder om.
- Sørg for, at BA returnerer eller ødelægger al PHI ved opsigelse af aftalen.
Hvad kan der ellers være i en BAA?
BAA-skabelonen, der er angivet her (tk indsæt link til pdf ) er generaliseret. Enhver reel brug af en sådan aftale vil kræve at skræddersy den til organisationens specifikke behov. Her er blot nogle få yderligere overvejelser, som en virksomhed kan tage i betragtning, når den udarbejder sin egen specifikke kontrakt.
- Specifikationer for indberetningsvinduet for overtrædelse. Det nuværende HIPAA-sprog opfordrer BA’er til at rapportere overtrædelser senest 60 dage og “uden urimelig forsinkelse.” Dette sprog kan skræddersys til en mere specifik retningslinje.
- Krænkelsesforsikringskrav. Dette varierer afhængigt af typen af leverandør og service.
- Ændringer af standardregler for HIPAA-hændelsesrapportering. I henhold til HIPAA-loven skal BA’er rapportere alle “sikkerhedshændelser” til deres omfattede enheder. Det er et meget bredt udtryk, der kan drage fordel af en vis specificitet for at definere, hvad en overtrædelse faktisk er. Skal det f.eks. Omfatte alle mislykkede forsøg på uautoriserede login til en patientdatabase?
- Bestemmelser om skadeserstatning. Den omfattede enhed skal kun være ansvarlig for overtrædelser, der faktisk er dens skyld.
Entreprenører af entreprenører og BAA
Skal en entreprenør af en entreprenør følge alle bestemmelser i din BAA ? Privacy Regel ser ud til at sige, at den gør det. Reglen siger, at alle underleverandører af forretningsforbindelser skal acceptere identiske begrænsninger som forretningsforbindelsen.
Dette betyder dog ikke, at din HIPAA Business Associate Agreement gælder for din entreprenørs entreprenør.
Underleverandører skal snarere overholde entreprenørens BAA.Da alle HIPAA-aftaleformularer skal indeholde de samme grundlæggende regler (leveret af HHS), er bestemmelserne for alle ens.
Rapportering af BAA-overtrædelser
Dækkede enheder (CE) kan prøve at inkludere sprog om meget korte rapporteringsvinduer i deres kontrakter. For eksempel kan en CE omfatte noget som: “Forretningsassistenten rapporterer alle overtrædelser inden for tre dage efter overtrædelsen.” Det lyder fornuftigt, undtagen når vi overvejer, at BA måske ikke engang kender til overtrædelsen før flere dage senere.
I så fald har BA nu kæmpet for HIPAA i total uskyld. Af denne grund det er bedre for BA’er at presse på for sprog som “så snart overtrædelsen er opdaget eller skulle have været opdaget” i afsnittet om overtrædelsesmeddelelse.
Din entreprenør er ikke din juridiske agent
En HIPAA Business Associate Agreement, der tvinger entreprenører eller underleverandører til status som legal agent, er farlig og unødvendig. I tilfælde af overtrædelse vil den juridiske konsekvens af den fornærmende part så falde på denne parts agent. Med andre ord, hvis firma A skaber et brud, og firma B er dets agent, så deler B også HIPAA-sanktionerne. Det er bedst at inkludere sprog i BAA, der udtrykkeligt definerer ikke-agentforholdet mellem begge parter.
BAA og Cloud Service Providers
Alderen på skybaserede data har skabt nye overvejelser for omfattede enheder og entreprenører, der har brug for en BAA. Nogle Cloud Service Providers (CSP’er) har forsøgt at unddrage sig ansvar under BAA’er ved at flygte gennem visse smuthuller.
Conduit-klausulen er en HIPAA-bestemmelse for visse enheder eller enkeltpersoner som postarbejdere, der leverer post, der muligvis inkluderer PHI.
Vogterklausulen er en anden HIPAA-regel, der giver undtagelser til dem, hvis tjenester eller funktioner kun har tangential eksponering for PHI. F.eks. Ville en hospitalsvagt være fritaget for PHI-ansvar.
Omnibus-reglen fra 2013 skaber imidlertid klart disse undskyldninger ved at vedtage overholdelse i enhver enhed, der opretter, transmitterer, modtager eller vedligeholder PHI.
Konklusion
En BAA er afgørende for enhver person, virksomhed eller anden organisation, der håndterer PHI, der kommer fra andre steder. Hver gang en udbyder eller entreprenør ansætter en forhandler, der derefter håndterer udbyderens / entreprenørens PHI, skal begge parter underskrive en BAA.
Denne HIPAA Business Associate Agreement PDF (tk add link) er tilpasset HHS-versionen her . Som med alle Business Associate-aftaler fastlægger det tilladte videregivelser, kræver offentliggørelse af overtrædelser til HIPAA og opstiller andre retningslinjer for håndtering af udbyder-oprindeligt PHI.
En BAA er et kritisk dokument, der beskytter omfattede enheder og deres forretningsforbindelser ens. Det opstiller også ansvar og begrænsninger for begge parter, så der kræves altid rådgivning fra advokater.