¿Qué es un BAA y por qué es importante?

En el sentido más básico, un acuerdo de socio comercial o BAA es un documento legal entre un proveedor de atención médica y un contratista. Un proveedor entra en un BAA con un contratista u otro proveedor cuando ese proveedor podría recibir acceso a la Información de salud protegida (PHI).

La guía a continuación brinda los conceptos básicos de los BAA, incluido quién los necesita, cuando ‘ Se requiere, qué poner en uno y una plantilla de acuerdo de socio comercial de HIPAA (PDF) para 2017.

¿Qué es un BAA?

Un BAA es un acuerdo de socio comercial. Las regulaciones de HIPAA lo llaman un contrato de socio comercial. Realmente son lo mismo.

Los BAA cumplen con las regulaciones de HIPAA y crean un vínculo de responsabilidad que une a dos partes.

Si un miembro viola un BAA, el otro tiene un recurso legal . Si no hay BAA o está incompleto, o si se viola, ambos asociados pueden encontrarse en problemas con la HIPAA y otras regulaciones de la FDA.

¿Qué es un socio comercial?

La definición de socio comercial es bastante simple. Es cualquier persona con quien contrate que maneje su Información médica protegida (PHI) por cualquier motivo. Para un ejemplo vívido, en un caso famoso de HIPAA, una clínica contrató a un proveedor para convertir sus películas de rayos X a formato digital y recuperar la plata de las películas. No firmaron un BAA y recibieron una orden de pago de $ 750,000 de la OCR.

Los socios comerciales son cualquier organización o persona que crea, transmite, recibe o mantiene PHI en nombre de cualquier entidad cubierta, o en nombre del socio comercial de una entidad cubierta.

¿Los empleados deben firmar un BAA?

Los empleados directos no tienen que firmar un BAA. Eso se debe a que las personas que trabajan para usted son parte de su organización y no se las considera socios comerciales. Dicho esto, todavía están sujetos a las leyes de HIPAA. Como sus agentes, usted es responsable de capacitarlos en privacidad y seguridad. Esto se aplica no solo a sus contrataciones regulares de tiempo completo, sino también a los aprendices, personal temporal, voluntarios y cualquier otra persona bajo su control directo.

¿Los contratistas deben firmar un BAA?

Cualquier contratista que entre en contacto con cualquier PHI tendrá que firmar un BAA. Dado que esas personas y organizaciones no están bajo su control directo, no pueden ser tratados como empleados. Como tal, se les considera socios comerciales. Eso significa que deben estar listos para cumplir con HIPAA. Eso incluye aceptar la responsabilidad de cumplimiento y firmar un Acuerdo de socio comercial de HIPAA.

¿Quién necesita un acuerdo de socio comercial?

Cualquier persona u organización identificado bajo HIPAA como un Asociado Comercial debe firmar un BAA con usted.

Si contrata a un contratista y este maneja la PHI que pasa por su empresa primero, necesita firmar un BAA con ese contratista. Luego, sus socios comerciales deben firmar los formularios de acuerdo de HIPAA con sus socios comerciales.

Por ejemplo, si contrata a la Compañía B para que se deshaga de las películas de rayos X, necesita un BAA con ellos. Si contratan a la Compañía C para transportar las películas a la instalación de incineración, entonces B y C necesitan un BAA para cumplir con las regulaciones de HIPAA. Pero su empresa no necesita un BAA con la empresa C.

Plantilla BAA 2017

Un acuerdo de socio comercial HIPAA no tiene por qué ser un contrato independiente. El lenguaje de un BAA se puede incorporar a acuerdos de seguridad de datos, acuerdos de servicio maestro o contratos de términos de servicio.

Hemos incluido un ejemplo de BAA 2017 aquí (PDF), (tk insert link) basado en el ejemplo de BAA proporcionado por HHS.gov aquí. La plantilla vinculada anteriormente nunca debe usarse sin el asesoramiento de un asesor legal.

El PDF de BAA anterior fue diseñado como un acuerdo entre una sola entidad cubierta y un solo socio comercial. Dicho esto, se puede modificar para su uso con un socio comercial y su subcontratista.

Haga clic en la imagen para descargar el PDF de BAA de muestra.

¿Qué tipos de proveedores deben firmar un BAA?

Todas las Entidades cubiertas deben firmar los BAA, siempre que su socio comercial maneje la PHI que pasa primero por la Entidad cubierta. Hay una lista de entidades cubiertas a continuación. Para obtener información más detallada, consulte la página de HHS.gov sobre Entidades cubiertas por HIPAA.

Las siguientes entidades cubiertas deben firmar formularios BAA.

Proveedores de atención médica

  • Doctores
  • Clínicas
  • Dentistas
  • Psicólogos
  • Residencias de ancianos
  • Quiroprácticos
  • Farmacias

Planes de salud

  • HMO
  • Compañías de seguros médicos
  • Pagadores del gobierno como Medicaid y Medicare

Centros de intercambio de información sobre atención médica

  • Incluidas las entidades que convierten la PHI en formato electrónico.

Nunca haga que un proveedor maneje PHI sin un BAA

Si no ha firmado un BAA con un proveedor, mantenga la PHI alejada de ellos a toda costa. Los proveedores de atención médica que se sientan tentados a mirar hacia otro lado en las regulaciones de BAA deberían reconsiderarlo.

En 2016, OCR llegó a un acuerdo con North Memorial Health Care Minnesota por una suma de $ 1,55 millones.

¿La infracción? North Memorial contrató a un proveedor para realizar varias operaciones relacionadas con una base de datos de clientes. North Memorial no firmó un BAA de HIPAA con el proveedor.

¿Soy responsable de los proveedores que no cumplen con las normas y firman un BAA?

No es su culpa si un proveedor incumple el BAA y viola HIPAA de alguna manera. Cuando el proveedor firma el documento, asume la responsabilidad de salvaguardar la PHI. Ninguna empresa puede ser considerada responsable de vigilar a otra cuando se trata de HIPAA y BAA.

Dicho esto, las tornas cambian cuando y si se puede probar que usted sabía sobre el incumplimiento de contrato. Las regulaciones de HIPAA establecen que las empresas que descubren una infracción por parte de un socio comercial deben corregir la falla o rescindir la BAA. Si no lo hacen, comparten la responsabilidad por la infracción junto con el asociado.

Averigüe cuánto Puede ahorrar instantáneamente. Pruebe nuestra calculadora de ahorros en línea.

Lista de verificación del acuerdo de socio comercial de HIPAA

HHS simplifica las cosas que debe cubrir un BAA. La fuente de las regulaciones es la simplificación administrativa de HIPAA. Es un documento de 115 páginas, así que céntrese en las dos secciones siguientes:

Para una vista más concisa, hemos consolidado los elementos imprescindibles de BAA de nivel superior en la lista siguiente. (Para ver la fuente de la lista, consulte el segundo párrafo del documento del HHS aquí.) Cualquier BAA debe:

  1. Establecer las divulgaciones permitidas de PHI.
  2. Exigir al asociado comercial (BA) que proteja la PHI.
  3. Exigir al BA que informe las infracciones de HIPAA .
  4. Exigir al BA que divulgue la PHI según lo solicite la entidad cubierta o el paciente.
  5. Asegúrese de BA devolverá o destruirá toda la PHI al terminar el acuerdo.

¿Qué más podría haber en un BAA?

La plantilla BAA proporcionada aquí (tk inserte el enlace al pdf ) está generalizado. Cualquier uso real de un acuerdo como este requerirá adaptarlo a las necesidades específicas de la organización. A continuación, presentamos algunas consideraciones adicionales que una empresa puede tener en cuenta al elaborar su propio contrato específico.

  • Detalles de la ventana de informes de infracciones. El lenguaje actual de la HIPAA exige que los BA notifiquen las infracciones a más tardar 60 días y «sin demoras irrazonables». Ese lenguaje se puede adaptar para una pauta más específica.
  • Incumplimiento de los requisitos del seguro. Eso varía según el tipo de proveedor y servicio.
  • Cambios en las reglas predeterminadas para la notificación de incidentes de HIPAA. Según la ley de HIPAA, los BA deben informar todos los «incidentes de seguridad» a sus entidades cubiertas. Ese es un término muy amplio que puede beneficiarse de cierta especificidad para definir qué es realmente una infracción. Por ejemplo, ¿debería incluir todos los intentos fallidos de inicios de sesión no autorizados en una base de datos de pacientes?
  • Disposiciones para la indemnización por incumplimiento. La entidad cubierta solo debe ser responsable de las infracciones que en realidad sean su culpa.

Vía: Wikimedia Commons

Contratistas de contratistas y BAA

¿Un contratista de un contratista tiene que seguir todas las disposiciones de su BAA? ? La Regla de Privacidad parece decir que sí. La regla establece que todos los subcontratistas de socios comerciales deben aceptar restricciones idénticas a las del socio comercial.

Sin embargo, esto no significa que su HIPAA El Acuerdo de socio comercial se aplica al contratista de su contratista.

Más bien, los subcontratistas deben adherirse al BAA del contratista.Dado que todos los Formularios de acuerdo de HIPAA deben contener las mismas reglas básicas (provistas por HHS), las disposiciones para todos son iguales.

Cómo informar infracciones de BAA

Las entidades cubiertas (CE) pueden intentar incluir lenguaje sobre ventanas muy breves de notificación de incumplimiento en sus contratos. Por ejemplo, un CE puede incluir algo como «El socio comercial informará todas las infracciones dentro de los tres días posteriores a la infracción». Eso suena razonable, excepto cuando consideramos que la BA tal vez ni siquiera se entere de la violación hasta varios días después.

En ese caso, la BA se ha enfrentado a HIPAA con total inocencia. Por esta razón, Es mejor que los BA presionen por un lenguaje como «tan pronto como se descubra o debiera haberse descubierto la infracción» en la sección Notificación de infracción.

Su contratista no es su agente legal

Un Acuerdo de socio comercial de la HIPAA que obliga a los contratistas o subcontratistas a tener la condición de agentes legales es peligroso e innecesario. En caso de incumplimiento, las consecuencias legales de la parte infractora recaerían sobre el agente de esa parte. En otras palabras, si la Compañía A crea una infracción y la Compañía B es su agente, la Compañía B también comparte las sanciones de HIPAA. Es mejor incluir lenguaje en el BAA que defina expresamente la relación de no agente entre ambas partes.

BAA y proveedores de servicios en la nube

La era de los datos basados en la nube ha creado nuevas consideraciones para entidades cubiertas y contratistas que requieren un BAA. Algunos proveedores de servicios en la nube (CSP) han intentado eludir la responsabilidad de los BAA escapando a través de ciertas lagunas.

La Cláusula de conducta es una disposición de la HIPAA para determinadas entidades o personas, como los trabajadores postales, que entregan correo que podría incluir PHI.

La cláusula del conserje es otra regla de la HIPAA que otorga excepciones a aquellos cuyos servicios o funciones tienen solo una exposición tangencial a la PHI. Por ejemplo, un conserje de un hospital estaría exento de responsabilidad por la PHI.

Sin embargo, la Regla Ómnibus de 2013 descarta claramente estas excusas al promulgar el cumplimiento en cualquier entidad que crea, transmite, recibe o mantiene PHI.

Conclusión

Un BAA es crucial para cualquier persona, empresa u otra organización que maneja PHI que se origina en otro lugar. Cada vez que un proveedor o contratista contrata a un proveedor que luego maneja la PHI del proveedor / contratista, ambas partes deben firmar un BAA.

Este PDF del Acuerdo de socio comercial de HIPAA (tk add link) está adaptado de la versión del HHS aquí . Al igual que con todos los acuerdos de socios comerciales, establece divulgaciones permitidas, requiere la divulgación de infracciones a la HIPAA y establece otras pautas para manejar la PHI originada por el proveedor.

Un BAA es un documento fundamental que protege a las entidades cubiertas y sus socios comerciales por igual. También establece responsabilidad y limitaciones para ambas partes, por lo que siempre se requiere el asesoramiento de un asesor legal.

Averigüe Cuánto puede ahorrar instantáneamente. Pruebe nuestra calculadora de ahorros en línea.

Leave a Reply

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *