Mikä on BAA ja miksi sillä on merkitystä?

Perusajatuksessa Business Associate Agreement tai BAA on juridinen asiakirja terveydenhuollon tarjoajan ja urakoitsijan välillä. Palveluntarjoaja tekee BAA: n urakoitsijan tai muun toimittajan kanssa, kun tämä myyjä voi saada pääsyn suojattuun terveystietoon (PHI).

Alla olevassa oppaassa annetaan BAA: n perusteet, mukaan lukien kuka tarvitsee niitä, kun he ” Tarvitaan, mitä laitetaan yhteen, ja HIPAA Business Associate Agreement Template (PDF) vuodelle 2017.

Mikä on BAA?

BAA on liikekumppanisopimus. HIPAA-säännöissä sitä kutsutaan liikekumppanisopimukseksi. Ne ovat oikeastaan sama asia.

BAA: t täyttävät HIPAA: n määräykset ja luovat vastuuta koskevan sidoksen, joka sitoo kahta osapuolta.

Jos yksi jäsen rikkoo BAA: ta, toinen voi vedota laillisesti. . Jos BAA: ta ei ole tai se on puutteellinen tai jos sitä rikotaan, molemmat osakkuusyritykset voivat joutua kuumaan veteen HIPAA: n ja muiden FDA: n määräysten mukaisesti.

Mikä on liikekumppani?

Liikekumppanin määritelmä on melko yksinkertainen. Kuka tahansa, jonka kanssa teet sopimuksen, suojaa terveystietojasi (PHI) jostain syystä. Kirkas esimerkki on, että kuuluisa HIPAA-tapaus, klinikka palkkasi myyjän muuntamaan röntgenelokuvansa digitaaliseen muotoon ja saamaan takaisin hopean elokuvista. He eivät allekirjoittaneet BAA: ta ja saivat 750 000 dollarin maksumääräyksen OCR: ltä.

Liikekumppanit ovat organisaatioita tai henkilöitä, jotka luovat, välittävät, vastaanottavat tai ylläpitävät PHI: tä minkä tahansa katetun yksikön puolesta, tai katetun yrityksen liikekumppanin puolesta.

Pitääkö työntekijöiden allekirjoittaa BAA?

Suorien työntekijöiden ei tarvitse allekirjoittaa BAA: ta. Tämä johtuu siitä, että sinulle työskentelevät ihmiset ovat osa organisaatiotasi eikä heitä pidetä liikekumppaneina. Siitä huolimatta he kuuluvat edelleen HIPAA-lakien piiriin. Edustajina olet vastuussa heidän kouluttamisesta yksityisyyden ja turvallisuuden aloilla. Tämä ei koske vain säännöllisiä kokopäiväisiä palkkauksiasi, vaan myös harjoittelijoita, väliaikaisia toimihenkilöitä, vapaaehtoisia ja muita suorassa hallinnassasi olevia henkilöitä.

Pitääkö urakoitsijoiden allekirjoittaa BAA?

Kaikkien urakoitsijoiden, jotka joutuvat kosketuksiin minkä tahansa PHI: n kanssa, on allekirjoitettava BAA. Koska nämä ihmiset ja organisaatiot eivät ole suoraan hallinnassasi, heitä ei voida kohdella työntekijöinä. Sellaisena heitä pidetään liikekumppaneina. Tämä tarkoittaa, että heidän on oltava valmiita noudattamaan HIPAA: ta. Tähän sisältyy noudattamisvastuun ottaminen ja HIPAA-liikekumppanisopimuksen allekirjoittaminen.

Kuka tarvitsee liikekumppanuussopimuksen?

Kuka tahansa henkilö tai organisaatio HIPAA: n alla liikekumppaniksi tunnistetun on allekirjoitettava kanssasi BAA.

Jos vuokraat urakoitsijan ja se hoitaa ensin yrityksesi läpi kulkevan PHI: n, sinun on allekirjoitettava BAA kyseisen urakoitsijan kanssa. Liikekumppaneidesi on sitten allekirjoitettava HIPAA-sopimuslomakkeet liikekumppaneidensa kanssa.

Jos esimerkiksi palkkaat yrityksen B röntgenelokuvien hävittämiseen, tarvitset heidän kanssaan BAA: n. Jos he palkkaavat yrityksen C kuljettamaan elokuvat polttolaitokseen, B ja C tarvitsevat BAA: n HIPAA-määräysten noudattamiseksi. Yrityksesi ei kuitenkaan tarvitse BAA-yritystä C-yrityksen kanssa.

BAA-malli 2017

HIPAA-liikekumppanisopimuksen ei tarvitse olla erillinen sopimus. BAA: n kieli voidaan sisällyttää tietoturvasopimuksiin, pääpalvelusopimuksiin tai palvelusopimusten ehtoihin.

Olemme sisällyttäneet tähän mallin 2017 BAA: n (PDF), (tk insert link) esimerkki BAA, jonka tarjoaa HHS.gov täällä. Edellä mainittua mallia ei saa koskaan käyttää ilman oikeudellisen neuvonantajan neuvoja.

Yllä oleva BAA-PDF on suunniteltu sopimukseksi yhden katetun yksikön ja yhden liikekumppanin välillä. Siitä huolimatta sitä voidaan muokata käytettäväksi liikekumppanin ja heidän alihankkijoidensa kanssa.

Lataa BAA-PDF-näyte napsauttamalla kuvaa.

Minkä tyyppisten palveluntarjoajien on allekirjoitettava BAA?

Kaikkien katettujen yhteisöjen on allekirjoitettava BAA: t aina, kun heidän liikekumppaninsa käsittelee PHI: tä, joka kulkee ensin katetun yhteisön läpi. Alla on luettelo katetuista yhteisöistä. Lisätietoja on HHS.gov -sivulla HIPAA: n piiriin kuuluvissa yhteisöissä.

Seuraavien katettujen yksiköiden on allekirjoitettava BAA-lomakkeet.

Terveydenhuollon tarjoajat

  • Lääkärit
  • Klinikat
  • Hammaslääkärit
  • Psykologit
  • Hoitokodit
  • Kiropraktikot
  • Apteekit

Terveyssuunnitelmat

  • HMOs
  • sairausvakuutusyhtiöt
  • Valtion maksajat, kuten Medicaid ja Medicare

Terveydenhuollon selvityskeskukset

  • Mukaan lukien yksiköt, jotka muuttavat PHI: n sähköiseksi.

Älä koskaan myyjällä käsittele PHI: tä ilman BAA: ta

Jos et ole allekirjoittanut BAA: ta toimittajan kanssa, pidä PHI: n poissa heistä hinnalla millä hyvänsä. Terveydenhuollon tarjoajia, joilla on houkutus etsiä BAA-määräyksistä toisin, olisi hyvä harkita uudelleen.

Vuonna 2016 OCR sopi North Memorial Health Care of Minnesota 1,55 miljoonan dollarin verran.

Rikkomus? North Memorial sopi toimittajan kanssa erilaisten asiakastietokantaan liittyvien toimintojen suorittamisesta. North Memorial laiminlyönyt HIPAA BAA: n allekirjoittamisen toimittajan kanssa.

Vastaanko vaatimustenvastaisista toimittajista, jotka allekirjoittavat BAA: n?

Ei ole sinun syytäsi, jos myyjä rikkoo BAA: ta ja rikkoo jollain tavalla HIPAA: ta. Kun myyjä allekirjoittaa asiakirjan, ota vastuu PHI: n suojaamisesta. Mitään yritystä ei voida pitää vastuussa toisen poliisitoiminnasta HIPAA: n ja BAA: n suhteen.

Siitä huolimatta taulukot kääntyvät, kun voidaan todistaa, että tiesit sopimusrikkomuksesta. HIPAA-määräysten mukaan yritysten, jotka havaitsevat liikekumppanin tekemän rikkomuksen, on joko korjattava vika tai lopetettava BAA. Jos ei, he jakavat vastuun rikkomuksesta yhdessä kumppanin kanssa.

Selvitä kuinka paljon Voit säästää heti. Kokeile online-säästölaskinta.

HIPAA: n liikekumppanisopimuksen tarkistuslista

HHS yksinkertaistaa asioita, jotka BAA: n tulisi kattaa. Sääntöjen lähde on HIPAA-hallinnon yksinkertaistaminen. Tämä on 115 sivun asiakirja, joten keskity vain seuraaviin kahteen osaan:

Lyhyemmän kuvan saamiseksi olemme yhdistäneet ylimmän tason BAA: n pakolliset kohteet alla olevaan luetteloon. (Jos haluat nähdä luettelon lähteen, katso HHS-asiakirjan toinen kappale täällä.) Kaikkien BAA: n on:

  1. Laadittava PHI: n sallitut tiedot.
  2. Vaatia liikekumppania (BA) suojaamaan PHI.
  3. Vaadi BA: ta ilmoittamaan HIPAA-rikkomuksista .
  4. Vaadi BA: ta vapauttamaan PHI, kun katettu yhteisö tai potilas pyytää.
  5. Varmista, että BA palauttaa tai tuhoaa kaikki PHI: t sopimuksen purkamisen yhteydessä.

Mitä muuta voi olla BAA: ssa?

Tässä annettu BAA-malli (tk lisää linkki pdf-tiedostoon) ) on yleistetty. Tällaisen sopimuksen todellinen käyttö edellyttää räätälöimistä organisaation erityistarpeisiin. Tässä on vain muutama huomio, jonka yritys voi ottaa huomioon laatiessaan omaa erityissopimustaan.

  • Rikkomusten ilmoittamisikkunan yksityiskohdat. Nykyinen HIPAA-kieli kehottaa BA: ita ilmoittamaan rikkomuksista viimeistään 60 päivän kuluessa ”ilman kohtuutonta viivytystä”. Kieli voidaan räätälöidä tarkempaa ohjetta varten.
  • Rikkomusvakuutusvaatimukset. Se vaihtelee toimittajan ja palvelun tyypin mukaan.
  • Muutokset HIPAA-tapahtumaraportoinnin oletussääntöihin. HIPAA-lain mukaan BA: n on ilmoitettava kaikista ”tietoturvaloukkauksista” kattamilleen yksiköille. Se on hyvin laaja termi, joka voi hyötyä tietystä erityispiirteestä sen määrittämiseksi, mikä rikkomus todellisuudessa on. Pitäisikö sen sisällyttää esimerkiksi kaikki epäonnistuneet yritykset luvattomaan sisäänkirjautumiseen potilastietokantaan?
  • Rikkomusten korvaamista koskevat säännökset. Katetun yksikön tulisi olla vastuussa vain rikkomuksista, jotka ovat itse asiassa sen syynä.

Via: Wikimedia Commons

Urakoitsijoiden urakoitsijat ja BAA

Pitääkö urakoitsijan urakoitsijan noudattaa kaikkia BAA: n säännöksiä ? Tietosuojasääntö näyttää sanovan. Säännössä todetaan, että kaikkien liikekumppaneiden alihankkijoiden on suostuttava samoihin rajoituksiin kuin liikekumppanit.

Tämä ei kuitenkaan tarkoita, että HIPAA Liikekumppanisopimus koskee urakoitsijan urakoitsijaa.

Alihankkijoiden on pikemminkin noudatettava urakoitsijan BAA: ta.Koska kaikilla HIPAA-sopimuslomakkeilla on oltava samat perussäännöt (HHS: n toimittamat), säännökset kaikille ovat samat.

BAA-rikkomusten ilmoittaminen

Katetut yhteisöt (CE) voivat yrittää sisällyttää kieli erittäin lyhyistä rikkomusilmoitusikkunoista sopimuksissaan. Esimerkiksi CE voi sisältää jotain seuraavaa: ”Liikekumppani ilmoittaa kaikista rikkomuksista kolmen päivän kuluessa rikkomuksesta.” Tämä kuulostaa kohtuulliselta, paitsi jos katsomme, että BA ei ehkä edes tiedä rikkomuksesta vasta useita päiviä myöhemmin.

Siinä tapauksessa BA on nyt törmännyt HIPAA: han täysin viattomasti. Tästä syystä on parempi, että BA: t pyrkivät rikkomuksesta ilmoittamista koskevaan osioon, kuten ”heti kun rikkomus havaitaan tai olisi pitänyt havaita”.

Urakoitsijasi ei ole laillinen edustajasi

HIPAA: n liikekumppanisopimus, joka pakottaa urakoitsijat tai alihankkijat laillisen edustajan asemaan, on vaarallinen ja tarpeeton. Rikkomuksen sattuessa rikkoneen osapuolen oikeudelliset seuraukset lankeavat kyseisen osapuolen edustajalle. Toisin sanoen, jos yritys A aiheuttaa rikkomuksen ja yritys B on sen edustaja, yritys B jakaa myös HIPAA-rangaistukset. On parasta sisällyttää BAA: han kieli, joka määrittelee nimenomaisesti molempien osapuolten välisen ei-agenttisuhteen.

BAA ja pilvipalvelujen tarjoajat

Pilvipohjaisten tietojen ikä on luonut uusia näkökohtia katettuihin yhteisöihin ja urakoitsijoihin, jotka vaativat BAA: ta. Jotkut pilvipalvelujen tarjoajat (CSP: t) ovat yrittäneet välttää BAA: n mukaista vastuuta välttämällä tiettyjä porsaanreikiä.

Conduit Clause on HIPAA-säännös tietyille yhteisöille tai yksityishenkilöille, kuten postityöntekijöille, jotka toimittavat postia, joka saattaa sisältää PHI: tä.

Talonmieslauseke on toinen HIPAA-sääntö, joka myöntää poikkeuksia niille, joiden palveluilla tai toiminnoilla on vain tangentiaalinen altistuminen PHI: lle. Esimerkiksi sairaalan vahtimestari olisi vapautettu PHI-vastuusta.

Vuoden 2013 Omnibus-säännössä kuitenkin selvästi erotetaan nämä tekosäännöt säätämällä sääntöjen noudattamista kaikissa yksiköissä, jotka luo, lähettää, vastaanottaa tai ylläpitää PHI: tä.

Johtopäätös

BAA on tärkeä kaikille henkilöille, yrityksille tai muille organisaatioille, jotka käsittelevät muualta peräisin olevaa PHI: tä. Aina kun palveluntarjoaja tai urakoitsija palkkaa toimittajan, joka käsittelee sitten toimittajan / urakoitsijan PHI: n, molempien osapuolten on allekirjoitettava BAA.

Tämä HIPAA Business Associate Agreement PDF (tk add link) on mukautettu HHS-versiosta täältä . Kuten kaikkien liikekumppanisopimusten kohdalla, siinä vahvistetaan sallitut tiedot, vaaditaan rikkomusten ilmoittamista HIPAA: lle ja vahvistetaan muita ohjeita palveluntarjoajalta peräisin olevien PHI: n käsittelystä.

BAA on kriittinen asiakirja, joka suojaa katettuja yhteisöjä ja heidän liikekumppaninsa. Siinä asetetaan myös vastuu ja rajoitukset molemmille osapuolille, joten oikeudellisen neuvonantajan neuvoja tarvitaan aina.

Selvitä Kokeile online-säästölaskuria.

Leave a Reply

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *