Dans le sens le plus élémentaire, un accord d’associé commercial ou BAA est un document juridique entre un fournisseur de soins de santé et un entrepreneur. Un fournisseur conclut un BAA avec un sous-traitant ou un autre fournisseur lorsque ce fournisseur pourrait avoir accès à des informations de santé protégées (PHI).
Le guide ci-dessous donne les bases des BAA, y compris qui en a besoin, quand ils ‘ sont requis, que mettre en un, et un modèle d’accord d’associé commercial HIPAA (PDF) pour 2017.
Qu’est-ce qu’un BAA?
Un BAA est un accord d’associé commercial. Les règlements HIPAA l’appellent un contrat d’associé commercial. C’est vraiment la même chose.
Les BAA satisfont aux réglementations HIPAA et créent un lien de responsabilité qui lie deux parties.
Si un membre enfreint un BAA, l’autre a un recours légal . S’il n’y a pas de BAA ou s’il est incomplet, ou s’il est violé, alors les deux associés peuvent se retrouver dans l’eau chaude avec la HIPAA et d’autres réglementations FDA.
Qu’est-ce qu’un associé?
La définition d’un associé est assez simple. C’est toute personne à qui vous confiez la gestion de vos informations de santé protégées (PHI) pour quelque raison que ce soit. Pour un exemple frappant, dans un cas célèbre HIPAA, une clinique a embauché un fournisseur pour convertir ses films radiographiques en forme numérique et récupérer l’argent des films. Ils n’ont pas réussi à signer un BAA et ont reçu un ordre de paiement de 750000 $ de l’OCR.
Les associés commerciaux sont toute organisation ou personne qui crée, transmet, reçoit ou gère des renseignements personnels sur le compte d’une entité couverte, ou au nom de l’associé commercial d’une entité couverte.
Les employés doivent-ils signer un BAA?
Les employés directs n’ont pas à signer un BAA. En effet, les personnes qui travaillent pour vous font partie de votre organisation et ne sont pas considérées comme des partenaires commerciaux. Cela dit, ils relèvent toujours des lois HIPAA. En tant que vos agents, vous êtes responsable de les former à la confidentialité et à la sécurité. Cela s’applique non seulement à vos recrutements réguliers à plein temps, mais également aux stagiaires, au personnel temporaire, aux bénévoles et à toute autre personne sous votre contrôle direct.
Les entrepreneurs doivent-ils signer un BAA?
Tout entrepreneur qui entrera en contact avec un PHI devra signer un BAA. Étant donné que ces personnes et organisations ne sont pas sous votre contrôle direct, elles ne peuvent pas être traitées comme des employés. À ce titre, ils sont considérés comme des associés d’affaires. Cela signifie qu’ils doivent être prêts à se conformer à la HIPAA. Cela inclut l’acceptation de la responsabilité de conformité et la signature d’un accord d’associé commercial HIPAA.
Qui a besoin d’un accord d’associé commercial?
Toute personne ou organisation identifié sous HIPAA en tant qu’associé commercial doit signer un BAA avec vous.
Si vous embauchez un entrepreneur et que celui-ci gère les PHI qui transitent d’abord par votre entreprise, vous devez signer un BAA avec cet entrepreneur. Vos associés doivent ensuite signer les formulaires d’accord HIPAA avec leurs associés.
Par exemple, si vous engagez la société B pour disposer de films radiographiques, vous avez besoin d’un BAA avec eux. S’ils engagent la société C pour transporter les films jusqu’à l’installation d’incinération, alors B et C ont besoin d’un BAA pour se conformer aux réglementations HIPAA. Mais votre entreprise n’a pas besoin d’un BAA avec la société C.
Modèle BAA 2017
Un accord d’associé commercial HIPAA n’a pas à être un contrat autonome. La langue d’un BAA peut être intégrée dans des accords de sécurité des données, des contrats de service-cadre ou des conditions de contrat de service.
Nous avons inclus un exemple de BAA 2017 ici (PDF), (tk insert link) basé sur l’exemple BAA fourni par HHS.gov ici. Le modèle lié à ci-dessus ne doit jamais être utilisé sans l’avis d’un conseiller juridique.
Le PDF BAA ci-dessus a été conçu comme un accord entre une seule entité couverte et un seul associé. Cela dit, il peut être modifié pour être utilisé avec un associé et son sous-traitant.
Cliquez sur l’image pour télécharger l’exemple de PDF BAA.
Quels types de fournisseurs doivent signer un BAA?
Les BAA doivent être signés par toutes les entités couvertes, chaque fois que leur associé traitera les PHI qui transitent en premier par l’entité couverte. Vous trouverez ci-dessous une liste des entités couvertes. Pour plus d’informations, consultez la page HHS.gov sur les entités couvertes par HIPAA.
Les entités couvertes suivantes doivent signer les formulaires BAA.
Fournisseurs de soins de santé
- Médecins
- Cliniques
- Dentistes
- Psychologues
- Maisons de soins infirmiers
- Chiropracteurs
- Pharmacies
Plans de santé
- HMO
- Compagnies d’assurance maladie
- Les gouvernements payeurs comme Medicaid et Medicare
Centres d’échange d’informations sur les soins de santé
- Y compris les entités qui convertissent les PHI sous forme électronique.
Ne jamais avoir un fournisseur manipuler PHI sans BAA
Si vous n’avez pas signé de BAA avec un fournisseur, gardez PHI loin d’eux à tout prix. Les prestataires de soins de santé qui sont tentés de détourner le regard sur les réglementations BAA seraient bien avisés de reconsidérer.
En 2016, l’OCR a conclu un accord avec North Memorial Health Care of Minnesota à hauteur de 1,55 million de dollars.
La violation? North Memorial a passé un contrat avec un fournisseur pour effectuer diverses opérations concernant une base de données clients. North Memorial a négligé de signer un BAA HIPAA avec le fournisseur.
Suis-je responsable des fournisseurs non conformes qui signent un BAA?
Ce n’est pas de votre faute si un fournisseur enfreint le BAA et viole la HIPAA d’une certaine manière. Lorsque le vendeur signe le document, il assume la responsabilité de la sauvegarde du PHI. Aucune entreprise ne peut être tenue responsable du maintien de l’ordre d’autrui lorsqu’il s’agit de HIPAA et d’un BAA.
Cela dit, les choses changent quand et s’il peut être prouvé que vous étiez au courant de la rupture de contrat. Les réglementations HIPAA stipulent que les entreprises qui découvrent une violation par un associé doivent soit corriger la faute, soit mettre fin au BAA. S’ils ne le font pas, ils partagent la responsabilité de la violation avec l’associé.
En savoir plus Vous pouvez économiser instantanément.Essayez notre calculateur d’économies en ligne.
Liste de contrôle de l’accord d’associé commercial HIPAA
HHS simplifie les choses qu’un BAA devrait couvrir. La source de la réglementation est la simplification administrative HIPAA. Il s’agit d’un document de 115 pages, alors concentrez-vous simplement sur les deux sections suivantes:
Pour une vue plus concise, nous avons regroupé les incontournables BAA de premier niveau dans la liste ci-dessous. (Pour voir la source de la liste, voir le deuxième paragraphe du document HHS ici.) Tout BAA doit:
- Établir les divulgations autorisées de PHI.
- Exiger de l’associé commercial (BA) de protéger les PHI.
- Exiger du BA de signaler les violations HIPAA .
- Exiger du BA qu’il libère les PHI en tant qu’entité couverte ou demandes des patients.
- Assurez-vous que le BA restituera ou détruira tous les PHI à la résiliation du contrat.
Que pourrait-il encore y avoir dans un BAA?
Le modèle BAA fourni ici (tk insérer le lien vers le pdf ) est généralisée. Toute utilisation réelle d’un accord comme celui-ci nécessitera de l’adapter aux besoins spécifiques de l’organisation. Voici quelques considérations supplémentaires qu’une entreprise pourrait prendre en compte lors de l’élaboration de son propre contrat spécifique.
- Spécificités de la fenêtre de signalement de violation. Le langage HIPAA actuel appelle les BA à signaler les violations au plus tard 60 jours et « sans délai déraisonnable ». Ce langage peut être adapté pour une directive plus spécifique.
- Exigences en matière d’assurance contre les infractions. Cela varie en fonction du type de fournisseur et de service.
- Modifications des règles par défaut pour les rapports d’incidents HIPAA. En vertu de la loi HIPAA, les BA sont tenus de signaler tous les «incidents de sécurité» à leurs entités couvertes. C’est un terme très large qui peut bénéficier d’une certaine spécificité pour définir ce qu’est réellement une violation. Par exemple, doit-il inclure toutes les tentatives infructueuses de connexion non autorisée à une base de données de patients?
- Dispositions d’indemnisation pour violation. L’entité couverte ne doit être responsable que des violations qui sont en fait sa faute.
Les entrepreneurs des entrepreneurs et le BAA
Un entrepreneur d’un entrepreneur doit-il suivre toutes les dispositions de votre BAA ? La règle de confidentialité semble le dire. La règle stipule que tous les sous-traitants des partenaires commerciaux doivent accepter des restrictions identiques à celles de l’associé commercial.
Cela ne signifie toutefois pas que votre HIPAA Le contrat d’association commerciale s’applique à l’entrepreneur de votre entrepreneur.
Les sous-traitants doivent plutôt adhérer au BAA de l’entrepreneur.Étant donné que tous les formulaires d’accord HIPAA doivent contenir les mêmes règles de base (fournies par HHS), les dispositions pour tous sont égales.
Signaler les violations BAA
Les entités couvertes (CE) peuvent essayer d’inclure langage sur les fenêtres très courtes de signalement des violations dans leurs contrats. Par exemple, un EC peut inclure quelque chose comme « L’associé commercial signalera toutes les violations dans les trois jours suivant la violation. » Cela semble raisonnable, sauf si nous considérons que le BA pourrait même ne pas être au courant de la violation jusqu’à plusieurs jours plus tard.
Dans ce cas, le BA s’est maintenant heurté à HIPAA en toute innocence. Pour cette raison, il est préférable pour les BA de faire pression pour un libellé tel que « dès que la violation est découverte ou aurait dû l’être » dans la section Notification de violation.
Votre sous-traitant n’est pas votre représentant légal
Un accord d’associé commercial HIPAA qui oblige les entrepreneurs ou sous-traitants à devenir un mandataire légal est dangereux et inutile. En cas de manquement, les conséquences juridiques de la partie fautive retomberaient alors sur le mandataire de cette partie. En d’autres termes, si la société A crée une infraction et que la société B est son mandataire, la société B partage également les sanctions HIPAA. Il est préférable d’inclure dans le BAA un langage qui définit expressément la relation non-agent entre les deux parties.
BAA et les fournisseurs de services cloud
L’ère des données basées sur le cloud a créé de nouvelles considérations pour les entités couvertes et les entrepreneurs qui ont besoin d’un BAA. Certains fournisseurs de services cloud (CSP) ont tenté de se soustraire à leurs responsabilités en vertu des BAA en échappant à certaines failles.
La clause Conduit est une disposition HIPAA pour certaines entités ou individus comme les postiers qui livrent du courrier pouvant inclure des PHI.
La Clause Janitor est une autre règle HIPAA qui accorde des exceptions à ceux dont les services ou fonctions n’ont qu’une exposition tangentielle à PHI. Par exemple, un concierge d’hôpital serait exonéré de la responsabilité des PHI.
Cependant, la règle omnibus de 2013 sabote clairement ces excuses en imposant la conformité dans toute entité qui crée, transmet, reçoit ou maintient PHI.
Conclusion
Un BAA est crucial pour toute personne, entreprise ou autre organisation qui gère les PHI provenant d’ailleurs. Chaque fois qu’un fournisseur ou un entrepreneur engage un fournisseur qui gère ensuite le PHI du fournisseur / entrepreneur, les deux parties doivent signer un BAA.
Ce PDF du contrat d’associé commercial HIPAA (tk add link) est adapté de la version HHS ici . Comme pour tous les accords d’associé commercial, il établit les divulgations autorisées, exige la divulgation des violations à la HIPAA et définit d’autres directives pour la gestion des RPS provenant des fournisseurs.
Un BAA est un document essentiel qui protège les entités couvertes et leurs associés d’affaires. Il établit également la responsabilité et les limites des deux parties, de sorte que l’avis d’un conseiller juridique est toujours nécessaire.