Mi az a BAA és miért számít?

A legalapvetőbb értelemben a Business Associate Agreement vagy a BAA jogi dokumentum az egészségügyi szolgáltató és a vállalkozó között. Amikor egy szolgáltató hozzáférést kap a védett egészségügyi információkhoz (PHI), a szolgáltató egy vállalkozóval vagy más szállítóval köt BAA-t.

Az alábbi útmutató ismerteti a BAA-k alapjait, beleértve azt is, hogy kinek van szüksége rájuk, amikor ők ” Szükség van, mit kell egybe tenni, és egy HIPAA Business Associate Agreement Template (PDF) 2017-re.

Mi az a BAA?

A BAA egy üzleti társult megállapodás. A HIPAA előírások Business Associate szerződésnek hívják. Valójában ugyanazok.

A BAA-k eleget tesznek a HIPAA-előírásoknak, és felelősségvállalást hoznak létre, amely két felet megköti.

Ha az egyik tag megsérti a BAA-t, a másiknak joga van . Ha nincs BAA, vagy hiányos, vagy ha megsértik, akkor mindkét munkatárs forró vízben találhatja magát a HIPAA és más FDA előírásoknak megfelelően.

Mi az üzleti munkatárs?

Az üzleti partner meghatározása meglehetősen egyszerű. Bárki, akivel szerződik, aki bármilyen okból kezeli a védett egészségügyi információkat (PHI). Élénk példa: egy híres HIPAA-ügyben egy klinika felkért egy árust, hogy alakítsa át röntgensugaras filmjeiket digitális formába, és nyerje vissza a filmek ezüstjét. Nem sikerült aláírniuk a BAA-t, és 750 000 dolláros fizetési megbízással találták őket az OCR-től.

Üzleti munkatársak minden olyan szervezet vagy személy, aki PHI-t hoz létre, továbbít, fogad vagy tart fenn bármely érintett szervezet nevében, vagy a fedett entitás üzleti munkatársa nevében.

Az alkalmazottaknak alá kell írniuk a BAA-t?

A közvetlen alkalmazottaknak nem kell BAA-t aláírniuk. Ez azért van, mert az Önnél dolgozó emberek a szervezet részei, és nem tekintik őket üzleti partnernek. Ez azt jelenti, hogy továbbra is a HIPAA törvények alá tartoznak. Ügynökeiként Ön felelős a magánélet és a biztonság képzéséért. Ez nem csak a rendszeres, teljes munkaidős alkalmazottaira vonatkozik, hanem a gyakornokokra, az ideiglenes alkalmazottakra, az önkéntesekre és bárki másra, aki közvetlen irányítása alatt áll.

A vállalkozóknak alá kell írniuk a BAA-t?

Minden vállalkozónak, aki kapcsolatba lép bármely PHI-val, alá kell írnia egy BAA-t. Mivel ezek az emberek és szervezetek nincsenek az ön közvetlen irányításában, nem kezelhetők munkavállalóként. Mint ilyen, üzleti partnernek számítanak. Ez azt jelenti, hogy készen kell állniuk a HIPAA betartására. Ez magában foglalja a megfelelőségi felelősség vállalását és a HIPAA üzleti társult szerződés aláírását.

Kinek van szüksége üzleti társulási megállapodásra?

Bármely személy vagy szervezet A HIPAA alatt üzleti partnerként azonosítva BAA-t kell aláírnia Önnel.

Ha vállalkozót vesz fel, és ő kezeli a PHI-t, amely először átmegy a cégén, alá kell írnia egy BAA-t azzal a vállalkozóval. Ezután üzleti partnereinek alá kell írniuk HIPAA megállapodási űrlapokat üzlettársaikkal.

Ha például a B vállalatot veszi fel röntgenfilmek ártalmatlanítására, akkor BAA-ra van szüksége velük. Ha a C vállalatot veszik fel a filmek hulladékégetőbe szállításához, akkor B-nek és C-nek BAA-ra van szüksége, hogy megfeleljen a HIPAA előírásoknak. De a vállalatának nincs szüksége BAA-ra a C céggel.

BAA Template 2017

A HIPAA üzleti társult megállapodásnak nem kell önálló szerződésnek lennie. A BAA nyelve beilleszthető az adatbiztonsági megállapodásokba, a szolgáltatási alapmegállapodásokba vagy a szolgáltatási szerződésekbe.

Ide illesztettünk egy 2017-es BAA-mintát (PDF), (tk insert link) a következők alapján: a HHS.gov által itt megadott BAA példát. A fentiekhez kapcsolt sablont soha nem szabad jogi tanácsadás nélkül használni.

A fenti BAA PDF-t egyetlen fedett szervezet és egyetlen üzleti társult közötti megállapodásként tervezték. Ennek ellenére módosítható üzleti partnereivel és alvállalkozóikkal való használatra.

Kattintson a képre a BAA PDF minta letöltéséhez.

Milyen típusú szolgáltatóknak kell aláírniuk a BAA-t?

A BAA-kat minden lefedett entitásnak alá kell írnia, valahányszor üzleti munkatársaik a lefedett entitáson először áthaladó PHI-t kezelik. Az alábbiakban felsoroljuk az érintett szervezetek listáját. Részletesebb információkért lásd a HHS.gov oldalt a HIPAA fedett entitásokról.

A következő fedett entitásoknak alá kell írniuk a BAA űrlapokat.

Egészségügyi szolgáltatók

  • Orvosok
  • Klinikák
  • Fogorvosok
  • Pszichológusok
  • Ápolási otthonok
  • Kiropraktikusok
  • Gyógyszertárak

Egészségügyi tervek

  • HMOs
  • Egészségbiztosító társaságok
  • A kormányzati fizetők, mint a Medicaid és a Medicare

Egészségügyi elszámolóházak

  • Beleértve azokat az entitásokat, amelyek a PHI-t elektronikus formába konvertálják.

Soha ne legyen szállítói kezelő PHI BAA nélkül

Ha még nem írt alá BAA-t egy szállítóval, akkor a PHI-t mindenáron tartsa távol tőlük. Azoknak az egészségügyi szolgáltatóknak, akik kísértésbe esnek a BAA-előírások másképp történő megtekintésére, érdemes átgondolniuk.

2016-ban az OCR az North Memorial Health Care of Minnesota 1,55 millió dollárra.

A jogsértés? A North Memorial szerződött egy eladóval, hogy különféle műveleteket hajtson végre az ügyféladatbázissal kapcsolatban. Az North Memorial figyelmen kívül hagyta a HIPAA BAA aláírását az eladóval.

Felelős vagyok-e a nem megfelelő szállítókért, akik BAA-t írnak alá?

Nem az Ön hibája, ha egy eladó megsérti a BAA-t és valamilyen módon sérti a HIPAA-t. Amikor az eladó aláírja a dokumentumot, vállalja a felelősséget a PHI védelméért. A HIPAA-val és a BAA-val kapcsolatban egyetlen cég sem tehető felelőssé egy másik rendőrség rendezéséért.

Ez azt jelenti, hogy a táblázatok akkor fordulnak meg, amikor bizonyítható, hogy tudott a szerződésszegésről. A HIPAA szabályozás kimondja, hogy az üzleti partnerek által elkövetett jogsértést felfedező vállalkozásoknak vagy meg kell javítaniuk a hibát, vagy meg kell szüntetniük a BAA-t. Ha nem teszik meg, akkor a jogsértésért felelősséget vállalnak a társukkal együtt.

Tudja meg, mennyit Azonnal spórolhat. Próbálja ki on-line megtakarítási kalkulátorunkat.

HIPAA üzleti társult szerződés ellenőrzőlista

A HHS leegyszerűsíti azokat a dolgokat, amelyekre a BAA-nak ki kell terjednie. A szabályozás forrása a HIPAA adminisztratív egyszerűsítése. Ez egy 115 oldalas dokumentum, ezért csak a következő két szakaszra kell összpontosítania:

A tömörebb nézet érdekében összevontuk a legfelső szintű BAA-hiányokat az alábbi listában. (A lista forrásának megtekintéséhez lásd a HHS dokumentum második bekezdését.) Bármely BAA-nak:

  1. Meg kell határoznia a PHI engedélyezett közzétételeit.
  2. A PHI védelmére kötelezze az üzleti munkatársat.
  3. Követelje meg a BA-t, hogy jelentse a HIPAA megsértéseit .
  4. Követelje meg a BA-t, hogy engedje el a PHI-t a fedett entitás vagy a beteg kérése szerint.
  5. Győződjön meg arról, hogy A BA felmondja vagy megsemmisíti az összes PHI-t a megállapodás felmondásakor.

Mi lehet még egy BAA-ban?

Az itt megadott BAA sablon (tk link beillesztése a pdf-be ) általánosítják. Az ilyen megállapodások valódi felhasználásához a szervezet sajátos igényeihez kell igazítani. Íme néhány további szempont, amelyet egy vállalkozás figyelembe vehet a saját egyedi szerződésének elkészítésekor.

  • A szabálysértési jelentés ablak sajátosságai. A jelenlegi HIPAA nyelv azt kéri, hogy a BA-k legkésőbb 60 napon belül “ésszerűtlen késedelem nélkül” tegyenek jelentést a jogsértésekről. Ez a nyelv testreszabható egy specifikusabb iránymutatáshoz.
  • Megsértési biztosítási követelmények. Ez az eladó és a szolgáltatás típusától függően változik.
  • Változások a HIPAA események jelentésének alapértelmezett szabályaiban. A HIPAA törvény értelmében a BA-k kötelesek minden “biztonsági eseményt” jelenteni a hatálya alá tartozó szervezeteknek. Ez egy nagyon tág fogalom, amely bizonyos sajátosságokból profitálhat, hogy meghatározza, mi is valójában a jogsértés. Például tartalmaznia kell-e az összes sikertelen kísérletet a beteg adatbázisba való jogosulatlan bejelentkezéssel?
  • Rendelkezés a jogsértések kártalanítására. A lefedett entitásnak csak azokért a jogsértésekért kell felelnie, amelyek valójában a hibája.

Via: Wikimedia Commons

Vállalkozók vállalkozói és a BAA

A vállalkozó vállalkozójának be kell-e tartania a BAA összes rendelkezését ? Úgy tűnik, hogy az adatvédelmi szabály azt mondja. A szabály kimondja, hogy az üzleti partnerek összes alvállalkozójának meg kell egyeznie az üzleti partnerrel azonos korlátozásokkal.

Ez azonban nem jelenti azt, hogy a HIPAA Az üzleti társulási megállapodás a vállalkozó vállalkozójára vonatkozik.

Az alvállalkozóknak inkább be kell tartaniuk a vállalkozó BAA-ját.Mivel az összes HIPAA megállapodás-űrlapnak ugyanazokat az alapvető szabályokat kell tartalmaznia (a HHS nyújtja), a rendelkezések mindenki számára azonosak.

A BAA-sértések bejelentése

A lefedett szervezetek (CE) megpróbálhatják nyelv a szerződések nagyon rövid, szabálysértési jelentési ablakairól Például a CE tartalmazhat valami ilyesmit: “Az üzleti munkatárs a jogsértéstől számított három napon belül jelentést tesz minden megsértésről.” Ez ésszerűnek hangzik, kivéve, ha úgy gondoljuk, hogy a BA csak néhány nappal később tudhat meg a jogsértésről.

Ebben az esetben a BA mostanra teljes ártatlanságba ütközött a HIPAA-val. Ezért jobb, ha a BA-k olyan nyelvre törekszenek, hogy “amint a szabálysértést felfedezik vagy felfedezni kellett volna” a Megsértési Értesítés szakaszban.

Az Ön vállalkozója nem az Ön jogi képviselője

Veszélyes és felesleges egy HIPAA üzleti társult megállapodás, amely a vállalkozókat vagy alvállalkozókat jogi ügynöki státusba kényszeríti. Megsértés esetén a jogsértő fél jogi következményei ekkor az adott fél meghatalmazottjára hárulnak. Más szavakkal, ha az A vállalat jogsértést hoz létre, és a B vállalat az ügynöke, akkor a B vállalat is osztozik a HIPAA büntetésekben. A legjobb, ha olyan nyelvet is beillesztünk a BAA-ba, amely kifejezetten meghatározza a nem ügynöki kapcsolatot mindkét fél között.

BAA és a Cloud Service Providers

A felhőalapú adatok kora új szempontokat vetett fel az érintett szervezetek és vállalkozók számára, akik BAA-t igényelnek. Egyes felhőszolgáltatók (CSP-k) megpróbálták elkerülni a BAA-k felelősségét azáltal, hogy elkerültek bizonyos kiskapukat.

A Conduit klauzula HIPAA-rendelkezés bizonyos szervezetek vagy magánszemélyek számára, például postai dolgozók számára, akik postát szállítanak, amely tartalmazhat PHI-t.

A házmester-záradék egy másik HIPAA-szabály, amely kivételt biztosít azok számára, akiknek szolgáltatásai vagy funkciói csak érintőlegesen vannak kitéve a PHI-nek. Például egy kórházi gondnok mentesülne a PHI felelőssége alól.

A 2013. évi Omnibus szabály azonban egyértelműen kiküszöböli ezeket a kifogásokat azáltal, hogy betartja bármely jogalanyban a megfelelőséget. létrehozza, továbbítja, fogadja vagy fenntartja a PHI-t.

Következtetés

A BAA kulcsfontosságú minden olyan személy, vállalat vagy más szervezet számára, amely máshonnan származó PHI-t kezel. Bármikor, amikor egy szolgáltató vagy vállalkozó felvesz egy szállítót, amely azután kezeli a szolgáltató / vállalkozó PHI-ját, mindkét félnek alá kell írnia egy BAA-t.

Ezt a HIPAA Business Associate Agreement PDF-t (tk add link) a HHS-verzió itt módosítja . Mint minden üzleti társult megállapodás esetében, ez is engedélyezett közzétételeket hoz létre, megköveteli a jogsértések HIPAA általi nyilvánosságra hozatalát, és további irányelveket állít fel a szolgáltatótól származó PHI kezelésére.

A BAA egy kritikus dokumentum, amely védi a hatálya alá tartozó entitásokat és üzlettársaik egyaránt. Ez mindkét fél felelősségét és korlátozásait is meghatározza, ezért mindig szükség van jogi tanácsadó tanácsára.

Tudja meg Mennyit spórolhat azonnal. Próbálja ki on-line megtakarítási kalkulátorunkat.

Leave a Reply

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük