Cos’è un BAA e perché è importante?

Nel senso più semplice, un contratto di società in affari o BAA è un documento legale tra un fornitore di assistenza sanitaria e un appaltatore. Un fornitore stipula un BAA con un appaltatore o altro fornitore quando tale fornitore potrebbe ricevere l’accesso a Protected Health Information (PHI).

La guida seguente fornisce le basi dei BAA, incluso chi ne ha bisogno, quando ” re richiesto, cosa inserire in uno e un modello di contratto di società in affari HIPAA (PDF) per il 2017.

Cos’è un BAA?

Un BAA è un contratto di società in affari. I regolamenti HIPAA lo chiamano contratto di società in affari. Sono davvero la stessa cosa.

I BAA soddisfano i regolamenti HIPAA e creano un vincolo di responsabilità che lega due parti.

Se un membro viola un BAA, l’altro può ricorrere legalmente . Se non c’è alcun BAA o è incompleto, o se viene violato, entrambi i dipendenti potrebbero trovarsi in acqua calda con HIPAA e altre normative FDA.

Che cos’è un socio in affari?

La definizione di socio in affari è piuttosto semplice. È chiunque appalti a chi gestisce le tue informazioni sanitarie protette (PHI) per qualsiasi motivo. Per un vivido esempio, in un famoso caso HIPAA, una clinica ha assunto un venditore per convertire le proprie pellicole a raggi X in formato digitale e recuperare l’argento dalle pellicole. Non hanno firmato un BAA e sono stati colpiti da un ordine di pagamento di $ 750.000 dall’OCR.

I soci in affari sono qualsiasi organizzazione o persona che crea, trasmette, riceve o mantiene PHI per conto di qualsiasi entità coperta, o per conto del socio in affari di un’entità coperta.

I dipendenti devono firmare un BAA?

I dipendenti diretti non devono firmare un BAA. Questo perché le persone che lavorano per te fanno parte della tua organizzazione e non sono considerate soci in affari. Detto questo, rientrano ancora nelle leggi HIPAA. In qualità di agenti, sei responsabile di addestrarli in materia di privacy e sicurezza. Questo vale non solo per le assunzioni regolari a tempo pieno, ma anche per tirocinanti, personale temporaneo, volontari e chiunque altro sotto il tuo controllo diretto.

Gli appaltatori devono firmare un BAA?

Qualsiasi appaltatore che entrerà in contatto con qualsiasi PHI dovrà firmare un BAA. Poiché queste persone e organizzazioni non sono sotto il tuo controllo diretto, non possono essere trattate come dipendenti. In quanto tali, sono considerati soci in affari. Ciò significa che devono essere pronti a rispettare HIPAA. Ciò include l’accettazione della responsabilità di conformità e la firma di un contratto di società in affari HIPAA.

Chi ha bisogno di un contratto di società in affari?

Qualsiasi persona o organizzazione identificato ai sensi dell’HIPAA come socio in affari deve firmare un BAA con te.

Se assumi un appaltatore e gestisce prima i PHI che passano attraverso la tua azienda, devi firmare un BAA con quell’appaltatore. I tuoi soci in affari devono quindi firmare i moduli di accordo HIPAA con i loro soci in affari.

Ad esempio, se assumi la società B per smaltire i film a raggi X, hai bisogno di un BAA con loro. Se assumono la società C per il trasporto delle pellicole all’impianto di incenerimento, B e C necessitano di un BAA per conformarsi alle normative HIPAA. Ma la tua azienda non ha bisogno di un BAA con la società C.

Modello BAA 2017

Un contratto di società in affari HIPAA non deve essere un contratto autonomo. Il linguaggio di un BAA può essere integrato in accordi di sicurezza dei dati, contratti di servizio principali o termini di contratti di servizio.

Abbiamo incluso un BAA di esempio 2017 qui (PDF), (tk inserisci link) basato su l’esempio BAA fornito da HHS.gov qui. Il modello collegato sopra non dovrebbe mai essere utilizzato senza la consulenza di un consulente legale.

Il PDF BAA sopra è stato concepito come un accordo tra una singola entità coperta e un singolo socio in affari. Detto questo, può essere modificato per essere utilizzato con un socio in affari e il suo subappaltatore.

Fare clic sull’immagine per scaricare il PDF BAA di esempio.

Quali tipi di fornitori devono firmare un BAA?

I BAA devono essere firmati da tutte le Entità coperte, ogni volta che il loro socio in affari gestirà PHI che passa per primo attraverso l’Entità coperta. Di seguito è riportato un elenco di entità coperte. Per informazioni più dettagliate, vedere la pagina HHS.gov sulle entità coperte da HIPAA.

Le seguenti entità coperte devono firmare i moduli BAA.

Fornitori di assistenza sanitaria

  • Medici
  • Cliniche
  • Dentisti
  • Psicologi
  • Case di cura
  • Chiropratici
  • Farmacie

Piani sanitari

  • HMO
  • Compagnie di assicurazione sanitaria
  • Pagatori governativi come Medicaid e Medicare

Centri di compensazione per l’assistenza sanitaria

  • Compresi gli enti che convertono le PHI in formato elettronico.

Non lasciare mai che un fornitore gestisca PHI senza un BAA

Se non hai firmato un BAA con un venditore, tieni il PHI lontano da loro a tutti i costi. Gli operatori sanitari che sono tentati di guardare dall’altra parte riguardo alle normative BAA farebbero bene a riconsiderare la propria opinione.

Nel 2016, OCR si è accordato con North Memorial Health Care of Minnesota per $ 1,55 milioni.

La violazione? North Memorial ha stipulato un contratto con un fornitore per eseguire varie operazioni riguardanti un database di clienti. North Memorial ha trascurato di firmare un BAA HIPAA con il fornitore.

Sono responsabile per i fornitori non conformi che firmano un BAA?

Non è colpa tua se un fornitore viola il BAA e viola in qualche modo l’HIPAA. Quando il venditore firma il documento, si assume la responsabilità per la salvaguardia del PHI. Nessuna azienda può essere ritenuta responsabile della sorveglianza di un’altra quando si tratta di HIPAA e BAA.

Detto questo, le carte in tavola cambiano quando e se si può dimostrare che si è a conoscenza della violazione del contratto. Le normative HIPAA stabiliscono che le aziende che scoprono una violazione da parte di un socio in affari devono correggere l’errore o terminare la BAA. In caso contrario, condividono la responsabilità per la violazione insieme al collaboratore.

Scopri quanto Puoi risparmiare istantaneamente. Prova il nostro calcolatore di risparmio in linea.

Elenco di controllo del contratto di società in affari HIPAA

HHS semplifica le cose che una BAA dovrebbe coprire. La fonte della normativa è la semplificazione amministrativa HIPAA. Questo è un documento di 115 pagine, quindi concentrati sulle due sezioni seguenti:

Per una visione più concisa, abbiamo consolidato i must-have BAA di primo livello nell’elenco seguente. (Per vedere la fonte dell’elenco, vedere il secondo paragrafo del documento HHS qui.) Qualsiasi BAA deve:

  1. Stabilire le divulgazioni consentite di PHI.
  2. Richiedi al socio in affari (BA) di salvaguardare PHI.
  3. Richiedi al BA di segnalare violazioni HIPAA .
  4. Richiedi il BA per rilasciare PHI come Entità coperta o richieste del paziente.
  5. Assicurati che il BA restituirà o distruggerà tutti i PHI alla risoluzione del contratto.

Cos’altro potrebbe essere in un BAA?

Il modello BAA fornito qui (tk inserire il collegamento al pdf ) è generalizzato. Qualsiasi utilizzo reale di un accordo come questo richiederà di adattarlo alle esigenze specifiche dell’organizzazione. Di seguito sono riportate solo alcune considerazioni aggiuntive che un’azienda potrebbe prendere in considerazione quando stipula il proprio contratto specifico.

  • Specifiche della finestra di segnalazione delle violazioni. L’attuale linguaggio HIPAA richiede ai BA di segnalare le violazioni entro e non oltre 60 giorni e “senza ritardi irragionevoli”. Quella lingua può essere personalizzata per una linea guida più specifica.
  • Requisiti assicurativi per violazione. Ciò varia a seconda del tipo di fornitore e servizio.
  • Modifiche alle regole predefinite per la segnalazione degli incidenti HIPAA. Ai sensi della legge HIPAA, le BA sono tenute a segnalare tutti gli “incidenti di sicurezza” alle entità coperte. Questo è un termine molto ampio che può trarre vantaggio da una certa specificità per definire cosa sia effettivamente una violazione. Ad esempio, dovrebbe includere tutti i tentativi falliti di accesso non autorizzato a un database di pazienti?
  • Disposizioni per l’indennizzo in caso di violazione. L’entità coperta dovrebbe essere responsabile solo per le violazioni effettivamente colpa sua.

Via: Wikimedia Commons

Appaltatori di appaltatori e BAA

Un appaltatore di un appaltatore deve seguire ogni disposizione del tuo BAA ? La regola sulla privacy sembra affermare di sì. La regola afferma che tutti i subappaltatori di soci in affari devono accettare restrizioni identiche a quelle del socio in affari.

Ciò non significa, tuttavia, che il tuo HIPAA Il contratto di società in affari si applica al contraente del contraente.

I subappaltatori devono invece aderire al BAA del contraente.Poiché tutti i moduli di accordo HIPAA devono contenere le stesse regole di base (fornite da HHS), le disposizioni per tutti sono uguali.

Segnalazione di violazioni BAA

Le entità coperte (CE) possono provare a includere linguaggio sulle finestre di segnalazione delle violazioni molto brevi nei loro contratti. Ad esempio, un CE può includere qualcosa del tipo: “Il socio in affari segnalerà tutte le violazioni entro tre giorni dalla violazione”. Sembra ragionevole, tranne quando si considera che il BA potrebbe non essere nemmeno a conoscenza della violazione fino a diversi giorni dopo.

In quel caso, il BA ha ora urtato contro HIPAA in totale innocenza. Per questo motivo, è meglio per i BA spingere per un linguaggio come “non appena la violazione viene scoperta o avrebbe dovuto essere scoperta” nella sezione Notifica di violazione.

Il tuo contraente non è il tuo agente legale

Un accordo di società in affari HIPAA che obbliga appaltatori o subappaltatori a diventare un agente legale è pericoloso e non necessario. In caso di violazione, le conseguenze legali della parte offensiva ricadrebbero sull’agente di quella parte. In altre parole, se la società A crea una violazione e la società B è il suo agente, anche la società B condivide le sanzioni HIPAA. È meglio includere nel BAA un linguaggio che definisca espressamente la relazione non agente tra entrambe le parti.

BAA e fornitori di servizi cloud

L’era dei dati basati su cloud ha creato nuove considerazioni per le entità e gli appaltatori coperti che richiedono un BAA. Alcuni fornitori di servizi cloud (CSP) hanno cercato di eludere la responsabilità ai sensi dei BAA sfuggendo a determinate scappatoie.

La clausola di condotta è una disposizione HIPAA per determinate entità o individui come i lavoratori postali che consegnano la posta che potrebbe includere PHI.

La clausola Janitor è un’altra regola HIPAA che concede eccezioni a coloro i cui servizi o funzioni hanno solo un’esposizione tangenziale a PHI. Ad esempio, un bidello dell’ospedale sarebbe esente da responsabilità PHI.

Tuttavia, la Regola Omnibus del 2013 elimina chiaramente queste scuse promulgando la conformità in qualsiasi entità che crea, trasmette, riceve o mantiene PHI.

Conclusione

Un BAA è fondamentale per qualsiasi persona, azienda o altra organizzazione che gestisce PHI che ha origine altrove. Ogni volta che un fornitore o un appaltatore assume un fornitore che poi gestisce il PHI del fornitore / appaltatore, entrambe le parti devono firmare un BAA.

Questo PDF del contratto di associazione in affari HIPAA (tk aggiungi link) è adattato dalla versione HHS qui . Come con tutti gli accordi di società in affari, stabilisce le divulgazioni consentite, richiede la divulgazione delle violazioni all’HIPAA e stabilisce altre linee guida per la gestione dei PHI originati dal fornitore.

Un BAA è un documento critico che protegge le entità coperte e i loro soci in affari allo stesso modo. Stabilisce inoltre responsabilità e limitazioni per entrambe le parti, quindi è sempre necessaria la consulenza di un consulente legale.

Scopri Quanto puoi risparmiare istantaneamente. Prova il nostro calcolatore di risparmio online.

Leave a Reply

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *