最も基本的な意味で、ビジネスアソシエイト契約またはBAAは、医療提供者と請負業者の間の法的文書です。プロバイダーは、請負業者または他のベンダーがProtected Health Information(PHI)にアクセスできる場合に、そのベンダーとBAAを締結します。
以下のガイドでは、BAAの基本を、誰がいつ必要とするかなどを示します。必須、何を入れるか、2017年のHIPAAビジネスアソシエイト契約テンプレート(PDF)。
BAAとは何ですか?
BAAはビジネスアソシエイト契約です。 HIPAA規制では、これをビジネスアソシエイト契約と呼んでいます。それらは実際には同じものです。
BAAはHIPAA規制を満たし、2つの当事者を拘束する責任の絆を生み出します。
一方のメンバーがBAAに違反した場合、もう一方のメンバーは法的手段を持ちます。 。 BAAがないか、不完全であるか、違反した場合、両方のアソシエートは、HIPAAおよびその他のFDA規制に準拠してお湯に浸かることがあります。
ビジネスアソシエートとは何ですか?
ビジネスアソシエイトの定義は非常に簡単です。何らかの理由であなたの保護された健康情報(PHI)を扱うのは、あなたが契約している人です。鮮やかな例として、有名なHIPAAの事例では、クリニックがベンダーを雇ってX線フィルムをデジタル形式に変換し、フィルムから銀を回収しました。彼らはBAAに署名できず、OCRから750,000ドルの支払い注文を受けました。
ビジネスアソシエイトとは、対象となる事業体に代わってPHIを作成、送信、受信、または維持する組織または個人です。または対象事業体のビジネスアソシエイトに代わって。
従業員はBAAに署名する必要がありますか?
直接の従業員はBAAに署名する必要はありません。それは、あなたのために働く人々があなたの組織の一部であり、ビジネスアソシエイトとは見なされないためです。とはいえ、それらは依然としてHIPAA法に該当します。エージェントは、プライバシーとセキュリティについてエージェントをトレーニングする責任があります。これは、通常のフルタイムの雇用だけでなく、研修生、臨時スタッフ、ボランティア、および直接管理している他の人にも当てはまります。
請負業者はBAAに署名する必要がありますか?
PHIと接触する請負業者は、BAAに署名する必要があります。それらの人々や組織はあなたの直接の管理下にないため、従業員として扱うことはできません。そのため、彼らはビジネスアソシエイトと見なされます。つまり、HIPAAに準拠する準備ができている必要があります。これには、コンプライアンス責任の受け入れとHIPAAビジネスアソシエイト契約への署名が含まれます。
ビジネスアソシエイト契約が必要なのは誰ですか?
個人または組織HIPAAでビジネスアソシエイトとして識別された場合は、BAAに署名する必要があります。
請負業者を雇用し、最初に会社を通過するPHIを処理する場合、その請負業者とBAAに署名する必要があります。次に、ビジネスアソシエイトはビジネスアソシエイトとHIPAA契約書に署名する必要があります。
たとえば、B社を雇ってX線フィルムを処分する場合は、BAAが必要です。フィルムを焼却施設に輸送するためにC社を雇う場合、BとCはHIPAA規制に準拠するためにBAAを必要とします。ただし、会社はC社とのBAAを必要としません。
BAAテンプレート2017
HIPAAビジネスアソシエイト契約は独立した契約である必要はありません。 BAAの言語は、データセキュリティ契約、マスターサービス契約、または利用規約契約に組み込むことができます。
2017年のBAAのサンプル(PDF)、(tk挿入リンク)をここに含めました。ここでHHS.govによって提供されるBAAの例。上記にリンクされているテンプレートは、弁護士の助言なしに使用しないでください。
上記のBAAPDFは、単一の対象事業体と単一のビジネスアソシエイトの間の合意として設計されました。とはいえ、ビジネスアソシエイトとその下請け業者で使用するために変更することができます。
画像をクリックして、サンプルのBAAPDFをダウンロードします。
どのような種類のプロバイダーがBAAに署名する必要がありますか?
BAAは、ビジネスアソシエイトが最初に対象エンティティを通過するPHIを処理する場合は常に、すべての対象エンティティによって署名される必要があります。以下に対象エンティティのリストがあります。詳細については、HIPAA対象エンティティのHHS.govページを参照してください。
次の対象エンティティは、BAAフォームに署名する必要があります。
医療提供者
- 医師
- クリニック
- 歯科医
- 心理学者
- 養護施設
- カイロプラクター
- 薬局
健康保険
- HMO
- 健康保険会社
- メディケイドやメディケアなどの政府支払者
医療保険クリアリングハウス
- PHIを電子形式に変換するエンティティを含みます。
BAAなしでベンダーにPHIを処理させない
ベンダーとBAAに署名していない場合は、PHIをベンダーから遠ざけてください。 BAA規制について別の見方をしたいと思う医療提供者は、再考することをお勧めします。
2016年、OCRはノースメモリアルヘルスケアと和解しました。ミネソタ州は155万ドルに達しました。
違反ですか? North Memorialは、顧客データベースに関するさまざまな操作を実行するためにベンダーと契約しました。ノースメモリアルは、ベンダーとのHIPAABAAへの署名を怠りました。
BAAに署名する非準拠ベンダーに対して私は責任を負いますか?
ベンダーがBAAに違反した場合、それはあなたの責任ではありません。何らかの方法でHIPAAに違反しています。ベンダーが文書に署名すると、PHIを保護する責任を負います。 HIPAAとBAAに関しては、他の企業の取り締まりに責任を負うことはできません。
とはいえ、契約違反について知っていたことが証明できる場合は、テーブルが変わります。 HIPAA規則では、ビジネスアソシエイトによる違反を発見した企業は、障害を修正するか、BAAを終了する必要があると規定されています。そうでない場合は、違反に対する責任を従業員と共有します。
金額を確認するすぐに節約できます。オンラインの節約計算ツールをお試しください。
HIPAAビジネスアソシエイト契約チェックリスト
HHSにより簡素化BAAがカバーすべきこと。規制のソースは、HIPAA管理の簡素化です。これは115ページのドキュメントなので、次の2つのセクションに注目してください。
より簡潔にするために、以下のリストにトップレベルのBAAの必須アイテムを統合しました。 (リストのソースを確認するには、HHSドキュメントの2番目の段落を参照してください。)BAAは次のことを行う必要があります。
- PHIの許可された開示を確立します。
- ビジネスアソシエイト(BA)にPHIの保護を要求します。
- BAにHIPAA違反の報告を要求します。 。
- BAが対象エンティティまたは患者の要求としてPHIを解放するように要求します。
- BAは、契約の終了時にすべてのPHIを返却または破棄します。
BAAには他に何が含まれる可能性がありますか?
ここで提供されるBAAテンプレート(tkはpdfへのリンクを挿入) )は一般化されています。このような契約を実際に使用するには、組織の特定のニーズに合わせて契約を調整する必要があります。ここに、企業が独自の特定の契約を作成するときに考慮に入れる可能性のあるいくつかの追加の考慮事項があります。
- 違反レポートウィンドウの詳細。現在のHIPAA言語では、BAが60日以内に「不当な遅延なしに」違反を報告することを求めています。その言語は、より具体的なガイドラインに合わせて調整できます。
- 違反保険の要件。ベンダーやサービスの種類によって異なります。
- HIPAAインシデントレポートのデフォルトルールへの変更。HIPAA法の下では、BAはすべての「セキュリティインシデント」を対象エンティティに報告する必要があります。これは非常に広い用語であり、違反が実際に何であるかを定義するための特定の利点を活用できます。たとえば、患者データベースへの不正ログオンの失敗したすべての試行を含める必要がありますか?
- 違反補償の規定。対象となるエンティティは、実際にその責任である違反に対してのみ責任を負う必要があります。
請負業者とBAA
請負業者の請負業者は、BAAのすべての規定に従う必要がありますか?プライバシールールはそう言っているようです。この規則では、ビジネスアソシエイトの下請け業者はすべて、ビジネスアソシエイトと同じ制限に同意する必要があると規定されています。
ただし、これはHIPAAを意味するものではありません。ビジネスアソシエイト契約は、請負業者の請負業者に適用されます。
むしろ、下請業者は請負業者のBAAを順守する必要があります。すべてのHIPAA契約書には、同じ基本ルール(HHSが提供)が含まれている必要があるため、すべての規定は同じです。
BAA違反の報告
対象事業体(CE)は、契約の非常に短い違反報告ウィンドウに関する文言。たとえば、CEには、「ビジネスアソシエイトは違反から3日以内にすべての違反を報告します」のようなものを含めることができます。 BAが数日後まで違反について知らない可能性があると考える場合を除いて、それは合理的に聞こえます。
その場合、BAはHIPAAに完全に無罪で違反しました。このため、 BAは、違反通知セクションで「違反が発見された、または発見されるべきだったとすぐに」などの文言をプッシュすることをお勧めします。
請負業者は法定代理人ではありません
請負業者または下請業者を法的代理人のステータスにするHIPAAビジネスアソシエイト契約は危険であり、不要です。違反が発生した場合、違反当事者の法的結果はその当事者の代理人に委ねられます。つまり、A社が違反を作成し、B社がその代理人である場合、B社もHIPAAペナルティを共有します。両当事者間の非エージェント関係を明示的に定義する言語をBAAに含めるのが最善です。
BAAとクラウドサービスプロバイダー
クラウドベースのデータの時代は、新しい考慮事項を生み出しました。 BAAを必要とする対象事業体および請負業者向け。一部のクラウドサービスプロバイダー(CSP)は、特定の抜け穴から逃れることでBAAに基づく責任を回避しようとしました。
コンジット条項は、PHIを含む可能性のあるメールを配信する特定のエンティティまたは郵便労働者などの個人向けのHIPAA条項です。
Janitor条項は、サービスまたは機能がPHIに接線方向にしかさらされていないものに例外を認めるもう1つのHIPAAルールです。たとえば、病院の用務員はPHIの責任を免除されます。
ただし、2013年のオムニバス規則は、コンプライアンスを制定することにより、これらの言い訳を明確に排除しています。 PHIを作成、送信、受信、または維持します。
結論
BAAは、他の場所で発生したPHIを処理する個人、企業、またはその他の組織にとって非常に重要です。プロバイダーまたは請負業者がベンダーを雇い、ベンダー/請負業者のPHIを処理する場合は常に、両方の当事者がBAAに署名する必要があります。
このHIPAAビジネスアソシエイト契約PDF(tk add link)は、ここのHHSバージョンから採用されています。 。すべてのビジネスアソシエイト契約と同様に、許可された開示を確立し、HIPAAへの違反の開示を要求し、プロバイダーが作成したPHIを処理するための他のガイドラインを設定します。
BAAは、対象となるエンティティを保護する重要なドキュメントです。彼らの仕事仲間も同様です。また、両当事者に責任と制限を設定するため、弁護士の助言が常に必要です。