가장 기본적인 의미에서 비즈니스 제휴 계약 또는 BAA는 의료 서비스 제공자와 계약 업체 간의 법적 문서입니다. 공급자가 PHI (Protected Health Information)에 대한 액세스 권한을받을 수있을 때 공급자는 계약자 또는 다른 공급자와 BAA를 체결합니다.
아래 가이드는 BAA가 필요한 사람과 필요한시기를 포함하여 BAA의 기본 사항을 제공합니다. re 필수, 무엇을 입력해야하는지, 2017 년을위한 HIPAA Business Associate Agreement 템플릿 (PDF).
BAA 란 무엇입니까?
BAA는 Business Associate Agreement입니다. HIPAA 규정에서는이를 Business Associate Contract라고합니다. 그것들은 정말 똑같습니다.
BAA는 HIPAA 규정을 충족하고 두 당사자를 구속하는 책임의 채권을 생성합니다.
한 구성원이 BAA를 위반하면 다른 구성원이 법적 구속을받습니다. . BAA가 없거나 불완전하거나 위반되는 경우 두 직원 모두 HIPAA 및 기타 FDA 규정에 따라 뜨거운 물에 빠질 수 있습니다.
비즈니스 어소시에이트 란 무엇입니까?
비즈니스 동료의 정의는 매우 간단합니다. 어떤 이유로 든 귀하의 보호 건강 정보 (PHI)를 처리하는 사람은 귀하가 계약을 맺은 사람입니다. 생생한 예를 들어, 유명한 HIPAA 사례에서 한 클리닉은 벤더를 고용하여 X- 레이 필름을 디지털 형식으로 변환하고 필름에서은을 회수했습니다. BAA에 서명하지 않았고 OCR로부터 $ 750,000 지불 주문을 받았습니다.
비즈니스 동료는 해당 대상을 대신하여 PHI를 생성, 전송, 수신 또는 유지하는 모든 조직 또는 사람입니다. 또는 해당 법인의 비즈니스 동료를 대신하여.
직원이 BAA에 서명해야합니까?
직접 직원은 BAA에 서명 할 필요가 없습니다. 귀하를 위해 일하는 사람들은 귀하의 조직의 일부이며 비즈니스 동료로 간주되지 않기 때문입니다. 즉, 여전히 HIPAA 법률에 속합니다. 에이전트는 개인 정보 보호 및 보안에 대해 교육 할 책임이 있습니다. 이는 정규직 고용인뿐만 아니라 연수생, 임시 직원, 자원 봉사자 및 귀하가 직접 관리하는 다른 사람에게도 적용됩니다.
계약자는 BAA에 서명해야합니까?
PHI와 접촉하는 모든 계약자는 BAA에 서명해야합니다. 이러한 사람과 조직은 직접 제어 할 수 없기 때문에 직원으로 취급 될 수 없습니다. 따라서 그들은 비즈니스 동료로 간주됩니다. 즉, HIPAA를 준수 할 준비가되어 있어야합니다. 여기에는 준수 책임을 수락하고 HIPAA 비즈니스 제휴 계약에 서명하는 것이 포함됩니다.
비즈니스 제휴 계약이 필요한 사람은 누구입니까?
모든 개인 또는 조직 HIPAA에서 비즈니스 어소시에이트로 식별 된 경우 귀하와 함께 BAA에 서명해야합니다.
계약자를 고용하고 회사를 먼저 통과하는 PHI를 처리하는 경우, 해당 계약자와 BAA에 서명해야합니다. 그런 다음 귀하의 비즈니스 동료는 비즈니스 동료와 함께 HIPAA 계약 양식에 서명해야합니다.
예를 들어, 회사 B를 고용하여 X- 레이 필름을 처리하는 경우 BAA가 필요합니다. 필름을 소각 시설로 운반하기 위해 회사 C를 고용하는 경우 B와 C는 HIPAA 규정을 준수하기 위해 BAA가 필요합니다. 그러나 회사는 회사 C와의 BAA가 필요하지 않습니다.
BAA 템플릿 2017
HIPAA 비즈니스 제휴 계약은 독립형 계약일 필요가 없습니다. BAA의 언어는 데이터 보안 계약, 마스터 서비스 계약 또는 서비스 계약 조건으로 롤링 될 수 있습니다.
여기에 2017 년 BAA 샘플 (PDF)을 포함했습니다 (tk 삽입 링크). 여기 HHS.gov에서 제공하는 BAA의 예. 위에 링크 된 템플릿은 법률 고문의 조언 없이는 절대 사용해서는 안됩니다.
위의 BAA PDF는 단일 대상 법인과 단일 비즈니스 동료 간의 계약으로 설계되었습니다. 즉, 비즈니스 동료 및 해당 하청 업체에서 사용하도록 수정할 수 있습니다.
샘플 BAA PDF를 다운로드하려면 이미지를 클릭하십시오.
어떤 종류의 제공자가 BAA에 서명해야합니까?
BAA는 비즈니스 동료가 먼저 해당 법인을 통과하는 PHI를 처리 할 때마다 모든 해당 법인이 서명해야합니다. 아래에 적용 대상 목록이 있습니다. 자세한 정보는 HIPAA 적용 대상의 HHS.gov 페이지를 참조하십시오.
다음 대상 대상은 BAA 양식에 서명해야합니다.
의료 제공자
- 의사
- 클리닉
- 치과 의사
- 심리학자
- 요양원
- 척추 지압사
- 약국
건강 플랜
- HMO
- 건강 보험 회사
- Medicaid 및 Medicare와 같은 정부 지급 인
의료 정보 센터
- PHI를 전자 양식으로 변환하는 법인 포함.
공급 업체는 BAA없이 PHI를 처리하지 마십시오.
공급 업체와 BAA에 서명하지 않은 경우에는 어떤 비용 으로든 PHI를 멀리하십시오. BAA 규정을 다른 방향으로 바라보고 싶은 의료 서비스 제공자는 재고를 고려하는 것이 좋습니다.
2016 년 OCR은 North Memorial Health Care of 미네소타는 155 만 달러에 달합니다.
위반? North Memorial은 공급 업체와 계약하여 고객 데이터베이스와 관련된 다양한 작업을 수행했습니다. North Memorial은 공급 업체와 HIPAA BAA에 서명하는 것을 소홀히했습니다.
BAA에 서명 한 비준수 공급 업체에 대한 책임이 있습니까?
공급 업체가 BAA를 위반하고 어떤 식 으로든 HIPAA를 위반합니다. 공급 업체가 문서에 서명하면 PHI를 보호 할 책임이 있습니다. HIPAA 및 BAA와 관련하여 다른 회사를 치안 할 책임이있는 회사는 없습니다.
즉, 계약 위반에 대해 알고 있다는 것을 증명할 수있는 경우 상황이 바뀝니다. HIPAA 규정에 따르면 비즈니스 동료가 위반을 발견 한 기업은 오류를 수정하거나 BAA를 종료해야합니다. 그렇지 않은 경우 직원과 위반에 대한 책임을 공유합니다.
얼마나 알아보기 즉시 절약 할 수 있습니다. 온라인 절약 계산기를 사용해보십시오.
HIPAA 비즈니스 제휴 계약 체크리스트
HHS는 BAA가 다루어야 할 것. 규정의 출처는 HIPAA 관리 단순화입니다. 115 페이지 분량의 문서이므로 다음 두 섹션에 집중하세요.
더 간결한보기를 위해 아래 목록에 최상위 BAA 필수 항목을 통합했습니다. (목록의 출처를 보려면 여기 HHS 문서의 두 번째 단락을 참조하십시오.) 모든 BAA는 다음을 수행해야합니다.
- 허용 된 PHI 공개를 설정합니다.
- BA (Business Associate)에게 PHI를 보호해야합니다.
- BA가 HIPAA 위반을보고하도록 요구합니다. .
- BA가 해당 법인 또는 환자 요청으로 PHI를 공개하도록 요구합니다.
- BA는 계약 종료시 모든 PHI를 반환하거나 파기합니다.
BAA에 포함될 수있는 다른 항목은 무엇입니까?
여기에 제공된 BAA 템플릿 (tk insert link to pdf )는 일반화됩니다. 이와 같은 계약을 실제로 사용하려면 조직의 특정 요구에 맞게 조정해야합니다. 다음은 특정 계약을 작성할 때 비즈니스에서 고려할 수있는 몇 가지 추가 고려 사항입니다.
- 보안 침해보고 기간의 세부 사항. 현재 HIPAA 언어는 BA가 “불합리한 지연없이”60 일 이내에 위반을보고하도록 요구합니다. 해당 언어는보다 구체적인 지침에 맞게 조정할 수 있습니다.
- 보험 요건 위반. 공급 업체 및 서비스 유형에 따라 다릅니다.
- HIPAA 사고보고를위한 기본 규칙 변경. HIPAA 법에 따라 BA는 모든 “보안 사고”를 해당 대상에보고해야합니다. 이는 침해가 실제로 무엇인지 정의하기 위해 특정 성으로부터 혜택을받을 수있는 매우 광범위한 용어입니다. 예를 들어, 환자 데이터베이스에 대한 무단 로그온 시도를 모두 포함해야합니까?
- 위반 배상을위한 조항입니다. 해당 법인은 실제로 자신의 잘못 인 위반에 대해서만 책임을 져야합니다.
계약 업체 및 BAA
계약 업체의 계약자는 BAA의 모든 조항을 따라야합니까? ? 프라이버시 규칙은 그렇게 말하는 것 같습니다. 규칙에 따르면 비즈니스 파트너의 모든 하청 업체는 비즈니스 파트너와 동일한 제한 사항에 동의해야합니다.
하지만 이것이 귀하의 HIPAA를 의미하지는 않습니다. Business Associate Agreement는 계약자의 계약자에게 적용됩니다.
하청업자는 계약자의 BAA를 준수해야합니다.모든 HIPAA 계약 양식에는 동일한 기본 규칙 (HHS에서 제공)이 포함되어야하므로 모든 조항이 동일합니다.
BAA 위반보고
적용 대상 (CE)은 다음을 포함하려고 할 수 있습니다. 계약에서 매우 짧은 위반보고 기간에 대한 언어. 예를 들어 CE에는 “비즈니스 직원이 위반 후 3 일 이내에 모든 위반을보고 할 것입니다.”와 같은 내용이 포함될 수 있습니다. BA가 며칠 후까지 침해 사실을 알지 못할 수도 있다는 점을 제외하면 합리적으로 들립니다.
이 경우 BA는 이제 완전히 무죄로 HIPAA를 위반했습니다. 이러한 이유로, BA는 위반 통지 섹션에서 “위반이 발견되는 즉시 또는 발견되어야한다”와 같은 언어를 강요하는 것이 좋습니다.
계약자는 귀하의 법적 대리인이 아닙니다.
계약 업체 또는 하청 업체를 법적 대리인 자격으로 강제하는 HIPAA 비즈니스 제휴 계약은 위험하고 불필요합니다. 위반이 발생하는 경우 위반 당사자의 법적 결과는 해당 당사자의 대리인에게 있습니다. 즉, 회사 A가 위반을 생성하고 회사 B가 그 대리인 인 경우 회사 B도 HIPAA 벌금을 공유합니다. 양 당사자 간의 비 에이전트 관계를 명시 적으로 정의하는 언어를 BAA에 포함하는 것이 가장 좋습니다.
BAA 및 클라우드 서비스 제공 업체
클라우드 기반 데이터의 시대는 새로운 고려 사항을 생성했습니다. BAA를 필요로하는 적용 대상 및 계약자 용. 일부 CSP (클라우드 서비스 제공 업체)는 특정 허점을 통해 탈출하여 BAA에 따른 책임을 회피하려고했습니다.
도관 조항은 PHI를 포함 할 수있는 메일을 배달하는 우편 작업자와 같은 특정 단체 또는 개인을위한 HIPAA 조항입니다.
관리자 조항은 서비스 또는 기능이 PHI에 접선 적으로 만 노출되는 사람들에게 예외를 허용하는 또 다른 HIPAA 규칙입니다. 예를 들어 병원 관리인은 PHI 책임에서 면제됩니다.
그러나 2013 년 옴니버스 규칙은 다음과 같은 모든 기관에서 준수를 제정함으로써 이러한 변명을 명확하게 차단합니다. PHI를 생성, 전송, 수신 또는 유지합니다.
결론
BAA는 다른 곳에서 시작된 PHI를 처리하는 개인, 회사 또는 기타 조직에 중요합니다. 공급자 또는 계약자가 공급자 / 계약자의 PHI를 처리하는 공급 업체를 고용 할 때마다 양 당사자는 BAA에 서명해야합니다.
이 HIPAA 비즈니스 제휴 계약 PDF (tk add link)는 여기 HHS 버전에서 수정되었습니다. . 모든 Business Associate Agreement와 마찬가지로, 허용 된 공개를 설정하고 HIPAA에 대한 위반의 공개를 요구하며 공급자가 제공 한 PHI를 처리하기위한 기타 지침을 설정합니다.
BAA는 적용 대상을 보호하는 중요한 문서입니다. 그들의 사업 동료 모두. 또한 양 당사자에 대한 책임과 제한을 설정하므로 항상 법률 고문의 조언이 필요합니다.