Hva er en BAA og hvorfor betyr det noe?

I den mest grunnleggende forstand er en Business Associate Agreement eller BAA et juridisk dokument mellom en helsepersonell og en entreprenør. En leverandør inngår en BAA med en entreprenør eller en annen leverandør når den leverandøren kan få tilgang til Protected Health Information (PHI).

Veiledningen nedenfor gir grunnleggende om BAAer, inkludert hvem som trenger dem, når de ‘ kreves, hva du skal legge i en, og en HIPAA Business Associate Agreement Template (PDF) for 2017.

Hva er en BAA?

En BAA er en Business Associate Agreement. HIPAA-regelverket kaller det en Business Associate Contract. De er egentlig den samme tingen.

BAA tilfredsstiller HIPAA-regelverket, og skaper et bindingsansvar som binder to parter.

Hvis det ene medlemmet bryter en BAA, har det andre rettsmessige virkemåter. . Hvis det ikke er BAA eller det er ufullstendig, eller hvis det blir krenket, kan begge tilknyttede selskaper finne seg i varmt vann med HIPAA og andre FDA-forskrifter.

Hva er en forretningsassistent?

Definisjonen av en forretningsforbindelse er ganske enkel. Det er noen du kontraherer til som håndterer din beskyttede helseinformasjon (PHI) av en eller annen grunn. For et levende eksempel, i en kjent HIPAA-sak, hyret en klinikk en leverandør til å konvertere røntgenfilmene sine til digital form, og gjenvinne sølvet fra filmene. De klarte ikke å signere en BAA, og ble truffet med en betalingsordre på $ 750 000 fra OCR.

Forretningsforbindelser er enhver organisasjon eller person som oppretter, overfører, mottar eller vedlikeholder PHI på vegne av enhver dekket enhet, eller på vegne av forretningsforbindelsen til en dekket enhet.

Må ansatte signere en BAA?

Direkte ansatte trenger ikke å signere en BAA. Det er fordi folk som jobber for deg er en del av organisasjonen din og ikke blir ansett som forretningsforbindelser. Når det er sagt, faller de fortsatt under HIPAA-lovene. Som agenter er du ansvarlig for å trene dem i personvern og sikkerhet. Dette gjelder ikke bare dine vanlige heltidsansatte, men også trainees, midlertidig ansatte, frivillige og alle andre som du har direkte kontroll over.

Må entreprenører signere en BAA?

Enhver entreprenør som kommer i kontakt med PHI, må signere en BAA. Siden disse menneskene og organisasjonene ikke har direkte kontroll over deg, kan de ikke behandles som ansatte. Som sådan anses de å være forretningsforbindelser. Det betyr at de må være klare til å overholde HIPAA. Dette inkluderer å godta overholdelsesansvar og signere en HIPAA Business Associate Agreement.

Hvem trenger en Business Associate Agreement?

Enhver person eller organisasjon identifisert under HIPAA som en forretningsassistent må signere en BAA med deg.

Hvis du ansetter en entreprenør, og den håndterer PHI som først går gjennom firmaet ditt, du må signere en BAA med den entreprenøren. Dine forretningsforbindelser må deretter signere HIPAA-avtaleskjemaer med sine forretningsforbindelser.

Hvis du for eksempel ansetter selskap B til å avhende røntgenfilmer, trenger du en BAA med dem. Hvis de ansetter selskap C for å transportere filmene til forbrenningsanlegget, trenger B og C en BAA for å overholde HIPAA-regelverket. Men bedriften din trenger ikke BAA med Company C.

BAA Template 2017

En HIPAA Business Associate Agreement trenger ikke å være en frittstående kontrakt. Språket til en BAA kan rulles inn i datasikkerhetsavtaler, hovedtjenesteavtaler eller vilkår for tjenestekontrakter.

Vi har tatt med et eksempel på 2017 BAA her (PDF), (tk insert link) basert på eksemplet BAA gitt av HHS.gov her. Malen som er lenket til ovenfor, bør aldri brukes uten råd fra juridisk rådgiver.

BAA PDF ovenfor ble utformet som en avtale mellom en enkelt dekket enhet og en enkelt forretningsforbindelse. Når det er sagt, kan det modifiseres for bruk med en forretningsforbindelse og deres underleverandør.

Klikk på bildet for å laste ned eksemplet på BAA PDF.

Hvilke typer leverandører må signere en BAA?

BAA må være signert av alle dekkede enheter når deres forretningsforbindelse vil håndtere PHI som først går gjennom den dekkede enheten. Det er en liste over dekkede enheter nedenfor. For mer detaljert informasjon, se HHS.gov-siden på HIPAA-dekkede enheter.

Følgende dekkede enheter må signere BAA-skjemaer.

Helselever

  • Leger
  • Klinikker
  • Tannleger
  • Psykologer
  • Sykehjem
  • Kiropraktorer
  • Apotek

Helseplaner

  • HMOs
  • Helseforsikringsselskaper
  • Offentlige betalere som Medicaid og Medicare

Clearinghus i helsevesenet

  • Inkludert enheter som konverterer PHI til elektronisk form.

Aldri ha en leverandør som håndterer PHI uten BAA

Hvis du ikke har signert en BAA med en leverandør, må du holde PHI borte fra dem for enhver pris. Helsetilbydere som er fristet til å se omvendt på BAA-regelverk, vil være lurt å revurdere.

I 2016 slo OCR seg til North Memorial Health Care of Minnesota til en verdi av $ 1,55 millioner.

Bruddet? North Memorial inngikk kontrakt med en leverandør for å utføre forskjellige operasjoner angående en kundedatabase. North Memorial forsømte å signere en HIPAA BAA med leverandøren.

Er jeg ansvarlig for ikke-kompatible leverandører som signerer en BAA?

Det er ikke din feil hvis en leverandør bryter BAA og bryter HIPAA på en eller annen måte. Når leverandøren signerer dokumentet, tar ansvaret for å beskytte PHI. Ingen selskaper kan holdes ansvarlige for å politiere et annet når det gjelder HIPAA og en BAA.

Når det er sagt, snur bordene når og hvis det kan bevises at du visste om kontraktsbrudd. HIPAA-forskrifter sier at bedrifter som oppdager brudd av en forretningsforbindelse enten må rette feilen eller avslutte BAA. Hvis de ikke gjør det, deler de ansvaret for bruddet sammen med den tilknyttede.

Finn ut hvor mye Du kan spare øyeblikkelig. Prøv vår sparekalkulator online.

Sjekkliste for HIPAA Business Associate Agreement

HHS forenkler tingene en BAA skal dekke. Kilden til regelverket er HIPAAs administrative forenkling. Det er et dokument på 115 sider, så bare fokuser på følgende to seksjoner:

For en mer kortfattet visning har vi konsolidert BAA-måtene på toppnivået i listen nedenfor. (For å se kilden til listen, se andre avsnitt i HHS-dokumentet her.) Enhver BAA må:

  1. Etablere tillatte avsløringer av PHI.
  2. Krev Business Associate (BA) for å beskytte PHI.
  3. Krev BA for å rapportere HIPAA-brudd .
  4. Krev BA for å frigjøre PHI som den dekkede enheten eller pasienten ber om.
  5. Forsikre deg om at BA vil returnere eller ødelegge all PHI ved opphør av avtalen.

Hva annet kan være i en BAA?

BAA-malen som er gitt her (tk sett inn lenke til pdf ) er generalisert. Enhver reell bruk av en avtale som denne vil kreve å tilpasse den til de spesifikke behovene til organisasjonen. Her er bare noen få ekstra hensyn en bedrift kan ta i betraktning når de utarbeider en egen spesifikk kontrakt.

  • Spesifikasjoner for rapporteringsvinduet for bruddet. Nåværende HIPAA-språk krever at BAs skal rapportere brudd senest 60 dager og «uten urimelig forsinkelse.» Dette språket kan skreddersys for en mer spesifikk retningslinje.
  • Krav om bruddforsikring. Dette varierer avhengig av type leverandør og tjeneste.
  • Endringer i standardregler for HIPAA-rapportering av hendelser. I henhold til HIPAA-lovgivning er BAs pålagt å rapportere alle «sikkerhetshendelser» til de dekkede enhetene. Det er et veldig bredt begrep som kan dra nytte av noe spesifisitet for å definere hva et brudd faktisk er. Skal det for eksempel inneholde alle mislykkede forsøk på uautoriserte pålogginger til en pasientdatabase?
  • Bestemmelser om erstatning for brudd. Den omfattede enheten skal bare være ansvarlig for brudd som faktisk er dens feil.

Via: Wikimedia Commons

Entreprenører til entreprenører og BAA

Må en entreprenør fra en entreprenør følge alle bestemmelsene i BAA ? Personvernregelen ser ut til å si at den gjør det. Regelen sier at alle underleverandører av forretningsforbindelser må godta identiske begrensninger som forretningsforbindelsen.

Dette betyr imidlertid ikke at din HIPAA Business Associate Agreement gjelder entreprenørens entreprenør.

Underleverandører må heller følge entreprenørens BAA.Siden alle HIPAA-avtaleskjemaer må inneholde de samme grunnleggende reglene (levert av HHS), er bestemmelsene for alle like.

Rapportering av BAA-brudd

Dekkete enheter (CE) kan prøve å inkludere språk om rapporteringsvinduer for veldig korte brudd i kontraktene. For eksempel kan en CE inneholde noe sånt som «Forretningsansvarlig rapporterer alle brudd innen tre dager etter bruddet.» Det høres rimelig ut, bortsett fra når vi vurderer at BA kanskje ikke en gang vet om bruddet før flere dager senere.

I så fall har BA nå gått i stykker for HIPAA i total uskyld. Av denne grunn har det er bedre for BAs å presse på for språk som «så snart bruddet er oppdaget eller burde blitt oppdaget» i seksjonen om bruddvarsling.

Din entreprenør er ikke din juridiske agent

En HIPAA Business Associate Agreement som tvinger entreprenører eller underleverandører til status som juridisk agent er farlig og unødvendig. I tilfelle brudd, vil de juridiske konsekvensene av den krenkende parten komme på den partens agent. Med andre ord, hvis selskap A skaper et brudd, og selskap B er dets agent, deler selskap B også HIPAA-straffene. Det er best å inkludere språk i BAA som uttrykkelig definerer ikke-agentforholdet mellom begge parter.

BAA og Cloud Service Providers

Alderen på skybaserte data har skapt nye hensyn for dekkede enheter og entreprenører som trenger BAA. Noen skytjenesteleverandører (CSP-er) har forsøkt å unndra seg ansvar under BAA-er ved å rømme gjennom visse smutthull.

Conduit-klausulen er en HIPAA-bestemmelse for visse enheter eller enkeltpersoner som postarbeidere som leverer post som kan inneholde PHI.

Vaktmesterklausulen er en annen HIPAA-regel som gir unntak til de hvis tjenester eller funksjoner bare har tangentiell eksponering for PHI. For eksempel vil en sykehusvaktmester være fritatt for PHI-ansvar.

Omnibus-regelen fra 2013 skaper imidlertid klart disse unnskyldningene ved å vedta samsvar i enhver enhet som oppretter, overfører, mottar eller vedlikeholder PHI.

Konklusjon

En BAA er avgjørende for enhver person, selskap eller annen organisasjon som håndterer PHI som har sitt utspring andre steder. Hver gang en leverandør eller entreprenør ansetter en leverandør som deretter håndterer leverandørens / entreprenørens PHI, må begge parter signere en BAA.

Denne HIPAA Business Associate Agreement PDF (tk add link) er tilpasset HHS-versjonen her . Som med alle forretningsavtaler, etablerer den tillatte opplysninger, krever avsløring av brudd på HIPAA, og setter opp andre retningslinjer for håndtering av leverandører-opprinnelige PHI.

En BAA er et kritisk dokument som beskytter dekket enheter og deres forretningsforbindelser likt. Det setter også opp ansvar og begrensninger for begge parter, så det er alltid nødvendig med råd fra juridisk rådgiver.

Finn ut Hvor mye du kan spare øyeblikkelig. Prøv vår online sparekalkulator.

Leave a Reply

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *