In de meest fundamentele zin is een Business Associate Agreement of BAA een juridisch document tussen een zorgverlener en een aannemer. Een aanbieder gaat een BAA aan met een aannemer of andere leverancier wanneer die leverancier mogelijk toegang krijgt tot beschermde gezondheidsinformatie (PHI).
De onderstaande gids geeft de basisprincipes van BAA’s, inclusief wie ze nodig heeft, wanneer ze ‘ vereist, wat u erin moet invullen en een HIPAA Business Associate Agreement-sjabloon (pdf) voor 2017.
Wat is een BAA?
Een BAA is een Business Associate Agreement. De HIPAA-voorschriften noemen het een Business Associate Contract. Ze zijn eigenlijk hetzelfde.
BAA’s voldoen aan de HIPAA-voorschriften en creëren een aansprakelijkheidsband die twee partijen bindt.
Als het ene lid een BAA overtreedt, heeft het andere juridische verhaal. . Als er geen BAA is of deze onvolledig is, of als deze wordt geschonden, kunnen beide medewerkers in heet water terechtkomen met HIPAA- en andere FDA-voorschriften.
Wat is een zakenpartner?
De definitie van een zakenpartner is vrij eenvoudig. Het is iedereen aan wie u uitbesteedt die uw beschermde gezondheidsinformatie (PHI) om welke reden dan ook verwerkt. Voor een levendig voorbeeld, in een beroemde HIPAA-zaak, huurde een kliniek een verkoper in om hun röntgenfilms om te zetten in digitale vorm en het zilver van de films terug te winnen. Ze slaagden er niet in om een BAA te ondertekenen en kregen een betalingsopdracht van $ 750.000 van de OCR.
Zakenpartners zijn elke organisatie of persoon die PHI maakt, verzendt, ontvangt of onderhoudt namens een gedekte entiteit, of namens de zakenpartner van een gedekte entiteit.
Moeten werknemers een BAA ondertekenen?
Directe werknemers hoeven geen BAA te ondertekenen. Dat komt doordat mensen die voor u werken, deel uitmaken van uw organisatie en niet als zakenpartners worden beschouwd. Dat gezegd hebbende, ze vallen nog steeds onder de HIPAA-wetten. Als uw agenten bent u verantwoordelijk om hen te trainen in privacy en veiligheid. Dit geldt niet alleen voor uw reguliere fulltime aanwervingen, maar ook voor stagiaires, tijdelijk personeel, vrijwilligers en ieder ander onder uw directe controle.
Moeten contractanten een BAA ondertekenen?
Elke aannemer die in contact komt met een PHI, moet een BAA ondertekenen. Aangezien die mensen en organisaties niet onder uw directe controle staan, kunnen ze niet als werknemers worden behandeld. Als zodanig worden ze beschouwd als zakenpartners. Dat betekent dat ze klaar moeten zijn om te voldoen aan HIPAA. Dat omvat het aanvaarden van aansprakelijkheid voor naleving en het ondertekenen van een HIPAA Business Associate Agreement.
Wie heeft een Business Associate Agreement nodig?
Elke persoon of organisatie geïdentificeerd onder HIPAA als een zakenpartner, moet een BAA met u ondertekenen.
Als u een aannemer inhuurt en deze voert PHI uit die eerst door uw bedrijf gaat, u moet een BAA ondertekenen met die aannemer. Uw zakenpartners moeten vervolgens HIPAA-overeenkomstformulieren ondertekenen met hun zakenpartners.
Als u bijvoorbeeld bedrijf B inhuurt om röntgenfilms te verwijderen, heeft u een BAA bij hen nodig. Als ze bedrijf C inhuren om de films naar de verbrandingsinstallatie te vervoeren, hebben B en C een BAA nodig om te voldoen aan de HIPAA-voorschriften. Maar uw bedrijf heeft geen BAA met bedrijf C nodig.
BAA-sjabloon 2017
Een HIPAA Business Associate Agreement hoeft geen op zichzelf staand contract te zijn. De taal van een BAA kan worden opgenomen in gegevensbeveiligingsovereenkomsten, hoofdserviceovereenkomsten of servicevoorwaarden.
We hebben hier een voorbeeld van BAA 2017 (pdf), (tk insert link) op basis van het voorbeeld BAA geleverd door HHS.gov hier. De sjabloon waarnaar hierboven wordt verwezen, mag nooit worden gebruikt zonder advies van een juridisch adviseur.
De bovenstaande BAA-pdf is ontworpen als een overeenkomst tussen een enkele gedekte entiteit en een enkele zakenpartner. Dat gezegd hebbende, het kan worden aangepast voor gebruik met een zakenpartner en hun onderaannemer.
Klik op de afbeelding om de voorbeeld-BAA-pdf te downloaden.
Welke soorten providers moeten een BAA ondertekenen?
BAA’s moeten worden ondertekend door alle gedekte entiteiten, telkens wanneer hun zakenpartner PHI zal behandelen die eerst door de gedekte entiteit gaat. Hieronder vindt u een lijst met gedekte entiteiten. Voor meer gedetailleerde informatie, zie de HHS.gov-pagina over door HIPAA gedekte entiteiten.
De volgende gedekte entiteiten moeten BAA-formulieren ondertekenen.
Zorgverleners
- Artsen
- Klinieken
- Tandartsen
- Psychologen
- Verpleeghuizen
- Chiropractoren
- Apotheken
Gezondheidsplannen
- HMO’s
- Ziektekostenverzekeraars
- Overheidsbetalers zoals Medicaid en Medicare
Uitwisselingscentra voor gezondheidszorg
- Inclusief entiteiten die PHI in elektronische vorm omzetten.
Laat nooit een verkoper PHI afhandelen zonder een BAA
Als je geen BAA hebt ondertekend met een verkoper, houd PHI dan koste wat kost bij hen vandaan. Zorgverleners die geneigd zijn om de andere kant op te kijken naar BAA-voorschriften, doen er goed aan deze te heroverwegen.
In 2016 schikte OCR een schikking met North Memorial Health Care of Minnesota voor een bedrag van $ 1,55 miljoen.
De overtreding? North Memorial heeft een contract gesloten met een verkoper om verschillende bewerkingen uit te voeren met betrekking tot een klantendatabase. North Memorial heeft nagelaten een HIPAA BAA te ondertekenen met de verkoper.
Ben ik aansprakelijk voor niet-conforme verkopers die een BAA ondertekenen?
Het is niet jouw schuld als een leverancier de BAA overtreedt en schendt op de een of andere manier HIPAA. Wanneer de verkoper het document ondertekent, neemt hij de aansprakelijkheid op zich voor het vrijwaren van de PHI. Geen enkel bedrijf kan verantwoordelijk worden gehouden voor het controleren van een ander als het gaat om HIPAA en een BAA.
Dat gezegd hebbende, veranderen de rollen wanneer en als kan worden bewezen dat u op de hoogte was van de contractbreuk. HIPAA-voorschriften stellen dat bedrijven die een inbreuk door een zakenpartner ontdekken, de fout moeten corrigeren of de BAA moeten beëindigen. Als ze dat niet doen, delen ze de aansprakelijkheid voor de inbreuk samen met de medewerker.
Ontdek hoeveel U kunt direct besparen. Probeer onze online besparingscalculator.
Checklist HIPAA-overeenkomst voor zakenpartners
HHS vereenvoudigt de dingen die een BAA zou moeten dekken. De bron van de regelgeving is de HIPAA Administratieve Vereenvoudiging. Dat is een document van 115 pagina’s, dus concentreer u gewoon op de volgende twee secties:
Voor een beknopter overzicht hebben we de belangrijkste BAA-musthaves in de onderstaande lijst samengevat. (Om de bron van de lijst te zien, zie de tweede alinea van het HHS-document hier.) Elke BAA moet:
- Bepaal de toegestane openbaarmakingen van PHI.
- Verplicht de Business Associate (BA) om PHI te beschermen.
- Verplicht de BA om HIPAA-inbreuken te melden .
- Vereisen dat de BA PHI vrijgeeft als de gedekte entiteit of de patiënt vraagt.
- Zorg ervoor dat de BA zal alle PHI’s retourneren of vernietigen bij beëindiging van de overeenkomst.
Wat zou er nog meer kunnen zijn in een BAA?
De BAA-sjabloon die hier wordt verstrekt (tk link invoegen naar pdf ) wordt gegeneraliseerd. Elk echt gebruik van een overeenkomst als deze vereist aanpassing aan de specifieke behoeften van de organisatie. Hier zijn slechts enkele aanvullende overwegingen waarmee een bedrijf rekening kan houden bij het opstellen van zijn eigen specifieke contract.
- Bijzonderheden van het meldingsvenster voor inbreuken. De huidige HIPAA-taal roept BA’s op om inbreuken niet later dan 60 dagen en “zonder onredelijke vertraging” te melden. Die taal kan worden aangepast voor een meer specifieke richtlijn.
- Vereisten voor overtredingsverzekeringen. Dat varieert afhankelijk van het type leverancier en service.
- Wijzigingen in standaardregels voor HIPAA-incidentrapportage. Volgens de HIPAA-wetgeving zijn BA’s verplicht om alle “beveiligingsincidenten” te rapporteren aan hun gedekte entiteiten. Dat is een zeer brede term die kan profiteren van een bepaalde specificiteit om te definiëren wat een inbreuk eigenlijk is. Moet het bijvoorbeeld alle mislukte pogingen om ongeautoriseerd in te loggen op een patiëntendatabase bevatten?
- Voorzieningen voor vrijwaring van inbreuk. De gedekte entiteit mag alleen verantwoordelijk zijn voor inbreuken die feitelijk haar schuld zijn.
Aannemers van aannemers en de BAA
Moet een aannemer van een aannemer elke bepaling in uw BAA volgen? ? De privacyregel lijkt te zeggen van wel. De Regel stelt dat alle onderaannemers van zakenpartners akkoord moeten gaan met dezelfde beperkingen als de zakenpartner.
Dit betekent echter niet dat uw HIPAA De zakenpartnerovereenkomst is van toepassing op de aannemer van uw aannemer.
In plaats daarvan moeten onderaannemers zich houden aan de BAA van de aannemer.Aangezien alle HIPAA-overeenkomstformulieren dezelfde basisregels moeten bevatten (geleverd door HHS), zijn de bepalingen voor iedereen gelijk.
Rapportage van BAA-inbreuken
Gedekte entiteiten (CE) kunnen proberen op te nemen taal over zeer korte meldingsvensters voor inbreuken in hun contracten. Een CE kan bijvoorbeeld zoiets bevatten als: “De zakenpartner zal alle inbreuken binnen drie dagen na de inbreuk melden.” Dat klinkt redelijk, behalve als we bedenken dat de BA pas een paar dagen later op de hoogte zou kunnen zijn van de inbreuk.
In dat geval is de BA nu in totale onschuld in aanraking gekomen met HIPAA. Om deze reden, het is beter voor BA’s om aan te dringen op taal als “zodra de inbreuk is ontdekt of had moeten worden ontdekt” in de sectie Melding van inbreuken.
Uw aannemer is niet uw juridische agent
Een HIPAA Business Associate Agreement die aannemers of onderaannemers dwingt de status van juridisch agent te krijgen, is gevaarlijk en onnodig. In het geval van een overtreding vallen de juridische gevolgen van de overtredende partij dan voor de lasthebber van die partij. Met andere woorden, als bedrijf A een inbreuk pleegt en bedrijf B zijn vertegenwoordiger is, deelt bedrijf B ook de HIPAA-sancties. Het is het beste om taal op te nemen in de BAA die uitdrukkelijk de niet-agentrelatie tussen beide partijen definieert.
BAA en Cloud Service Providers
Het tijdperk van cloudgebaseerde data heeft nieuwe overwegingen gecreëerd voor gedekte entiteiten en aannemers die een BAA nodig hebben. Sommige Cloud Service Providers (CSP’s) hebben geprobeerd de verantwoordelijkheid onder BAA’s te omzeilen door via bepaalde mazen te ontsnappen.
De Conduit-clausule is een HIPAA-voorziening voor bepaalde entiteiten of personen, zoals postbodes die post bezorgen die mogelijk PHI bevat.
De Janitor-clausule is een andere HIPAA-regel die uitzonderingen toestaat aan diegenen wiens diensten of functies alleen een tangentiële blootstelling hebben aan PHI. Een conciërge in een ziekenhuis zou bijvoorbeeld zijn vrijgesteld van PHI-aansprakelijkheid.
De Omnibus-regel van 2013 haalt deze excuses echter duidelijk weg door naleving in te voeren in elke entiteit die creëert, verzendt, ontvangt of onderhoudt PHI.
Conclusie
Een BAA is cruciaal voor elke persoon, bedrijf of andere organisatie die PHI behandelt die ergens anders vandaan komt. Elke keer dat een leverancier of aannemer een leverancier inhuurt die vervolgens de PHI van de leverancier / aannemer afhandelt, moeten beide partijen een BAA ondertekenen.
Deze HIPAA Business Associate Agreement PDF (tk add link) is een aangepaste versie van de HHS-versie hier . Zoals met alle zakenpartnerovereenkomsten, stelt het toegestane openbaarmakingen vast, vereist het de bekendmaking van inbreuken aan HIPAA en stelt het andere richtlijnen op voor het omgaan met door de provider voortgebrachte PHI.
Een BAA is een kritiek document dat gedekte entiteiten en hun zakenpartners. Het stelt ook aansprakelijkheid en beperkingen in voor beide partijen, dus advies van een juridisch adviseur is altijd vereist.