W najbardziej podstawowym sensie umowa o partnerstwie biznesowym lub umowa o partnerstwie biznesowym to dokument prawny między świadczeniodawcą a wykonawcą. Dostawca zawiera umowę o partnerstwie biznesowym z wykonawcą lub innym dostawcą, gdy może on uzyskać dostęp do chronionych informacji zdrowotnych (PHI).
Poniższy przewodnik zawiera podstawowe informacje na temat BAA, w tym kto ich potrzebuje, kiedy „ ponownie wymagane, co umieścić w jednym oraz szablon umowy o partnerstwie biznesowym HIPAA (PDF) na rok 2017.
Co to jest BAA?
BAA to umowa biznesowa. Przepisy HIPAA nazywają to umową o współpracy biznesowej. To naprawdę to samo.
BAA przestrzegają przepisów HIPAA i tworzą zobowiązanie do odpowiedzialności, które wiąże dwie strony.
Jeśli jeden członek naruszy umowę BAA, drugi ma prawo do środków prawnych . Jeśli nie ma BAA lub jest niekompletne lub jeśli zostanie naruszone, obaj pracownicy mogą znaleźć się w gorącej wodzie zgodnie z HIPAA i innymi przepisami FDA.
Kim jest współpracownik biznesowy?
Definicja wspólnika biznesowego jest dość prosta. To każda osoba, z którą się zawierasz, ma do czynienia z Twoimi chronionymi informacjami zdrowotnymi (PHI) z jakiegokolwiek powodu. Jako żywy przykład, w słynnej sprawie HIPAA, klinika wynajęła sprzedawcę, aby przekształcił ich filmy rentgenowskie do postaci cyfrowej i odzyskał srebro z filmów. Nie udało im się podpisać umowy BAA i otrzymali zlecenie płatnicze w wysokości 750 000 USD z OCR.
Współpracownicy biznesowi to dowolna organizacja lub osoba, która tworzy, przesyła, otrzymuje lub utrzymuje PHI w imieniu dowolnego objętego podmiotu, lub w imieniu wspólnika biznesowego podmiotu objętego ubezpieczeniem.
Czy pracownicy muszą podpisywać umowę o współpracy biznesowej?
Bezpośredni pracownicy nie muszą podpisywać umowy o partnerstwie gospodarczym. Dzieje się tak, ponieważ osoby, które dla Ciebie pracują, są częścią Twojej organizacji i nie są uważani za współpracowników biznesowych. To powiedziawszy, nadal podlegają przepisom HIPAA. Jako agenci odpowiadasz za przeszkolenie ich w zakresie prywatności i bezpieczeństwa. Dotyczy to nie tylko twoich regularnych pracowników zatrudnionych na pełny etat, ale także stażystów, pracowników tymczasowych, wolontariuszy i wszystkich innych osób, nad którymi masz bezpośrednią kontrolę.
Czy wykonawcy muszą podpisać umowę o partnerstwie gospodarczym?
Każdy wykonawca, który skontaktuje się z jakimkolwiek PIZ, będzie musiał podpisać umowę o partnerstwie gospodarczym. Ponieważ te osoby i organizacje nie są pod Twoją bezpośrednią kontrolą, nie możesz ich traktować jak pracowników. W związku z tym są uważani za wspólników biznesowych. Oznacza to, że muszą być gotowi do przestrzegania HIPAA. Obejmuje to przyjęcie odpowiedzialności za zgodność i podpisanie umowy o współpracy biznesowej HIPAA.
Kto potrzebuje umowy o współpracy biznesowej?
Każda osoba lub organizacja zidentyfikowany na mocy HIPAA jako współpracownik biznesowy musi podpisać z tobą umowę o partnerstwie gospodarczym.
Jeśli zatrudniasz wykonawcę, który najpierw obsługuje PHI przechodzące przez Twoją firmę, musisz podpisać umowę BAA z tym wykonawcą. Twoi partnerzy biznesowi muszą następnie podpisać formularze umowy HIPAA ze swoimi partnerami biznesowymi.
Na przykład, jeśli zatrudniasz firmę B do utylizacji filmów rentgenowskich, potrzebujesz z nią umowy o współpracy biznesowej. Jeśli zatrudnią Firmę C do transportu folii do spalarni, wówczas B i C potrzebują BAA, aby spełnić wymogi HIPAA. Ale Twoja firma nie potrzebuje umowy o partnerstwie biznesowym z firmą C.
Szablon BAA 2017
Umowa o współpracy biznesowej zgodna z ustawą HIPAA nie musi być samodzielną umową. Język BAA można wprowadzić do umów dotyczących bezpieczeństwa danych, głównych umów serwisowych lub warunków umów serwisowych.
Tutaj zamieściliśmy przykładową umowę BAA z 2017 roku (PDF), (wstaw link) na podstawie przykład BAA dostarczony przez HHS.gov tutaj. Wzorca, do którego prowadzi powyższy link, nigdy nie powinien być używany bez porady radcy prawnego.
Powyższy dokument BAA PDF został zaprojektowany jako umowa między pojedynczym podmiotem objętym ubezpieczeniem a jednym wspólnikiem biznesowym. Mimo to można go zmodyfikować do użytku z partnerem biznesowym i jego podwykonawcą.
Kliknij obraz, aby pobrać przykładowy plik BAA PDF.
Jakie rodzaje dostawców muszą podpisać umowę o partnerstwie gospodarczym?
Umowy o partnerstwie biznesowym muszą być podpisane przez wszystkie podmioty objęte umową, za każdym razem, gdy ich partner biznesowy będzie zajmował się PHI, które najpierw przechodzą przez ten podmiot. Poniżej znajduje się lista podmiotów objętych ochroną. Bardziej szczegółowe informacje można znaleźć na stronie HHS.gov na temat podmiotów objętych ustawą HIPAA.
Następujące podmioty objęte umową muszą podpisać formularze BAA.
Dostawcy opieki zdrowotnej
- Lekarze
- Kliniki
- Dentyści
- Psycholodzy
- Domy opieki
- Kręgarze
- Apteki
Plany zdrowotne
- HMO
- Towarzystwa ubezpieczeń zdrowotnych
- Płatnicy rządowi, tacy jak Medicaid i Medicare
Health Care Clearinghouses
- W tym podmioty przekształcające PHI w formę elektroniczną.
Nigdy nie pozwól, aby sprzedawca obsługiwał PHI bez BAA
Jeśli nie podpisałeś umowy BAA z dostawcą, trzymaj PHI z dala od nich za wszelką cenę. Pracownicy służby zdrowia, którzy mają pokusę spojrzenia w inną stronę na przepisy BAA, powinni ponownie rozważyć.
W 2016 roku OCR zawarł porozumienie z North Memorial Health Care Minnesota do wysokości 1,55 miliona dolarów.
Naruszenie? North Memorial podpisało umowę z dostawcą na wykonanie różnych operacji dotyczących bazy danych klientów. North Memorial zaniedbał podpisanie umowy HIPAA BAA ze sprzedawcą.
Czy ponoszę odpowiedzialność za niezgodnych dostawców, którzy podpisują umowę BAA?
To nie Twoja wina, jeśli dostawca naruszy umowę BAA i w jakiś sposób narusza HIPAA. Kiedy sprzedawca podpisze dokument, bierze na siebie odpowiedzialność za zabezpieczenie PIZ. Żadna firma nie może być pociągnięta do odpowiedzialności za nadzorowanie innej firmy, jeśli chodzi o HIPAA i BAA.
To powiedziawszy, sytuacja się zmienia, kiedy i czy można udowodnić, że wiedziałeś o naruszeniu umowy. Przepisy HIPAA stanowią, że firmy, które odkryją naruszenie przez partnera biznesowego, muszą albo naprawić usterkę, albo wypowiedzieć umowę o współpracy. Jeśli tego nie zrobią, wspólnie ze współpracownikiem ponoszą odpowiedzialność za naruszenie.
Dowiedz się, ile Możesz natychmiast zaoszczędzić. Wypróbuj nasz internetowy kalkulator oszczędności.
Lista kontrolna umowy współpracownika biznesowego HIPAA
HHS upraszcza rzeczy, które powinna obejmować BAA. Źródłem przepisów jest uproszczenie administracyjne HIPAA. To 115-stronicowy dokument, więc skup się na następujących dwóch sekcjach:
Aby uzyskać bardziej zwięzły obraz, zebraliśmy najważniejsze elementy BAA na liście poniżej. (Aby zobaczyć źródło listy, zobacz drugi akapit dokumentu HHS tutaj.) Każdy BAA musi:
- Ustalić dozwolone ujawnienia PHI.
- Wymagaj od współpracownika biznesowego (BA) ochrony PHI.
- Wymagaj od BA zgłaszania naruszeń HIPAA .
- Wymagaj od BA zwolnienia PHI jako podmiotu objętego ochroną lub żądań pacjenta.
- Upewnij się, że BA zwróci lub zniszczy wszystkie PHI po rozwiązaniu umowy.
Co jeszcze może być w BAA?
Szablon BAA dostarczony tutaj (tk wstaw link do pliku PDF ) jest uogólniona. Każde rzeczywiste wykorzystanie takiej umowy będzie wymagało dostosowania jej do konkretnych potrzeb organizacji. Oto kilka dodatkowych kwestii, które firma może wziąć pod uwagę podczas sporządzania własnej umowy szczegółowej.
- Szczegóły okna zgłaszania naruszeń. Obecny język HIPAA wzywa BA do zgłaszania naruszeń nie później niż 60 dni i „bez nieuzasadnionej zwłoki”. Ten język można dostosować do bardziej szczegółowych wytycznych.
- Wymagania dotyczące ubezpieczenia od naruszenia. To zależy od rodzaju dostawcy i usługi.
- Zmiany w domyślnych zasadach zgłaszania incydentów HIPAA. Zgodnie z prawem HIPAA, BA są zobowiązani do zgłaszania wszystkich „incydentów bezpieczeństwa” swoim podmiotom objętym ubezpieczeniem. To bardzo szerokie pojęcie, które może zyskać na pewnej szczegółowości przy definiowaniu, czym w rzeczywistości jest naruszenie. Na przykład, czy powinien zawierać wszystkie nieudane próby nieautoryzowanego logowania do bazy danych pacjentów?
- Postanowienia dotyczące odszkodowania za naruszenie. Podmiot objęty ochroną powinien być odpowiedzialny tylko za naruszenia, które są faktycznie jego winą.
Wykonawcy wykonawców i BAA
Czy wykonawca wykonawcy musi przestrzegać wszystkich postanowień umowy o partnerstwie gospodarczym? ? Wydaje się, że zasada prywatności tak mówi. Reguła stanowi, że wszyscy podwykonawcy współpracowników biznesowych muszą zgodzić się na takie same ograniczenia jak partnerzy biznesowi.
Nie oznacza to jednak, że Twoja ustawa HIPAA Umowa o współpracy biznesowej ma zastosowanie do wykonawcy Twojego wykonawcy.
Podwykonawcy muszą raczej przestrzegać umowy BAA wykonawcy.Ponieważ wszystkie formularze umów HIPAA muszą zawierać te same podstawowe zasady (dostarczone przez HHS), postanowienia dla wszystkich są takie same.
Zgłaszanie naruszeń BAA
Podmioty objęte (CE) mogą próbować uwzględnić język o bardzo krótkich okresach zgłaszania naruszeń w umowach. Na przykład CE może zawierać coś w rodzaju: „Partner biznesowy zgłosi wszystkie naruszenia w ciągu trzech dni od naruszenia”. Brzmi to rozsądnie, z wyjątkiem sytuacji, gdy uznamy, że BA może nawet nie wiedzieć o naruszeniu przez kilka dni później.
W takim przypadku BA popadł w konflikt z HIPAA w całkowitej niewinności. Z tego powodu, Lepiej dla BA, aby naciskali na sformułowania typu „jak tylko naruszenie zostanie wykryte lub powinno zostać odkryte” w sekcji Powiadomienie o naruszeniu.
Twój kontrahent nie jest Twoim prawnym przedstawicielem
Umowa o współpracy biznesowej HIPAA, która zmusza wykonawców lub podwykonawców do uzyskania statusu przedstawiciela prawnego, jest niebezpieczna i niepotrzebna. W przypadku naruszenia konsekwencje prawne strony naruszającej spadłyby wówczas na przedstawiciela tej strony. Innymi słowy, jeśli firma A dopuści się naruszenia, a firma B jest jej agentem, wówczas firma B również podziela kary wynikające z ustawy HIPAA. Najlepiej jest zawrzeć w BAA język, który wyraźnie definiuje nie-agentowe relacje między obiema stronami.
BAA i dostawcy usług w chmurze
Era danych w chmurze stworzyła nowe kwestie dla podmiotów objętych ubezpieczeniem i wykonawców, którzy wymagają BAA. Niektórzy dostawcy usług w chmurze (CSP) próbowali uniknąć odpowiedzialności wynikającej z umów o partnerstwie gospodarczym, omijając pewne luki.
Klauzula postępowania jest postanowieniem HIPAA dla niektórych podmiotów lub osób, takich jak pracownicy pocztowi, którzy dostarczają pocztę, która może obejmować PHI.
Klauzula woźnego to kolejna reguła HIPAA, która przyznaje wyjątki tym, których usługi lub funkcje mają jedynie styczny kontakt z PHI. Na przykład dozorca szpitala byłby zwolniony z odpowiedzialności za PHI.
Jednak zasada zbiorcza z 2013 r. Wyraźnie usuwa te wymówki, wprowadzając zgodność w każdym podmiocie, który tworzy, przesyła, odbiera lub utrzymuje PHI.
Wniosek
BAA ma kluczowe znaczenie dla każdej osoby, firmy lub innej organizacji, która zajmuje się PHI, które pochodzą z innego miejsca. Za każdym razem, gdy dostawca lub wykonawca zatrudnia dostawcę, który następnie obsługuje PHI dostawcy / wykonawcy, obie strony muszą podpisać umowę o partnerstwie biznesowym.
Ta umowa o współpracy biznesowej HIPAA w formacie PDF (tk dodaj link) jest dostosowana z wersji HHS tutaj . Podobnie jak w przypadku wszystkich umów z partnerami biznesowymi, ustanawia dozwolone ujawnienia, wymaga ujawnienia naruszeń ustawie HIPAA i ustanawia inne wytyczne dotyczące postępowania z ChIZ pochodzącymi od dostawcy.
BAA to kluczowy dokument, który chroni podmioty objęte i ich wspólnicy biznesowi. Ustawia również odpowiedzialność i ograniczenia obu stron, więc zawsze wymagana jest porada radcy prawnego.