No sentido mais básico, um Contrato de Associado Comercial ou BAA é um documento legal entre um provedor de saúde e um contratado. Um provedor entra em um BAA com um contratante ou outro fornecedor quando esse fornecedor pode receber acesso a Informações de saúde protegidas (PHI).
O guia abaixo fornece os princípios básicos dos BAAs, incluindo quem precisa deles, quando eles ‘ é necessário, o que incluir em um e um modelo de contrato de associado comercial da HIPAA (PDF) para 2017.
O que é um BAA?
Um BAA é um contrato de associado comercial. Os regulamentos da HIPAA o chamam de Contrato de Associado Comercial. Eles são realmente a mesma coisa.
Os BAAs satisfazem os regulamentos da HIPAA e criam um vínculo de responsabilidade que vincula duas partes.
Se um membro violar um BAA, o outro terá recursos legais . Se não houver BAA ou se estiver incompleto ou se for violado, ambos os associados podem se ver em apuros com a HIPAA e outras regulamentações da FDA.
O que é um associado comercial?
A definição de um parceiro de negócios é bastante simples. É qualquer pessoa que você contratou para lidar com suas Informações de saúde protegidas (PHI) por qualquer motivo. Para um exemplo vívido, em um caso famoso da HIPAA, uma clínica contratou um fornecedor para converter seus filmes de raio-X em formato digital e recuperar a prata dos filmes. Eles não assinaram um BAA e foram atingidos com uma ordem de pagamento de $ 750.000 do OCR.
Associados comerciais são qualquer organização ou pessoa que cria, transmite, recebe ou mantém PHI em nome de qualquer entidade coberta, ou em nome do parceiro comercial de uma entidade coberta.
Os funcionários devem assinar um BAA?
Os funcionários diretos não precisam assinar um BAA. Isso ocorre porque as pessoas que trabalham para você fazem parte da sua organização e não são consideradas parceiros comerciais. Dito isso, eles ainda se enquadram nas leis da HIPAA. Como seus agentes, você é responsável por treiná-los em privacidade e segurança. Isso se aplica não apenas às suas contratações regulares de tempo integral, mas também a estagiários, funcionários temporários, voluntários e qualquer outra pessoa sob seu controle direto.
Os contratantes precisam assinar um BAA?
Qualquer contratante que entrar em contato com qualquer PHI terá que assinar um BAA. Já que essas pessoas e organizações não estão sob seu controle direto, elas não podem ser tratadas como funcionários. Como tal, eles são considerados parceiros de negócios. Isso significa que eles devem estar prontos para cumprir a HIPAA. Isso inclui aceitar a responsabilidade de conformidade e assinar um Contrato de Associado Comercial HIPAA.
Quem Precisa de um Contrato de Associado Comercial?
Qualquer pessoa ou organização identificado na HIPAA como um associado comercial deve assinar um BAA com você.
Se você contratar um empreiteiro e ele lida com PHI que passa pela sua empresa primeiro, você precisa assinar um BAA com esse empreiteiro. Seus parceiros de negócios devem então assinar os Formulários de Acordo HIPAA com seus parceiros de negócios.
Por exemplo, se você contratar a Empresa B para se desfazer de filmes de raio-X, precisará de um BAA com eles. Se eles contratam a Empresa C para transportar os filmes para a instalação de incineração, então B e C precisam de um BAA para cumprir os regulamentos da HIPAA. Mas sua empresa não precisa de um BAA com a Empresa C.
BAA Template 2017
Um contrato de parceiro comercial da HIPAA não precisa ser um contrato independente. A linguagem de um BAA pode ser convertida em acordos de segurança de dados, acordos de serviço principais ou contratos de termos de serviço.
Incluímos um BAA de amostra de 2017 aqui (PDF), (inserir link) com base em o BAA de exemplo fornecido por HHS.gov aqui. O modelo com o link acima nunca deve ser usado sem o conselho do advogado.
O PDF BAA acima foi desenvolvido como um acordo entre uma única entidade coberta e um único parceiro comercial. Dito isso, ele pode ser modificado para uso com um parceiro de negócios e seu subcontratado.
Clique na imagem para baixar o exemplo de BAA PDF.
Quais tipos de provedores devem assinar um BAA?
Os BAAs devem ser assinados por todas as entidades cobertas, sempre que seu parceiro de negócios lidar com PHI que passa primeiro pela entidade coberta. Há uma lista de entidades cobertas abaixo. Para obter informações mais detalhadas, consulte a página HHS.gov em Entidades cobertas pelo HIPAA.
As entidades cobertas a seguir devem assinar os formulários BAA.
Prestadores de cuidados de saúde
- Médicos
- Clínicas
- Dentistas
- Psicólogos
- Casas de repouso
- Quiropráticos
- Farmácias
Planos de saúde
- HMOs
- Companhias de seguro saúde
- Pagadores governamentais como Medicaid e Medicare
Health Care Clearinghouses
- Incluindo entidades que convertem PHI em formato eletrônico.
Nunca deixe um fornecedor lidar com PHI sem um BAA
Se você não assinou um BAA com um fornecedor, mantenha o PHI longe deles a todo custo. Os profissionais de saúde que são tentados a ignorar os regulamentos do BAA deveriam reconsiderar.
Em 2016, o OCR fechou acordo com o North Memorial Health Care da Minnesota no valor de $ 1,55 milhão.
A violação? North Memorial contratou um fornecedor para realizar várias operações relacionadas a um banco de dados de clientes. North Memorial negligenciou a assinatura de um HIPAA BAA com o fornecedor.
Sou responsável por fornecedores não conformes que assinam um BAA?
Não é sua culpa se um fornecedor violar o BAA e viola a HIPAA de alguma forma. Quando o vendedor assina o documento, assume a responsabilidade de salvaguardar a PHI. Nenhuma empresa pode ser responsabilizada por policiar outra quando se trata de HIPAA e BAA.
Dito isso, a situação muda quando e se for possível provar que você sabia sobre a quebra de contrato. Os regulamentos da HIPAA afirmam que as empresas que descobrirem uma violação por um parceiro de negócios devem corrigir a falha ou rescindir o BAA. Se não o fizerem, eles dividem a responsabilidade pela violação com o associado.
Descubra quanto Você pode economizar instantaneamente. Experimente nossa calculadora de economia on-line.
Lista de verificação do contrato de associado comercial da HIPAA
HHS simplifica as coisas que um BAA deve cobrir. A fonte dos regulamentos é a Simplificação Administrativa HIPAA. Esse é um documento de 115 páginas, então concentre-se apenas nas duas seções a seguir:
Para uma visão mais concisa, consolidamos os BAA de nível superior indispensáveis na lista abaixo. (Para ver a fonte da lista, consulte o segundo parágrafo do documento HHS aqui.) Qualquer BAA deve:
- Estabelecer as divulgações permitidas de PHI.
- Exigir que o Associado Comercial (BA) proteja o PHI.
- Exigir que o BA relate violações de HIPAA .
- Exigir que o BA libere PHI como a Entidade Coberta ou solicitações de pacientes.
- Certifique-se de que BA irá devolver ou destruir todos os PHI na rescisão do contrato.
O que mais pode estar em um BAA?
O modelo BAA fornecido aqui (inserir link para pdf ) é generalizado. Qualquer uso real de um acordo como este exigirá adaptá-lo às necessidades específicas da organização. Aqui estão apenas algumas considerações adicionais que uma empresa pode levar em consideração ao redigir seu próprio contrato específico.
- Detalhes da janela de relatório de violação. A linguagem HIPAA atual exige que os BAs relatem violações no prazo máximo de 60 dias e “sem atrasos injustificados”. Essa linguagem pode ser adaptada para uma diretriz mais específica.
- Requisitos de seguro contra violação. Isso varia dependendo do tipo de fornecedor e serviço.
- Mudanças nas regras padrão para relatórios de incidentes HIPAA. De acordo com a lei HIPAA, os BAs são obrigados a relatar todos os “incidentes de segurança” para suas entidades cobertas. Esse é um termo muito amplo que pode se beneficiar de alguma especificidade para definir o que realmente é uma violação. Por exemplo, deve incluir todas as tentativas fracassadas de logons não autorizados em um banco de dados de pacientes?
- Provisões para indenização por violação. A entidade coberta só deve ser responsável por violações que são realmente sua culpa.
Empreiteiros de empreiteiros e o BAA
O empreiteiro de um empreiteiro deve seguir todas as disposições do seu BAA ? A regra de privacidade parece dizer que sim. A regra estabelece que todos os subcontratados de parceiros comerciais devem concordar com restrições idênticas às do parceiro comercial.
Isso não significa, no entanto, que seu HIPAA O Contrato de Parceiro Comercial se aplica ao contratado do seu contratante.
Em vez disso, os subcontratados devem aderir ao BAA do contratante.Uma vez que todos os Formulários de Acordo HIPAA devem conter as mesmas regras básicas (fornecidas pelo HHS), as disposições para todos são iguais.
Relatando violações de BAA
Entidades cobertas (CE) podem tentar incluir linguagem sobre janelas muito curtas de relatórios de violações em seus contratos. Por exemplo, um CE pode incluir algo como: “O parceiro de negócios relatará todas as violações dentro de três dias da violação”. Isso parece razoável, exceto quando consideramos que o BA pode nem mesmo saber sobre a violação até vários dias depois.
Nesse caso, o BA agora entrou em conflito com a HIPAA em total inocência. Por esse motivo, é melhor que os BAs pressionem por uma linguagem como “assim que a violação for descoberta ou deveria ter sido descoberta” na seção Notificação de violação.
Seu contratante não é seu agente legal
Um Acordo de Associado Comercial da HIPAA que força os contratados ou subcontratados a assumir o status de agente legal é perigoso e desnecessário. Em caso de violação, as consequências jurídicas da parte infratora recairiam sobre o agente dessa parte. Em outras palavras, se a Empresa A criar uma violação e a Empresa B for seu agente, a Empresa B também compartilha as penalidades da HIPAA. É melhor incluir linguagem no BAA que defina expressamente o relacionamento sem agente entre ambas as partes.
BAA e provedores de serviços em nuvem
A era dos dados baseados em nuvem criou novas considerações para entidades cobertas e contratantes que requerem um BAA. Alguns provedores de serviços em nuvem (CSPs) tentaram se esquivar da responsabilidade sob os BAAs escapando por meio de certas brechas.
A cláusula Conduit é uma cláusula da HIPAA para certas entidades ou indivíduos como carteiros que entregam correspondência que pode incluir PHI.
A Cláusula de Janitor é outra regra HIPAA que concede exceções para aqueles cujos serviços ou funções têm apenas exposição tangencial a PHI. Por exemplo, um zelador de hospital estaria isento de responsabilidade de PHI.
No entanto, a Regra Geral de 2013 claramente foge dessas desculpas ao decretar conformidade em qualquer entidade que cria, transmite, recebe ou mantém PHI.
Conclusão
Um BAA é crucial para qualquer pessoa, empresa ou outra organização que lida com PHI originadas em outro lugar. Sempre que um fornecedor ou contratado contrata um fornecedor que cuida do PHI do fornecedor / contratado, ambas as partes devem assinar um BAA.
Este PDF do Acordo de Associado Comercial da HIPAA (adicionar link) foi adaptado da versão HHS aqui . Como acontece com todos os acordos de parceiros comerciais, ele estabelece divulgações permitidas, exige a divulgação de violações à HIPAA e define outras diretrizes para lidar com PHI originado pelo provedor.
Um BAA é um documento crítico que protege as entidades cobertas e seus colegas de trabalho igualmente. Ele também estabelece responsabilidades e limitações para ambas as partes, portanto, o conselho de um advogado é sempre necessário.