În sensul cel mai de bază, un acord de asociere în afaceri sau BAA este un document legal între un furnizor de servicii medicale și un contractant. Un furnizor încheie un BAA cu un contractor sau alt furnizor atunci când acel furnizor ar putea primi acces la informațiile de sănătate protejate (PHI).
Ghidul de mai jos oferă elementele de bază ale BAA, inclusiv cine are nevoie de ele, atunci când Este necesar, ce să puneți într-unul și un șablon de acord pentru asociați de afaceri HIPAA (PDF) pentru 2017.
Ce este un BAA?
Un BAA este un acord de asociat de afaceri. Regulamentele HIPAA îl numesc un contract de asociat de afaceri. Sunt cu adevărat același lucru.
BAA îndeplinesc reglementările HIPAA și creează o legătură de răspundere care leagă două părți.
Dacă un membru încalcă un BAA, celălalt are recurs legal . Dacă nu există BAA sau este incomplet sau dacă este încălcat, atunci ambii asociați se pot găsi în apă caldă cu HIPAA și alte reglementări FDA.
Ce este un asociat de afaceri?
Definiția unui asociat de afaceri este destul de simplă. Orice persoană pe care o contractați care se ocupă de informațiile dvs. de sănătate protejate (PHI) din orice motiv. Pentru un exemplu viu, într-un faimos caz HIPAA, o clinică a angajat un furnizor pentru a-și converti filmele cu raze X în formă digitală și pentru a recupera argintul din filme. Nu au reușit să semneze un BAA și au primit un ordin de plată de 750.000 USD de la OCR.
Asociații de afaceri sunt orice organizație sau persoană care creează, transmite, primește sau menține PHI în numele oricărei entități acoperite, sau în numele asociatului comercial al unei entități acoperite.
Angajații trebuie să semneze un BAA?
Angajații direcți nu trebuie să semneze un BAA. Acest lucru se datorează faptului că persoanele care lucrează pentru dvs. fac parte din organizația dvs. și nu sunt considerați ca asociați de afaceri. Acestea fiind spuse, acestea încă se încadrează în legile HIPAA. În calitate de agenți, sunteți responsabil să îi instruiți în confidențialitate și securitate. Acest lucru se aplică nu numai angajărilor dvs. regulate cu normă întreagă, ci și stagiarilor, personalului temporar, voluntarilor și oricui altcineva aflat în controlul dvs. direct.
Contractanții trebuie să semneze un BAA?
Orice contractant care va intra în contact cu orice PHI va trebui să semneze un BAA. Deoarece acei oameni și organizații nu sunt sub controlul dvs. direct, nu pot fi tratați ca angajați. Ca atare, sunt considerați asociați de afaceri. Asta înseamnă că trebuie să fie pregătiți să respecte HIPAA. Aceasta include acceptarea răspunderii de conformitate și semnarea unui acord HIPAA Business Associate.
Cine are nevoie de un acord Business Associate?
Orice persoană sau organizație identificat în HIPAA ca asociat de afaceri trebuie să semneze un BAA cu dvs.
Dacă angajați un contractor și se ocupă mai întâi de PHI care trece prin compania dvs., trebuie să semnezi un BAA cu contractorul respectiv. Asociații dvs. de afaceri trebuie să semneze Formulare de acord HIPAA cu asociații lor de afaceri.
De exemplu, dacă angajați Compania B pentru a elimina filmele cu raze X, aveți nevoie de un BAA cu ei. Dacă angajează Compania C pentru a transporta filmele la instalația de incinerare, atunci B și C au nevoie de un BAA pentru a se conforma reglementărilor HIPAA. Însă compania dvs. nu are nevoie de un BAA cu compania C.
Șablon BAA 2017
Un acord HIPAA Business Associate Contract nu trebuie să fie un contract independent. Limba unui BAA poate fi transformată în acorduri de securitate a datelor, contracte de servicii principale sau contracte de condiții de serviciu.
Am inclus aici un eșantion de BAA 2017 (PDF), (tk insert link) pe baza exemplul BAA furnizat de HHS.gov aici. Șablonul legat mai sus nu ar trebui să fie folosit niciodată fără sfatul unui consilier juridic.
PDF-ul BAA de mai sus a fost conceput ca un acord între o singură entitate acoperită și un singur asociat comercial. Acestea fiind spuse, poate fi modificat pentru a fi utilizat cu un asociat de afaceri și subcontractantul acestora.
Faceți clic pe imagine pentru a descărca exemplul de PDF BAA.
Ce tipuri de furnizori trebuie să semneze un BAA?
BAA trebuie să fie semnate de toate entitățile acoperite, ori de câte ori asociatul lor de afaceri va gestiona PHI care trece mai întâi prin entitatea acoperită. Mai jos este o listă de entități acoperite. Pentru informații mai detaliate, consultați pagina HHS.gov despre entitățile acoperite HIPAA.
Următoarele entități acoperite trebuie să semneze formulare BAA.
Furnizorii de servicii medicale
- Medici
- Clinici
- Stomatologi
- Psihologi
- Case de îngrijire medicală
- Chiropracticieni
- Farmacii
Planuri de sănătate
- HMO-uri
- Companiile de asigurări de sănătate
- Plătitori guvernamentali precum Medicaid și Medicare
Case de îngrijire a sănătății
- Inclusiv entități care convertesc PHI în formă electronică.
Nu aveți niciodată un furnizor să gestioneze PHI fără BAA
Dacă nu ați semnat un BAA cu un furnizor, țineți PHI departe de ei cu orice preț. Furnizorii de servicii medicale care sunt tentați să privească în altă parte asupra reglementărilor BAA ar fi bine sfătuiți să reconsidere.
În 2016, OCR s-a stabilit cu North Memorial Health Care of Minnesota în valoare de 1,55 milioane de dolari.
Încălcarea? North Memorial a contractat cu un furnizor pentru a efectua diverse operațiuni referitoare la o bază de date de clienți. North Memorial a neglijat semnarea unui BAA HIPAA cu furnizorul.
Sunt răspunzător pentru furnizorii care nu respectă normele care semnează un BAA?
Nu este vina dvs. dacă un furnizor încalcă BAA și încalcă HIPAA într-un fel. Când vânzătorul semnează documentul, își asumă răspunderea pentru protejarea PHI. Nicio companie nu poate fi trasă la răspundere pentru poliția unei alte persoane când vine vorba de HIPAA și BAA.
Acestea fiind spuse, tabelele se întorc când și dacă se poate dovedi că știați despre încălcarea contractului. Regulamentele HIPAA prevăd că întreprinderile care descoperă o încălcare de către un asociat de afaceri trebuie fie să corecteze defecțiunea, fie să pună capăt BAA. Dacă nu, împărtășesc răspunderea pentru încălcare împreună cu asociatul.
Aflați cât de mult Puteți economisi instantaneu. Încercați calculatorul nostru de economii on-line.
Lista de verificare a acordului pentru asociații de afaceri HIPAA
HHS simplifică lucrurile pe care ar trebui să le acopere un BAA. Sursa reglementărilor este simplificarea administrativă HIPAA. Acesta este un document de 115 pagini, deci concentrați-vă doar pe următoarele două secțiuni:
Pentru o viziune mai concisă, am consolidat must-have-urile BAA de nivel superior în lista de mai jos. (Pentru a vedea sursa listei, consultați al doilea paragraf al documentului HHS aici.) Orice BAA trebuie:
- Stabiliți divulgările permise ale PHI.
- Solicitați Business Associate (BA) să protejeze PHI.
- Solicitați BA să raporteze încălcările HIPAA .
- Solicitați BA să elibereze PHI după cum solicită entitatea acoperită sau pacientul.
- Asigurați-vă că BA va returna sau va distruge toate PHI la încetarea acordului.
Ce altceva ar putea fi într-un BAA?
Șablonul BAA furnizat aici (tk inserați linkul în pdf ) este generalizată. Orice utilizare reală a unui astfel de acord va necesita adaptarea acestuia la nevoile specifice ale organizației. Iată doar câteva considerații suplimentare pe care o companie le-ar putea lua în considerare atunci când își întocmește propriul contract specific.
- Specificații ale ferestrei de raportare a încălcărilor. Limba actuală HIPAA solicită autorităților să raporteze încălcări nu mai târziu de 60 de zile și „fără întârzieri nerezonabile”. Limba respectivă poate fi adaptată pentru un ghid mai specific.
- Cerințe privind asigurarea de încălcare. Aceasta variază în funcție de tipul de furnizor și de serviciu.
- Modificări ale regulilor implicite pentru raportarea incidentelor HIPAA. Conform legislației HIPAA, autoritățile competente trebuie să raporteze toate „incidentele de securitate” entităților lor acoperite. Acesta este un termen foarte larg care poate beneficia de o anumită specificitate pentru a defini ce este de fapt o încălcare. De exemplu, ar trebui să includă toate încercările nereușite de conectare neautorizată la o bază de date pentru pacienți?
- Dispoziții pentru despăgubirea încălcării. Entitatea acoperită ar trebui să fie responsabilă numai pentru încălcările care sunt de fapt culpa sa.
Contractorii contractanților și BAA
Trebuie să respecte un contractant al unui contractant fiecare prevedere din BAA dvs. ? Regula de confidențialitate pare să spună că da. Regula prevede că toți subcontractanții asociaților de afaceri trebuie să fie de acord cu restricții identice cu cele ale asociatului de afaceri.
Acest lucru nu înseamnă totuși că HIPAA dvs. Acordul de asociere comercială se aplică contractorului contractorului dvs.
Mai degrabă, subcontractanții trebuie să adere la BAA-ul contractantului.Deoarece toate formularele de acord HIPAA trebuie să conțină aceleași reguli de bază (furnizate de HHS), dispozițiile pentru toate sunt egale.
Raportarea încălcărilor BAA
Entitățile acoperite (CE) pot încerca să includă limbaj despre ferestrele foarte scurte de raportare a încălcărilor din contractele lor. De exemplu, un CE poate include ceva de genul „Asociatul de afaceri va raporta toate încălcările în termen de trei zile de la încălcare”. Acest lucru pare rezonabil, cu excepția cazului în care considerăm că BA ar putea să nu știe despre încălcare decât câteva zile mai târziu.
În acest caz, BA a condus acum HIPAA în totală nevinovăție. Din acest motiv, este mai bine ca agenții de presă să promoveze un limbaj de genul „de îndată ce încălcarea este descoperită sau ar fi trebuit să fie descoperită” în secțiunea Notificare încălcări.
Contractantul dvs. nu este agentul dvs. juridic
Un acord HIPAA Business Associate care obligă contractanții sau subcontractanții la statutul de agent juridic este periculos și inutil. În cazul unei încălcări, consecințele juridice ale părții infractoare ar reveni asupra agentului acelei părți. Cu alte cuvinte, dacă Compania A creează o încălcare, iar Compania B este agentul acesteia, atunci Compania B împarte și penalizările HIPAA. Cel mai bine este să includeți un limbaj în BAA, care definește în mod expres relația de non-agent dintre ambele părți.
BAA și furnizorii de servicii Cloud
Epoca datelor bazate pe cloud a creat noi considerații pentru entitățile acoperite și contractanții care necesită un BAA. Unii furnizori de servicii cloud (CSP) au încercat să se sustragă responsabilității în temeiul BAA prin evadarea anumitor lacune.
Clauza Conduit este o prevedere HIPAA pentru anumite entități sau persoane fizice, cum ar fi lucrătorii poștali care livrează poștă care ar putea include PHI.
Clauza Janitor este o altă regulă HIPAA care acordă excepții celor ale căror servicii sau funcții au doar expunere tangențială la PHI. De exemplu, un serviciu de spital ar fi scutit de răspunderea PHI.
Cu toate acestea, regula Omnibus din 2013 elimină în mod clar aceste scuze adoptând respectarea oricărei entități care creează, transmite, primește sau menține PHI.
Concluzie
Un BAA este crucial pentru orice persoană, companie sau altă organizație care se ocupă de PHI care provine din alte părți. De fiecare dată când un furnizor sau un contractant angajează un furnizor care apoi se ocupă de PHI-ul furnizorului / contractorului, ambele părți trebuie să semneze un BAA.
Acest Acord HIPAA Business Associate PDF (tk adăuga link) este adaptat de la versiunea HHS aici . La fel ca în cazul tuturor acordurilor asociaților de afaceri, acesta stabilește dezvăluirile permise, impune divulgarea încălcărilor către HIPAA și stabilește alte linii directoare pentru gestionarea PHI originate de furnizor.
Un BAA este un document critic care protejează entitățile acoperite și asociații lor de afaceri deopotrivă. De asemenea, stabilește răspunderea și limitările pentru ambele părți, de aceea este întotdeauna necesară sfatul unui consilier juridic.