I den mest grundläggande meningen är ett Business Associate Agreement eller BAA ett juridiskt dokument mellan en vårdgivare och en entreprenör. En leverantör ingår BAA med en entreprenör eller annan leverantör när den leverantören kan få tillgång till Protected Health Information (PHI).
Guiden nedan ger grunderna för BAA, inklusive vem som behöver dem, när de ’ krävs, vad ska man lägga i en, och en HIPAA Business Associate Agreement Template (PDF) för 2017.
Vad är en BAA?
En BAA är ett Business Associate Agreement. HIPAA-förordningarna kallar det ett Business Associate Contract. De är verkligen samma sak.
BAA uppfyller HIPAA-reglerna och skapar en ansvarsförbindelse som binder två parter.
Om en medlem bryter mot en BAA har den andra rättsliga möjligheter. . Om det inte finns någon BAA eller om den är ofullständig eller om den bryts kan båda medarbetare hamna i varmt vatten med HIPAA och andra FDA-föreskrifter.
Vad är en affärsassistent?
Definitionen av en affärsassistent är ganska enkel. Det är någon du avtalar med som hanterar din skyddade hälsoinformation (PHI) av någon anledning. I ett berömt HIPAA-fall anlitade en klinik en leverantör för att omvandla sina röntgenfilmer till digital form och återta silver från filmerna. De misslyckades med att underteckna en BAA och drabbades av en betalningsorder på 750 000 USD från OCR.
Affärsassistenter är alla organisationer eller personer som skapar, sänder, tar emot eller underhåller PHI på uppdrag av någon omfattad enhet, eller på uppdrag av affärsenheten till en täckt enhet.
Måste anställda underteckna en BAA?
Direktanställda behöver inte underteckna en BAA. Det beror på att personer som arbetar för dig är en del av din organisation och inte betraktas som affärsföretag. Som sagt faller de fortfarande under HIPAA-lagar. Som dina agenter är du ansvarig för att utbilda dem i integritet och säkerhet. Detta gäller inte bara dina vanliga heltidsanställningar utan även praktikanter, tillfälligt anställda, volontärer och andra som du har direkt kontroll över.
Måste entreprenörer underteckna en BAA?
Alla entreprenörer som kommer i kontakt med någon PHI måste underteckna en BAA. Eftersom dessa människor och organisationer inte har din direkta kontroll kan de inte behandlas som anställda. Som sådan anses de vara affärsföretag. Det betyder att de måste vara redo att följa HIPAA. Det inkluderar att acceptera efterlevnadsansvar och underteckna ett HIPAA Business Associate Agreement.
Vem behöver ett Business Associate-avtal?
Vilken person eller organisation som helst identifierad under HIPAA som en affärsassistent måste underteckna en BAA med dig.
Om du anställer en entreprenör och hanterar PHI som passerar genom ditt företag först, du måste skriva en BAA med den entreprenören. Dina affärspartners måste sedan underteckna HIPAA-avtalsformulär med sina affärspartners.
Om du till exempel anställer företag B för att avyttra röntgenfilmer behöver du en BAA med dem. Om de anställer företag C för att transportera filmerna till förbränningsanläggningen behöver B och C en BAA för att följa HIPAA-reglerna. Men ditt företag behöver inte BAA med företag C.
BAA-mall 2017
Ett HIPAA-affärsavtal behöver inte vara ett fristående kontrakt. Språket för en BAA kan rullas in i datasäkerhetsavtal, mastertjänstavtal eller villkor för serviceavtal.
Vi har inkluderat ett exempel på 2017 BAA här (PDF), (tk infoga länk) baserat på exemplet BAA som tillhandahålls av HHS.gov här. Mallen som länkas till ovan ska aldrig användas utan råd från juridisk rådgivare.
BAA PDF ovan utformades som ett avtal mellan en enda täckt enhet och en enda affärsassistent. Med detta sagt kan den modifieras för användning med en affärsassistent och deras underleverantör.
Klicka på bilden för att ladda ner BAA-PDF-exemplet.
Vilka typer av leverantörer måste underteckna en BAA?
BAA måste undertecknas av alla täckta enheter närhelst deras affärspartner hanterar PHI som passerar genom den täckta enheten först. Det finns en lista över täckta enheter nedan. För mer detaljerad information, se sidan HHS.gov på HIPAA-täckta enheter.
Följande täckta enheter måste underteckna BAA-formulär.
Vårdgivare
- Läkare
- Kliniker
- Tandläkare
- Psykologer
- Vårdhem
- Kiropraktorer
- Apotek
Hälsoplaner
- HMO
- Sjukförsäkringsbolag
- Statliga betalare som Medicaid och Medicare
Clearinghus för vård
- Inklusive enheter som omvandlar PHI till elektronisk form.
Har aldrig en leverantörshantera PHI utan BAA
Om du inte har undertecknat en BAA med en leverantör, håll PHI borta från dem till varje pris. Vårdgivare som är frestade att titta tvärtom på BAA-regler skulle rekommenderas att ompröva.
2016 beslutade OCR med North Memorial Health Care of Minnesota till 1,55 miljoner dollar.
Överträdelsen? North Memorial avtalade med en leverantör för att utföra olika operationer rörande en kunddatabas. North Memorial försummade att underteckna en HIPAA BAA med säljaren.
Är jag ansvarig för leverantörer som inte uppfyller kraven som undertecknar en BAA?
Det är inte ditt fel om en säljare bryter mot BAA och bryter mot HIPAA på något sätt. När säljaren undertecknar dokumentet tar ansvaret för att skydda PHI. Inget företag kan hållas ansvarigt för att polisera ett annat när det gäller HIPAA och en BAA.
Som sagt, borden vänder när och om det kan bevisas att du visste om avtalsbrottet. HIPAA-reglerna anger att företag som upptäcker ett brott av en affärsföretag måste antingen åtgärda felet eller avsluta BAA. Om de inte gör det delar de ansvaret för överträdelsen tillsammans med intresseföretaget.
Ta reda på hur mycket Du kan spara direkt. Försök med vår onlinekalkylator.
HIPAA Checklist för affärsassociationsavtal
HHS förenklar de saker som en BAA bör täcka. Källan till bestämmelserna är HIPAAs administrativa förenkling. Det är ett dokument på 115 sidor, så fokusera bara på följande två avsnitt:
För en mer kortfattad vy har vi konsoliderat de högsta BAA-måsteen i listan nedan. (För att se källan till listan, se andra stycket i HHS-dokumentet här.) Alla BAA måste:
- Upprätta tillåtna avslöjanden av PHI.
- Kräva Business Associate (BA) för att skydda PHI.
- Kräva att BA rapporterar HIPAA-överträdelser .
- Kräva att BA ska släppa PHI som den täckta enheten eller patienten begär.
- Se till att BA kommer att returnera eller förstöra alla PHI vid uppsägning av avtalet.
Vad annars kan vara i en BAA?
BAA-mallen som tillhandahålls här (tk infoga länk till pdf ) är generaliserad. Varje verklig användning av ett sådant avtal kräver att det skräddarsys efter organisationens specifika behov. Här är några ytterligare överväganden som ett företag kan ta hänsyn till när de utarbetar ett eget specifikt kontrakt.
- Specifikationer för rapporteringsfönstret för intrång. Det nuvarande HIPAA-språket kräver att BAs rapporterar överträdelser senast 60 dagar och ”utan orimligt dröjsmål.” Språket kan skräddarsys för en mer specifik riktlinje.
- Krav på försäkringsbrott. Det varierar beroende på typ av leverantör och tjänst.
- Ändringar av standardregler för HIPAA-incidentrapportering. Enligt HIPAA-lagstiftning är BAs skyldiga att rapportera alla ”säkerhetsincidenter” till sina täckta enheter. Det är en mycket bred term som kan dra nytta av viss specificitet för att definiera vad ett brott faktiskt är. Ska det till exempel innehålla alla misslyckade försök med obehöriga inloggningar till en patientdatabas?
- Bestämmelser om skadeståndsersättning. Den täckta enheten bör endast vara ansvarig för överträdelser som faktiskt är dess fel.
Entreprenörer och BAA
Måste en entreprenör från en entreprenör följa alla bestämmelser i din BAA ? Sekretessregeln verkar säga att den gör det. Regeln anger att alla underleverantörer av affärsföretag måste acceptera samma begränsningar som affärsföretaget.
Detta betyder dock inte att din HIPAA Business Associate Agreement gäller din entreprenörs entreprenör.
Snarare måste underleverantörer följa entreprenörens BAA.Eftersom alla HIPAA-avtalsformulär måste innehålla samma grundläggande regler (tillhandahållna av HHS) är bestämmelserna för alla lika.
Rapportering av BAA-överträdelser
Täckta enheter (CE) kan försöka inkludera språk om rapporteringsfönster för mycket korta överträdelser i sina kontrakt. Till exempel kan en CE innehålla något som ”Affärsföretaget rapporterar alla överträdelser inom tre dagar efter överträdelsen.” Det låter rimligt, förutom när vi tänker att BA kanske inte ens vet om överträdelsen förrän flera dagar senare.
I så fall har BA nu gått i fel med HIPAA i total oskuld. Av denna anledning det är bättre för BAs att driva på språk som ”så snart överträdelsen upptäcks eller borde ha upptäckts” i avsnittet om överträdelsemeddelande.
Din entreprenör är inte din juridiska agent
Ett HIPAA-affärsavtal som tvingar entreprenörer eller underleverantörer till status som juridisk agent är farligt och onödigt. I händelse av ett överträdelse skulle den rättsliga konsekvensen av den överträdande parten falla på dennes ombud. Med andra ord, om företag A skapar ett brott och företag B är dess agent, delar företag B också HIPAA-påföljderna. Det är bäst att inkludera språk i BAA som uttryckligen definierar förhållandet mellan olika parter.
BAA och Cloud Service Providers
Åldern på molnbaserade data har skapat nya överväganden för täckta enheter och entreprenörer som behöver en BAA. Vissa molntjänstleverantörer (CSP) har försökt att undvika ansvar enligt BAA genom att fly genom vissa kryphål.
Conduit Clause är en HIPAA-bestämmelse för vissa enheter eller individer som postarbetare som levererar post som kan innehålla PHI.
Vaktmästarklausulen är en annan HIPAA-regel som ger undantag till dem vars tjänster eller funktioner endast har tangentiell exponering för PHI. Till exempel skulle en sjukvårdspersonal vara undantagen från PHI-ansvar.
Omnibusregeln från 2013 ger emellertid klart dessa ursäkter genom att anta efterlevnad i alla enheter som skapar, sänder, tar emot eller underhåller PHI.
Slutsats
En BAA är avgörande för alla personer, företag eller andra organisationer som hanterar PHI som har sitt ursprung någon annanstans. Varje gång en leverantör eller entreprenör anställer en leverantör som sedan hanterar leverantören / entreprenörens PHI, måste båda parter underteckna en BAA.
Denna HIPAA Business Associate Agreement PDF (tk add länk) är anpassad från HHS-versionen här . Som med alla affärsavtal fastställer det tillåtna upplysningar, kräver avslöjande av överträdelser till HIPAA och fastställer andra riktlinjer för hantering av PHI från leverantörer.
En BAA är ett kritiskt dokument som skyddar omfattade enheter och deras affärspartners lika. Det ställer också upp ansvar och begränsningar för båda parter, så rådgivning från juridisk rådgivare krävs alltid.