Was ist ein BAA und warum ist es wichtig?

Im einfachsten Sinne ist ein Business Associate Agreement oder BAA ein Rechtsdokument zwischen einem Gesundheitsdienstleister und einem Auftragnehmer. Ein Anbieter schließt mit einem Auftragnehmer oder einem anderen Anbieter eine BAA ab, wenn dieser Anbieter möglicherweise Zugriff auf geschützte Gesundheitsinformationen (Protected Health Information, PHI) erhält.

Der folgende Leitfaden enthält die Grundlagen der BAAs, einschließlich der Frage, wer sie benötigt, wenn sie Es ist erforderlich, was in eine zu setzen ist, und eine Vorlage für eine HIPAA-Geschäftspartnervereinbarung (PDF) für 2017.

Was ist eine BAA?

Eine BAA ist eine Geschäftspartnervereinbarung. Die HIPAA-Bestimmungen nennen es einen Geschäftspartnervertrag. Sie sind wirklich dasselbe.

BAAs erfüllen die HIPAA-Bestimmungen und schaffen eine Haftungsbindung, die zwei Parteien bindet.

Wenn ein Mitglied gegen eine BAA verstößt, hat das andere Rechtsmittel . Wenn es keine BAA gibt oder diese unvollständig ist oder wenn sie verletzt wird, befinden sich beide Mitarbeiter möglicherweise in heißem Wasser mit HIPAA und anderen FDA-Vorschriften.

Was ist ein Geschäftspartner?

Die Definition eines Geschäftspartners ist ziemlich einfach. Es ist jeder, an den Sie einen Vertrag abschließen, der Ihre geschützten Gesundheitsinformationen (PHI) aus irgendeinem Grund verarbeitet. Als anschauliches Beispiel hat eine Klinik in einem berühmten HIPAA-Fall einen Anbieter beauftragt, ihre Röntgenfilme in digitale Form umzuwandeln und das Silber aus den Filmen zurückzugewinnen. Sie konnten keinen BAA unterzeichnen und wurden von der OCR mit einem Zahlungsauftrag in Höhe von 750.000 US-Dollar belegt.

Geschäftspartner sind Organisationen oder Personen, die PHI im Auftrag eines abgedeckten Unternehmens erstellen, übertragen, empfangen oder verwalten. oder im Namen des Geschäftspartners eines abgedeckten Unternehmens.

Müssen Mitarbeiter einen BAA unterzeichnen?

Direkte Mitarbeiter müssen keinen BAA unterzeichnen. Dies liegt daran, dass Personen, die für Sie arbeiten, Teil Ihrer Organisation sind und nicht als Geschäftspartner gelten. Trotzdem fallen sie immer noch unter die HIPAA-Gesetze. Als Ihre Agenten sind Sie dafür verantwortlich, sie in Datenschutz und Sicherheit zu schulen. Dies gilt nicht nur für Ihre regulären Vollzeitbeschäftigten, sondern auch für Auszubildende, Zeitarbeitskräfte, Freiwillige und alle anderen Personen, die unter Ihrer direkten Kontrolle stehen.

Müssen Auftragnehmer einen BAA unterzeichnen?

Jeder Auftragnehmer, der mit einem PHI in Kontakt kommt, muss einen BAA unterzeichnen. Da diese Personen und Organisationen nicht unter Ihrer direkten Kontrolle stehen, können sie nicht als Mitarbeiter behandelt werden. Als solche gelten sie als Geschäftspartner. Das bedeutet, dass sie bereit sein müssen, die HIPAA einzuhalten. Dazu gehört die Übernahme der Compliance-Haftung und die Unterzeichnung einer HIPAA-Vereinbarung mit Geschäftspartnern.

Wer benötigt eine Vereinbarung mit Geschäftspartnern?

Jede Person oder Organisation Wenn Sie unter HIPAA als Geschäftspartner identifiziert wurden, müssen Sie einen BAA mit Ihnen unterzeichnen.

Wenn Sie einen Auftragnehmer einstellen und dieser PHI verarbeitet, der zuerst Ihr Unternehmen durchläuft, Sie müssen einen BAA mit diesem Auftragnehmer unterzeichnen. Ihre Geschäftspartner müssen dann mit ihren Geschäftspartnern HIPAA-Vertragsformulare unterzeichnen.

Wenn Sie beispielsweise Unternehmen B beauftragen, Röntgenfilme zu entsorgen, benötigen Sie einen BAA mit ihnen. Wenn sie Firma C beauftragen, die Filme zur Verbrennungsanlage zu transportieren, benötigen B und C eine BAA, um die HIPAA-Vorschriften zu erfüllen. Ihr Unternehmen benötigt jedoch keinen BAA mit Unternehmen C.

BAA-Vorlage 2017

Ein HIPAA-Geschäftspartnervertrag muss kein eigenständiger Vertrag sein. Die Sprache einer BAA kann in Datensicherheitsvereinbarungen, Master-Servicevereinbarungen oder Servicebedingungen integriert werden.

Wir haben hier ein Beispiel für eine BAA 2017 (PDF) (tk insert link) basierend auf das Beispiel BAA von HHS.gov hier. Die oben verlinkte Vorlage sollte niemals ohne Rechtsberatung verwendet werden.

Das oben angegebene BAA-PDF wurde als Vereinbarung zwischen einem einzelnen abgedeckten Unternehmen und einem einzelnen Geschäftspartner konzipiert. Das heißt, es kann für die Verwendung mit einem Geschäftspartner und dessen Subunternehmer geändert werden.

Klicken Sie auf das Bild, um das Beispiel-BAA-PDF herunterzuladen.

Welche Arten von Anbietern müssen einen BAA unterzeichnen?

BAAs müssen von allen abgedeckten Unternehmen unterzeichnet werden, wenn ihr Geschäftspartner PHI verarbeitet, das zuerst das abgedeckte Unternehmen durchläuft. Nachfolgend finden Sie eine Liste der abgedeckten Unternehmen. Weitere Informationen finden Sie auf der Seite HHS.gov zu HIPAA Covered Entities.

Die folgenden Covered Entities müssen BAA-Formulare unterzeichnen.

Gesundheitsdienstleister

  • Ärzte
  • Kliniken
  • Zahnärzte
  • Psychologen
  • Pflegeheime
  • Chiropraktiker
  • Apotheken

Gesundheitspläne

  • HMOs
  • Krankenkassen
  • Regierungszahler wie Medicaid und Medicare

Clearingstellen für das Gesundheitswesen

  • Einschließlich Unternehmen, die PHI in elektronische Form umwandeln.

Lassen Sie niemals einen Anbieter PHI ohne BAA handhaben

Wenn Sie keinen BAA mit einem Anbieter unterzeichnet haben, halten Sie PHI um jeden Preis von diesen fern. Gesundheitsdienstleister, die versucht sind, bei den BAA-Vorschriften wegzuschauen, sollten dies überdenken.

Im Jahr 2016 hat sich OCR mit North Memorial Health Care of niedergelassen Minnesota in Höhe von 1,55 Millionen US-Dollar.

Die Verletzung? North Memorial beauftragte einen Verkäufer mit der Durchführung verschiedener Vorgänge in Bezug auf eine Kundendatenbank. North Memorial hat es versäumt, eine HIPAA-BAA mit dem Anbieter zu unterzeichnen.

Bin ich für nicht konforme Anbieter haftbar, die eine BAA unterzeichnen?

Es ist nicht Ihre Schuld, wenn ein Anbieter gegen die BAA verstößt und verstößt in irgendeiner Weise gegen HIPAA. Wenn der Verkäufer das Dokument unterschreibt, übernimmt er die Haftung für den Schutz des PHI. Kein Unternehmen kann für die Überwachung eines anderen Unternehmens in Bezug auf HIPAA und BAA verantwortlich gemacht werden.

Das heißt, es dreht sich alles um, wenn nachgewiesen werden kann, dass Sie von der Vertragsverletzung gewusst haben. Gemäß den HIPAA-Bestimmungen müssen Unternehmen, die einen Verstoß eines Geschäftspartners entdecken, entweder den Fehler beheben oder die BAA kündigen. Wenn dies nicht der Fall ist, haften sie gemeinsam mit dem Mitarbeiter für den Verstoß.

Finden Sie heraus, wie viel Sie können sofort sparen. Probieren Sie unseren Online-Sparrechner aus.

Checkliste für HIPAA-Geschäftspartnervereinbarungen

HHS vereinfacht die Dinge, die eine BAA abdecken sollte. Die Quelle der Vorschriften ist die administrative Vereinfachung der HIPAA. Dies ist ein 115-seitiges Dokument. Konzentrieren Sie sich also auf die folgenden beiden Abschnitte:

Für eine präzisere Darstellung haben wir die BAA-Must-Haves der obersten Ebene in der folgenden Liste konsolidiert. (Informationen zur Quelle der Liste finden Sie im zweiten Absatz des HHS-Dokuments.) Jede BAA muss:

  1. Die zulässigen Angaben zu PHI festlegen.
  2. Fordern Sie den Business Associate (BA) auf, PHI zu schützen.
  3. Fordern Sie den BA auf, HIPAA-Verstöße zu melden .
  4. Fordern Sie den BA auf, PHI als Covered Entity oder Patientenanfragen freizugeben.
  5. Stellen Sie sicher, dass die BA wird alle PHI bei Beendigung der Vereinbarung zurückgeben oder zerstören.

Was könnte sonst in einer BAA sein?

Die hier bereitgestellte BAA-Vorlage (tk Link zum PDF einfügen) ) ist verallgemeinert. Für eine echte Verwendung einer solchen Vereinbarung muss sie auf die spezifischen Anforderungen der Organisation zugeschnitten werden. Hier sind nur einige zusätzliche Überlegungen, die ein Unternehmen bei der Erstellung eines eigenen Vertrags berücksichtigen könnte.

  • Besonderheiten des Fensters zur Meldung von Verstößen. Die derzeitige HIPAA-Sprache fordert die BAs auf, Verstöße spätestens 60 Tage und „ohne unangemessene Verzögerung“ zu melden. Diese Sprache kann auf eine spezifischere Richtlinie zugeschnitten werden.
  • Anforderungen an die Vertragsverletzung. Dies hängt von der Art des Anbieters und der Dienstleistung ab.
  • Änderungen der Standardregeln für die Meldung von HIPAA-Vorfällen. Nach dem HIPAA-Gesetz müssen BAs alle „Sicherheitsvorfälle“ ihren abgedeckten Stellen melden. Dies ist ein sehr weit gefasster Begriff, der von einer gewissen Spezifität profitieren kann, um zu definieren, was ein Verstoß tatsächlich ist. Sollte es beispielsweise alle fehlgeschlagenen Versuche enthalten, sich nicht autorisiert bei einer Patientendatenbank anzumelden?
  • Bestimmungen zur Entschädigung von Verstößen. Das abgedeckte Unternehmen sollte nur für Verstöße verantwortlich sein, die tatsächlich seine Schuld sind.
Via: Wikimedia Commons

Auftragnehmer von Auftragnehmern und der BAA

Muss ein Auftragnehmer eines Auftragnehmers jede Bestimmung in Ihrer BAA befolgen ? Die Datenschutzregel scheint dies zu sagen. Die Regel besagt, dass alle Subunternehmer von Geschäftspartnern identischen Einschränkungen wie dem Geschäftspartner zustimmen müssen.

Dies bedeutet jedoch nicht, dass Ihre HIPAA Die Vereinbarung mit Geschäftspartnern gilt für den Auftragnehmer Ihres Auftragnehmers.

Subunternehmer müssen sich vielmehr an die BAA des Auftragnehmers halten.Da alle HIPAA-Vertragsformulare dieselben Grundregeln enthalten müssen (von HHS bereitgestellt), sind die Bestimmungen für alle gleich.

Melden von BAA-Verstößen

Gedeckte Unternehmen (CE) versuchen möglicherweise, diese einzubeziehen Sprache über sehr kurze Fenster zur Meldung von Verstößen in ihren Verträgen. Zum Beispiel kann ein CE Folgendes enthalten: „Der Geschäftspartner wird alle Verstöße innerhalb von drei Tagen nach dem Verstoß melden.“ Das klingt vernünftig, es sei denn, wir sind der Ansicht, dass der BA möglicherweise erst einige Tage später von dem Verstoß erfährt.

In diesem Fall hat der BA nun in völliger Unschuld gegen die HIPAA verstoßen. Für BAs ist es besser, auf eine Sprache wie „Sobald der Verstoß entdeckt wird oder hätte entdeckt werden müssen“ im Abschnitt „Benachrichtigung über Verstöße“ zu drängen.

Ihr Auftragnehmer ist nicht Ihr Rechtsvertreter

Eine HIPAA Business Associate-Vereinbarung, die Auftragnehmer oder Subunternehmer in den Status eines gesetzlichen Vertreters zwingt, ist gefährlich und unnötig. Im Falle eines Verstoßes würden die rechtlichen Konsequenzen der betreffenden Partei dann auf den Vertreter dieser Partei fallen. Mit anderen Worten, wenn Unternehmen A einen Verstoß verursacht und Unternehmen B sein Vertreter ist, teilt Unternehmen B auch die HIPAA-Strafen. Es ist am besten, eine Sprache in die BAA aufzunehmen, die ausdrücklich die Nicht-Agenten-Beziehung zwischen beiden Parteien definiert.

BAA und Cloud-Dienstanbieter

Das Zeitalter der Cloud-basierten Daten hat neue Überlegungen hervorgebracht für versicherte Unternehmen und Auftragnehmer, die einen BAA benötigen. Einige Cloud Service Provider (CSPs) haben versucht, sich der Verantwortung unter BAAs zu entziehen, indem sie bestimmte Lücken geschlossen haben.

Die Conduit-Klausel ist eine HIPAA-Bestimmung für bestimmte Unternehmen oder Personen wie Postangestellte, die E-Mails mit PHI zustellen.

Die Hausmeisterklausel ist eine weitere HIPAA-Regel, die Ausnahmen für diejenigen gewährt, deren Dienste oder Funktionen nur tangential PHI ausgesetzt sind. Zum Beispiel wäre ein Hausmeister in einem Krankenhaus von der PHI-Haftung befreit.

Die Omnibus-Regel von 2013 beseitigt diese Ausreden jedoch eindeutig, indem sie die Einhaltung in allen Unternehmen vorschreibt, die erstellt, überträgt, empfängt oder verwaltet PHI.

Schlussfolgerung

Eine BAA ist für jede Person, jedes Unternehmen oder jede andere Organisation von entscheidender Bedeutung, die PHI verarbeitet, die von einem anderen Ort stammt. Jedes Mal, wenn ein Anbieter oder Auftragnehmer einen Anbieter anstellt, der dann die PHI des Anbieters / Auftragnehmers verwaltet, müssen beide Parteien einen BAA unterzeichnen.

Dieses PDF der HIPAA-Geschäftspartnervereinbarung (tk add link) wurde aus der HHS-Version hier angepasst . Wie bei allen Business Associate Agreements werden zulässige Offenlegungen festgelegt, die Offenlegung von Verstößen gegen die HIPAA verlangt und andere Richtlinien für den Umgang mit PHI festgelegt, die von Anbietern stammen.

Ein BAA ist ein kritisches Dokument, das die betroffenen Unternehmen und Unternehmen schützt ihre Geschäftspartner gleichermaßen. Es legt auch die Haftung und die Beschränkungen für beide Parteien fest, sodass immer ein Rechtsbeistand erforderlich ist.

Finden Sie es heraus Wie viel Sie sofort sparen können. Probieren Sie unseren Online-Sparrechner aus.

Leave a Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.