在美国医疗保健行业运营的公司必须遵守1996年健康保险流通与责任法案(HIPAA)中定义的数据安全和隐私标准。HIPAA法规部分旨在保护个人敏感和个人医疗保健信息的隐私和安全。
本文将讨论组织何时需要签订商业伙伴分包商协议(BASA)。我们将了解BASA与商业伙伴协议(BAA)的区别,以及它如何保护负责HIPAA合规性的组织。
重要术语
在深入研究确保HIPAA合规性所需的业务协议的细节之前,让我们定义一些重要的术语。
受保护的健康信息和电子受保护的健康信息
受保护的健康信息(PHI)和电子受保护的健康信息(ePHI)是HIPAA立法旨在保护的患者数据。PHI被定义为从一个人收集的个人可识别的健康信息,这些信息由涵盖的实体记录和接收。这包括可用于识别个人身份的人口统计和遗传信息。
HIPAA列出了18个需要保护的标识符,包括:
-
一个病人的名字
除年份外的日期
电话号码
社会安全号码
电子邮件地址
生物特征标识符,例如视网膜扫描
以电子方式传输或存储在计算机系统中的PHI被视为ePHI。HIPAA法规的某些方面仅适用于ePHI,我们很快就会看到。
涵盖实体(CE)
在讨论HIPAA合规性时,以下类型的个人和组织被视为涵盖实体:
-
以电子方式传输有关索赔、福利资格和转介授权的健康信息的医疗保健提供者,无论诊所规模大小
健康计划,由制定计划的雇主管理和维护的少于50名成员的团体计划除外
将非标准信息处理成标准格式的医疗保健信息交换所
所有涵盖的实体都需要遵守HIPAA隐私和安全规则。
商务助理(BA)
业务伙伴是代表CE执行与使用或披露PHI相关的职能的任何个人或组织。BA可以参与CE运营的许多方面。BA也可以向CE提供服务。
BA的一些例子是:
-
医疗账单公司
会计师
律师和代理人
备份存储提供商
IT支持供应商
协助理赔处理的第三方管理员
BA可能会对违反HIPAA的行为负责。
业务助理分包商(BAS)
商业伙伴分包商是为BA创建、传输或维护PHI或ePHI的实体。公司可以同时成为一个CE的BA和另一个BA的BAS。上面列出的潜在BA示例还涵盖了BAS可以执行的工作范围。
对于作为PHI管道但与信息没有任何直接关系的实体,存在一组有限的例外情况。互联网服务提供商、美国邮政服务和其他快递和送货服务不被视为业务关联分包商。
什么是HIPAA合规性?
两条主要规则构成了HIPAA指南的基础。CE、BA和BAS必须遵守这些规则以保持HIPAA合规性。
HIPAA隐私规则
HIPAA隐私规则解决了受HIPAA指南约束的组织对PHI的使用和披露。该规则包括帮助患者了解其健康信息及其使用方式的标准。HIPAA隐私规则的一个主要目标是保护个人的健康信息,同时使其能够有效地用于提供高质量的医疗保健。在某些情况下,CE可以在未经个人授权的情况下使用和披露PHI,例如促进治疗、付款或用于公共卫生利益。隐私规则同样适用于PHI和ePHI。
HIPAA安全规则
HIPAA安全规则专门用于保护ePHI。它不适用于以书面或口头方式传输的PHI。安全规则要求所有CE和BA:
-
确保ePHI的机密性、完整性和可用性
实施必要的措施来检测和保护ePHI免受对其安全的威胁
防止ePHI被非法使用或泄露的可能性
证明其员工遵守安全规则
安全规则涉及电子传输和存储的ePHI,并且被发现对于解决医疗保健领域中使用的计算机化系统的兴起是必要的。
HIPAA授权的商业协议
不遵守HIPAA规定可能会导致违规实体受到严重的经济处罚。涉及ePHI的数据泄露还会损害组织的声誉,并导致客户和消费者失去信心。在与BA合作以协助处理PHI和ePHI时,涵盖实体需要保护自己。这种保护以CE与其合作伙伴之间的两种协议形式内置于HIPAA指南中。
商业伙伴协议(BAA)
与BA合作以协助处理PHI和ePHI的CE需要签订称为“业务伙伴协议”(BAA)的业务协议,定义其角色和职责。BAA需要由两个组织中有权访问PHI的每个人签署。
BAA是一份书面合同,规定了各方在保护敏感医疗保健数据方面的责任。BAA应制定以下准则:
-
BA为CE存储或处理ePHI的原因
BA如何使用、存储和处理ePHI
保证BA不会以协议中未明确定义的方式使用ePHI。
有关BA将如何保护ePHI以防止数据泄露的详细信息。
从2016年开始与云服务提供商(CSP)合作时,需要将其他因素纳入BAA。BAA需要包括侧重于CSP角色的服务水平协议(SLA)。SLA应解决与使用云基础设施处理ePHI相关的问题。这些问题包括:
-
系统可靠性和可用性
ePHI将如何备份和恢复
服务终止时ePHI将如何销毁
云基础设施安全责任
ePHI的使用、披露和保留限制
即使BA只能访问加密的ePHI,BAA也需要到位。
商业伙伴分包商协议(BASA)
BA可以决定聘用分包商来履行相关实体要求的某些职责。BA有责任与其分包商签订商业伙伴分包商协议,定义他们在处理和保护CE的ePHI资源中的角色。BASA的细节类似于BAA。这两份文件都概述了签署人在保护ePHI方面的责任。主要区别在于BAA介于CE和BA之间,而BASA介于BA和其分包商之间。在许多情况下,BA可能有多个BASA,涵盖处理个人敏感医疗保健数据的各个方面。
结论
在与第三方或CSP签订合同时,适用实体应坚持合作伙伴愿意加入BAA。同样,作为业务伙伴的公司在将工作分包给另一家公司时需要有BASA。
本文来源:https://www.yuntue.com/post/91632.html | 云服务器网,转载请注明出处!
微信扫一扫打赏
支付宝扫一扫打赏
