současná epidemie COVID – 19 má mnoho poskytovatelů zdravotní péče, kteří se obracejí na telemedicínu k léčbě svých pacientů. Jak průmysl roste, poskytovatelé zdravotní péče sdílejí více údajů o pacientech, což znamená, že tyto informace sdílejí také jejich systémy. Aby organizace dodržovaly pravidla HIPAA, musí se ujistit, že jejich partnerské organizace budou chránit data pacientů a udržovat jejich bezpečnost.
organizace, které se zavazují spolupracovat jako partneři, musí uzavírat obchodní přidružené dohody (BAAs). Ale co znamená BAA?, Kdo je považován za obchodního společníka? Kdo potřebuje mít BAA na místě, aby byl kompatibilní s HIPAA? Co se stane, když dojde k porušení?
BAAs jsou životně důležitým prvkem systému zdravotní bezpečnosti a existuje jen málo kritických věcí, které musíte vědět, než je uvedete na místo.
údaje o BAAs
podle bezpečnostního pravidla HIPAA stanoví BAA “ národní normy na ochranu elektronických osobních údajů jednotlivců, které jsou vytvářeny, přijímány, používány nebo udržovány krytým subjektem.,“
v Podstatě, BAA je formální dohoda mezi dvěma organizacemi — „zahrnuté subjekty“ a „obchodní partner“ — stanoví, že oba budou udržovat bezpečnost, soukromí a integrity zdraví pacientů dat, nebo jejich chráněné zdravotní informace (PHI).
a BAA nastiňuje, jaké použití PHI je povoleno nebo zakázáno mezi oběma podepsanými stranami a co každý udělá, aby zajistil ochranu a ochranu údajů o pacientech., Zahrnuty subjekty, které musí podepsat BAAs s obchodními partnery zahrnují, ale nejsou omezeny na
- Lékaři
- zubní Lékaři
- Kliniky
- Lékáren
- Základní
- Zdravotních pojišťoven
- Pečovatelské domy
Co je obchodní partner?
pravidlo ochrany osobních údajů HIPAA se vztahuje pouze na kryté subjekty, jako jsou výše uvedené subjekty, které jsou v každodenním kontaktu s PHI. Existuje však nespočet společností třetích stran, které podporují jejich služby a činnosti. To zahrnuje softwarové společnosti, společnosti pro ukládání dat a mnoho dalších., Podle HIPAA jsou tito považováni za“ obchodní partnery“ a mají také určité povinnosti.
Ministerstvo Zdravotnictví a sociálních Služeb definuje obchodní partner jako „osoba nebo subjekt, jiný než člen pracovní síly, o něž se subjekt, který vykonává funkce nebo činnosti jménem, nebo poskytuje určité služby, za něž se účetní jednotka, která zahrnuje přístup do obchodního společníka, aby chráněné zdravotní informace.“
zahrnuje také jakýkoli subdodavatel, který vyrábí, ukládá, používá nebo sdílí PHI jménem jiného obchodního společníka.,
například, pokud jste poskytovatelem zdravotní péče, který je pomocí Zoomu provádět telehealth služby, musíte mít podepsanou BAA s Zoom — společník — za účelem přenosu PHI a HIPAA kompatibilní. Další příklady obchodní partnery patří
- třetí strany správce, který provádí likvidaci pojistných událostí pro zdravotní plán
- nezávislý transcriptionist, který pomáhá lékař s přepisem služby
- výhody manažer lékárny, který spravuje lékárníka síť zdravotního plánu
Co když BAA je porušena?,
účelem BAA je chránit organizace před odpovědností v případě porušení. Pokud je jedna ze dvou stran odpovědná za porušení PHI, pak by BAA měla tuto stranu jasně zodpovídat. Nemít BAA může stát vaši organizaci nejen vaši pověst a důvěru vašich pacientů, ale také spoustu peněz.
V roce 2017, Centrum pro dětský Trávicí Zdraví bylo zjištěno, že v rozporu s HIPAA a nuceni platit $31,000 v pořádku., OCR (Kancelář Občanských Práv) kontrolu dodržování bylo zjištěno, že poskytovatel zdravotní použil ukládání dat služeb třetích stran obchodní partner, FileFax Inc, a ani společnost podepsala BAA. PHI více než 10 000 jedinců bylo sdíleno s Filefaxem, bez řádné BAA pro dodržování HIPAA.
V jiném případě, že od roku 2016, North Memorial Zdravotní Péče Minnesota, získal 1,5 milionu dolarů HIPAA fajn, když se to nepodařilo odhalit Přírůstek Health Inc. jako obchodní partner., Když byl ukraden notebook Akretivního zaměstnance, bylo odhaleno PHI téměř 10 000 pacientů North Memorial.
Další vyšetřování ukázalo, že ne BAA byla podepsána mezi dvěma subjekty, a Severní Memorial musel zaplatit tučnou vypořádání, jakož i zavést plán nápravných opatření k zajištění takové porušení nemůže stát znovu.
Pohybující se vpřed s BAAs
Protože BAA je právně závazná dohoda, je rozumné oslovit třetí strany dobře informovaný o BAAs a zdravotnictví IT/security aby zajistily, že vaše smlouva je důkladné., Dobrý BAA ochrání obě strany v případě porušení, a stojí za to investovat do právníka, který může zajistit, že je zahrnut správný jazyk.
cílem je zajistit nejen dodržování předpisů HIPAA, ale také bezpečnost PHI vašeho pacienta — a jejich důvěru ve vás a vaši organizaci.