den nuværende COVID-19-epidemi har mange sundhedsudbydere henvendt sig til telemedicin for at behandle deres patienter. Efterhånden som branchen vokser, deler sundhedsudbydere flere patientdata, hvilket betyder, at disse oplysninger også deles af deres systemer. For at overholde HIPAA-reglerne skal organisationer sørge for, at deres partnerorganisationer beskytter patientdata og opretholder dens sikkerhed.
organisationer, der forpligter sig til at arbejde sammen som partnere, skal indgå business associate agreements (BAAs). Men hvad indebærer en BAA?, Hvem betragtes som en forretningsforbindelse? Hvem skal have en BAA på plads for at være HIPAA-kompatibel? Hvad sker der, hvis der er et brud?
BAAs er et vigtigt stykke af sundhedsvæsenets sikkerhedssystem, og der er få kritiske ting, du skal vide, før du sætter en på plads.
oplysningerne om BAAs
i henhold til HIPAA-Sikkerhedsreglen fastlægger en BAA “nationale standarder til beskyttelse af enkeltpersoners elektroniske personlige sundhedsoplysninger, der oprettes, modtages, bruges eller vedligeholdes af en dækket enhed.,”
i det væsentlige er BAA en formel aftale mellem to organisationer — en” dækket enhed “og en” forretningsforbindelse ” — der fastsætter, at begge vil opretholde sikkerheden, privatlivets fred og integriteten af patienternes sundhedsdata eller deres beskyttede sundhedsoplysninger (PHI).
en BAA beskriver, hvilke anvendelser af PHI der er tilladt eller forbudt mellem de to underskrevne parter, og hvad hver enkelt vil gøre for at sikre, at de beskytter og beskytter patientdata., Dækket enheder, der skal underskrive BAAs med business associerede virksomheder omfatter, men er ikke begrænset til
- Læger
- Tandlæger
- Klinikker
- Apoteker
- HMOs
- Sundhed forsikringsselskaber
- Plejehjem
Hvad er en forretningsforbindelse?
HIPAA-Privatlivsreglen gælder kun for dækkede enheder som dem, der er nævnt ovenfor, som er i daglig kontakt med PHI. Der er dog utallige tredjepartsvirksomheder, der understøtter deres tjenester og aktiviteter. Dette inkluderer soft .arevirksomheder, datalagringsfirmaer og mange andre., Under HIPAA betragtes disse som “forretningsforbindelser”, og de har også visse forpligtelser.
Department of Health and Human Services definerer en forretningsforbindelse som “en person eller enhed, bortset fra et medlem af arbejdsstyrken i en dækket enhed, der udfører funktioner eller aktiviteter på vegne af eller leverer visse tjenester til en dækket enhed, der involverer forretningsforbindelsens adgang til beskyttede sundhedsoplysninger.”
det inkluderer også enhver underleverandør, der producerer, gemmer, bruger eller deler PHI på vegne af en anden forretningsforbindelse.,
For eksempel, hvis du er en sundheds-udbyder, som ved hjælp af Zoom til at foretage telehealth-tjenester, skal du have en underskrevet BAA med Zoom — business associate — for at overføre PHI og være HIPAA-kompatibel. Andre eksempler på forretningsforbindelser inkluderer
- En tredjepart administrator, der forestår fordringer behandling for en sundhedsplan
- En uafhængig transcriptionist, der hjælper en læge med transskription tjenester
- De fordele, leder af et apotek, der administrerer apotek netværk af en sundhedsplan
Hvad hvis en BAA er overtrådt?,
formålet med en BAA er at beskytte organisationer mod ansvar i tilfælde af brud. Hvis en af de to parter er ansvarlig for et brud på PHI, bør BAA klart holde denne part ansvarlig. Ikke at have en BAA kan koste din organisation ikke bare dit omdømme og tillid hos dine patienter, men også en masse penge.i 2017 viste Center for børns fordøjelseshygiejne sig at være i strid med HIPAA og tvunget til at betale en bøde på $31.000., En OCR (Office of Civil Rights) compliance Revie.afslørede, at sundhedsudbyderen havde brugt datalagringstjenesterne fra en tredjeparts forretningsforbindelse, Filefa. Inc, og ingen af virksomhederne havde underskrevet en BAA. PHI på over 10,000 individer var blevet delt med Filefa.uden den rette BAA for HIPAA-overholdelse.
i et andet tilfælde fra 2016 modtog North Memorial Health Care of Minnesota en HIPAA-bøde på $1.5 millioner, da den ikke afslørede Accretive Health Inc. som forretningsforbindelse., Da en Akkretiv medarbejders bærbare computer blev stjålet, blev PHI fra næsten 10.000 North Memorial-patienter udsat.
yderligere undersøgelser viste, at der ikke var underskrevet nogen BAA mellem de to enheder, og North Memorial måtte betale den heftige afvikling samt indføre en korrigerende handlingsplan for at sikre, at et sådant brud ikke kunne ske igen.
Bevæger sig fremad med BAAs
Fordi en BAA er en juridisk bindende aftale, er det klogt at nå ud til en tredjemand er vidende om BAAs og healthcare-IT/sikkerhed for at sikre, at din aftale er grundig., En god BAA vil beskytte begge parter i tilfælde af brud, og det er værd at investere i en advokat, der kan sikre korrekt sprog er inkluderet.
målet er at sikre ikke kun HIPAA — overholdelse, men også sikkerheden for din patients PHI-og deres tillid til dig og din organisation.