In der aktuellen COVID-19-Epidemie wenden sich viele Gesundheitsdienstleister zur Behandlung ihrer Patienten an die Telemedizin. Während die Branche wächst, teilen Gesundheitsdienstleister mehr Patientendaten, was bedeutet, dass diese Informationen auch von ihren Systemen geteilt werden. Um die HIPAA-Regeln einzuhalten, müssen Unternehmen sicherstellen, dass ihre Partnerorganisationen Patientendaten schützen und ihre Sicherheit gewährleisten.
Organisationen, die sich zur Zusammenarbeit als Partner verpflichten, müssen Business Associate Agreements (BaaS) abschließen. Aber was bringt eine BAA mit sich?, Wer gilt als Geschäftspartner? Wer muss eine BAA haben, um HIPAA-konform zu sein? Was passiert, wenn ein Verstoß vorliegt?
BaaS sind ein wichtiger Bestandteil des Gesundheitssicherheitssystems, und es gibt nur wenige kritische Dinge, die Sie wissen müssen, bevor Sie eines einrichten.
Die Angaben von BaaS
Gemäß der HIPAA-Sicherheitsregel legt eine BAA „nationale Standards zum Schutz der elektronischen persönlichen Gesundheitsinformationen von Einzelpersonen fest, die von einer gedeckten Stelle erstellt, empfangen, verwendet oder verwaltet werden.,“
Im Wesentlichen handelt es sich bei der BAA um eine formelle Vereinbarung zwischen zwei Organisationen — einer „abgedeckten Einheit“ und einem „Geschäftspartner“—, die vorsieht, dass beide die Sicherheit, den Datenschutz und die Integrität der Gesundheitsdaten von Patienten oder ihrer geschützten Gesundheitsinformationen (PHI) gewährleisten.
Ein BAA beschreibt, welche Verwendungen von PHI zwischen den beiden unterzeichneten Parteien erlaubt oder verboten sind und was jeder tun wird, um sicherzustellen, dass er Patientendaten schützt und schützt., Zu den gedeckten Einheiten, die BaaS mit Geschäftspartnern unterzeichnen müssen, gehören unter anderem
- Ärzte
- Zahnärzte
- Kliniken
- Apotheken
- HMOs
- Krankenkassen
- Pflegeheime
Was ist ein Geschäftspartner?
Die HIPAA-Datenschutzregel gilt nur für abgedeckte Entitäten wie die oben genannten, die täglich mit PHI in Kontakt stehen. Es gibt jedoch unzählige Drittunternehmen, die ihre Dienste und Aktivitäten unterstützen. Dazu gehören Softwareunternehmen, Datenspeicherunternehmen und viele andere., Nach HIPAA gelten diese als „Geschäftspartner“ und haben auch bestimmte Verpflichtungen.
Das Department of Health and Human Services definiert einen Geschäftspartner als “ eine andere Person oder Einheit als ein Mitglied der Belegschaft einer abgedeckten Einheit, die Funktionen oder Aktivitäten im Namen einer abgedeckten Einheit ausführt oder bestimmte Dienstleistungen für eine abgedeckte Einheit erbringt, die den Zugriff des Geschäftspartners auf geschützte Gesundheitsinformationen beinhaltet.“
Es umfasst auch jeden Subunternehmer, der Produkte im Auftrag eines anderen Geschäftspartners herstellt, speichert, verwendet oder freigibt.,
Wenn Sie beispielsweise ein Gesundheitsdienstleister sind, der Zoom für die Durchführung von Telemedizindiensten verwendet, benötigen Sie eine signierte BAA mit Zoom — dem Geschäftspartner—, um PHI zu übertragen und HIPAA-konform zu sein. Weitere Beispiele für Geschäftspartner sind
- Ein Drittadministrator, der die Bearbeitung von Ansprüchen für einen Gesundheitsplan durchführt
- Ein unabhängiger Transkriptionist, der einem Arzt mit Transkriptionsdiensten hilft
- Der Benefits Manager einer Apotheke, der das Apothekennetzwerk eines Gesundheitsplans verwaltet
Was ist, wenn eine BAA verletzt wird?,
Ziel einer BAA ist es, Organisationen im Falle eines Verstoßes vor Haftung zu schützen. Wenn eine der beiden Parteien für einen Verstoß gegen PHI verantwortlich ist, sollte die BAA diese Partei eindeutig verantwortlich machen. Wenn Sie keine BAA haben, kann dies nicht nur Ihren Ruf und das Vertrauen Ihrer Patienten, sondern auch viel Geld kosten.
Im Jahr 2017 wurde festgestellt, dass das Center for Children ‚ s Digestive Health gegen HIPAA verstößt und gezwungen ist, eine Geldstrafe von 31,000 USD zu zahlen., Eine OCR-Compliance-Überprüfung (Office of Civil Rights) ergab, dass der Gesundheitsdienstleister die Datenspeicherdienste eines dritten Geschäftspartners, FileFax Inc, in Anspruch genommen hatte und keines der beiden Unternehmen eine BAA unterzeichnet hatte. Die PHI von über 10.000 Personen war mit FileFax geteilt worden, ohne die richtige BAA für HIPAA-Compliance.
In einem anderen Fall von 2016 erhielt North Memorial Health Care of Minnesota eine Geldstrafe in Höhe von 1.5 Millionen US-Dollar, als es die Accretive Health Inc.nicht offenlegte. als Geschäftspartner., Als der Laptop eines Mitarbeiters gestohlen wurde, wurde die Identität von fast 10.000 nordkoreanischen Patienten preisgegeben.
Weitere Untersuchungen ergaben, dass zwischen den beiden Unternehmen keine BAA unterzeichnet worden war und North Memorial den hohen Vergleich bezahlen und einen korrigierenden Aktionsplan erstellen musste, um sicherzustellen, dass ein solcher Verstoß nicht erneut auftreten konnte.
Fortschritte mit BaaS
Da es sich bei einer BAA um eine rechtsverbindliche Vereinbarung handelt, ist es ratsam, sich an Dritte zu wenden, die sich mit BaaS auskennen, und IT / Sicherheit im Gesundheitswesen zu gewährleisten, dass Ihre Vereinbarung gründlich ist., Eine gute BAA schützt beide Parteien im Falle eines Verstoßes, und es lohnt sich, in einen Anwalt zu investieren, der sicherstellen kann, dass die richtige Sprache enthalten ist.
Ziel ist es, nicht nur die HIPAA — Konformität, sondern auch die Sicherheit Des PHI Ihres Patienten-und dessen Vertrauen in Sie und Ihr Unternehmen-zu gewährleisten.