En Raison de l’épidémie actuelle de COVID-19, de nombreux prestataires de soins de santé se tournent vers la télémédecine pour traiter leurs patients. À mesure que l’industrie se développe, les fournisseurs de soins de santé partagent davantage de données sur les patients, ce qui signifie que ces informations sont également partagées par leurs systèmes. Pour se conformer aux règles HIPAA, les organisations doivent s’assurer que leurs organisations partenaires protégeront les données des patients et maintiendront leur sécurité.
les organisations qui s’engagent à travailler ensemble en tant que partenaires doivent conclure des accords d’association d’affaires. Mais qu’est-ce qu’un BAA implique?, Qui est considéré comme un associé d’affaires? Qui doit avoir un BAA en place pour être conforme à la HIPAA? Qu’advient-il si il y a une violation?
Les BAAs sont un élément essentiel du système de sécurité des soins de santé, et il y a peu de choses essentielles que vous devez savoir avant de les mettre en place.
les détails de BAAs
selon la règle de sécurité HIPAA, un BAA établit « des normes nationales pour protéger les renseignements personnels électroniques sur la santé des individus qui sont créés, reçus, utilisés ou maintenus par une entité couverte., »
essentiellement, le BAA est un accord formel entre deux organisations — une” entité couverte « et un” associé d’affaires » — stipulant que les deux maintiendront la sécurité, la confidentialité et l’intégrité des données de santé des patients, ou de leurs informations de santé protégées (PHI).
un BAA décrit quelles utilisations de PHI sont autorisées ou interdites entre les deux parties signées, et ce que chacune fera pour s’assurer qu’elles protègent et protègent les données des patients., Les entités couvertes qui doivent signer des BAA avec des associés d’affaires comprennent, mais ne sont pas limitées à
- médecins
- Dentistes
- cliniques
- Pharmacies
- HMO
- compagnies D’assurance maladie
- maisons de retraite
Qu’est-ce qu’un associé d’affaires?
La règle de confidentialité HIPAA s’applique uniquement aux entités couvertes comme celles mentionnées ci-dessus, qui sont en contact quotidien avec PHI. Cependant, il existe d’innombrables sociétés tierces qui soutiennent leurs services et leurs activités. Cela inclut les sociétés de logiciels, les sociétés de stockage de données et bien d’autres., En vertu de HIPAA, ceux-ci sont considérés comme des « associés d’affaires”, et ils ont certaines obligations aussi.
le Ministère de la santé et des Services sociaux définit un associé d’affaires comme « une personne ou une entité, autre qu’un membre du personnel d’une entité visée, qui exerce des fonctions ou des activités pour le compte d’une entité visée ou fournit certains services à cette entité qui implique l’accès de l’associé d’affaires »
Il comprend également tout sous-traitant qui produit, stocke, utilise ou partage PHI pour le compte d’un autre associé.,
par exemple, si vous êtes un fournisseur de soins de santé qui utilise Zoom pour fournir des services de télésanté, vous devez avoir un BAA signé avec Zoom — l’associé d’affaires — afin de transmettre PHI et être conforme à HIPAA. D’autres exemples d’associés d’affaires incluent
- Un administrateur tiers qui effectue le traitement des demandes de règlement pour un régime de santé
- un transcripteur indépendant qui aide un médecin avec des services de transcription
- Le Gestionnaire des avantages sociaux d’une pharmacie qui gère le réseau de pharmaciens d’un régime de santé
que se passe-t-il si,
Le but d’un BAA est de protéger les organisations de la responsabilité en cas de violation. Si l’une des deux parties est responsable d’une violation de PHI, alors la BAA devrait clairement tenir cette partie responsable. Ne pas avoir un BAA peut coûter à votre organisation non seulement votre réputation et la confiance de vos patients, mais aussi beaucoup d’argent.
en 2017, Le Centre pour la santé Digestive des enfants a été jugé en violation de L’HIPAA et contraint de payer une amende de 31 000$., Un examen de conformité OCR (Office of Civil Rights) a révélé que le fournisseur de soins de santé avait utilisé les services de stockage de données d’un associé commercial tiers, FileFax Inc, et qu’aucune des deux sociétés n’avait signé de BAA. Le PHI de plus de 10 000 personnes avait été partagé avec FileFax, sans le BAA approprié pour la conformité HIPAA.
dans une autre affaire de 2016, North Memorial Health Care du Minnesota, a reçu une amende HIPAA de 1,5 million de dollars lorsqu’elle n’a pas divulgué Accretive Health Inc. comme un associé d’affaires., Lorsque l’ordinateur portable d’un employé Accretive a été volé, le PHI de près de 10 000 patients de North Memorial a été exposé.
Une enquête plus approfondie a révélé qu’aucun BAA n’avait été signé entre les deux entités, et North Memorial a dû payer le lourd règlement ainsi que mettre en place un plan de mesures correctives pour s’assurer qu’une telle violation ne pouvait plus se reproduire.
aller de l’avant avec BAAs
parce qu’un BAA est un accord juridiquement contraignant, il est prudent de contacter un tiers connaissant BAAs et healthcare IT / security pour s’assurer que votre accord est complet., Un bon BAA protégera les deux parties en cas de violation, et il vaut la peine d’investir dans un avocat qui peut s’assurer que le langage approprié est inclus.
l’objectif est d’assurer non seulement la conformité HIPAA, mais aussi la sécurité de L’ISP de votre patient — et leur confiance en vous et votre organisation.