a jelenlegi COVID-19 járványnak sok egészségügyi szolgáltatója fordul telemedicinához betegeik kezelésére. Az iparág növekedésével az egészségügyi szolgáltatók több betegadatot osztanak meg, ami azt jelenti, hogy ezeket az információkat a rendszereik is megosztják. A HIPAA-szabályok betartásához a szervezeteknek gondoskodniuk kell arról, hogy partnerszervezeteik megvédjék a betegadatokat és megőrizzék azok biztonságát.
azoknak a szervezeteknek, amelyek vállalják, hogy partnerként együttműködnek, üzleti partneri megállapodásokat (BAAs) kell létrehozniuk. De mit jelent a BAA?, Ki tekinthető üzleti partnernek? Kinek kell egy BAA a helyén, hogy HIPAA kompatibilis legyen? Mi történik, ha megsértik?
A BAAs az egészségügyi biztonsági rendszer létfontosságú eleme,és kevés kritikus dolgot kell tudnia, mielőtt üzembe helyezné.
A BAAs adatai
a HIPAA biztonsági szabálya szerint a BAA “nemzeti szabványokat állapít meg az egyének elektronikus személyes egészségügyi adatainak védelme érdekében, amelyeket egy érintett szervezet hoz létre, kapott, használt vagy tart fenn.,”
lényegében a BAA két szervezet — egy “fedett szervezet” és egy “üzleti partner” — közötti hivatalos megállapodás, amely előírja, hogy mindkettő megőrzi a betegek egészségügyi adatainak vagy védett egészségügyi információinak (PHI) biztonságát, magánéletét és integritását.
a BAA felvázolja, hogy a két aláírt fél között milyen felhasználási módok engedélyezettek vagy tiltottak, és mit fognak tenni a betegadatok védelme és védelme érdekében., Hatálya alá tartozó ajánlatkérők, hogy alá kell írnia Főnök üzleti partnereivel közé tartoznak, de nem kizárólagosan
- az Orvosok
- Fogorvosok
- Klinikák
- Gyógyszertárak
- Hmo
- egészségbiztosító társaságok
- Ápolási otthonok
Mi is az a üzlettárs?
a HIPAA adatvédelmi szabály csak a fent említettekhez hasonló fedett entitásokra vonatkozik, amelyek napi kapcsolatban vannak a PHI-vel. Vannak azonban számtalan harmadik fél cégek, amelyek támogatják szolgáltatásaikat és tevékenységüket. Ide tartoznak a szoftvercégek, az adattároló cégek és még sokan mások., A HIPAA szerint ezeket “üzleti partnereknek” tekintik, és bizonyos kötelezettségeik is vannak.
az egészségügyi és Emberi Szolgáltatások Minisztériuma az üzleti partnert úgy határozza meg, mint ” olyan személyt vagy szervezetet, amely nem tagja a fedett szervezet munkaerejének, aki funkciókat vagy tevékenységeket végez egy fedett szervezet nevében, vagy bizonyos szolgáltatásokat nyújt egy fedett szervezet számára, amely magában foglalja az üzleti partner hozzáférését a védett egészségügyi információkhoz.”
magában foglal minden olyan alvállalkozót is, amely egy másik üzleti partner nevében gyárt, tárol, használ vagy oszt meg PHI-t.,
például, ha egy egészségügyi szolgáltató, aki Nagyítás használata, hogy végezzen telehealth szolgáltatások, kell egy aláírt BAA Zoom — a üzlettárs — annak érdekében, hogy továbbítja PHI lesz HIPAA-kompatibilis. Más példák üzlettársak include
- harmadik fél rendszergazda, aki vezeti azt állítja, feldolgozás egészségügyi terv
- Egy független átirat, aki segít egy orvos a transzkripció szolgáltatások
- Az előnyöket vezetője gyógyszertár, aki kezeli a gyógyszerész hálózat egy egészségbiztosítás
Mi van, ha egy BAA sérül?,
a BAA célja a szervezetek védelme a felelősség alól jogsértés esetén. Ha a két fél egyike felelős a PHI megsértéséért, akkor a BAA-nak egyértelműen felelősnek kell lennie. A BAA hiánya nem csak a hírneved és a betegeid bizalma, hanem sok pénzed is lehet a szervezetednek.
2017-ben megállapították, hogy a gyermekek emésztőrendszerének központja megsértette a HIPAA-t, és 31 000 dolláros bírságot kellett fizetnie., Az OCR (Office of Civil Rights) megfelelőségi vizsgálata során kiderült, hogy az egészségügyi szolgáltató harmadik fél üzleti partnerének, a FileFax Inc.-nek az adattárolási szolgáltatásait használta, és egyik vállalat sem írt alá BAA-t. A PHI több mint 10.000 egyének osztották FileFax, anélkül, hogy a megfelelő BAA HIPAA megfelelés.
egy másik esetben 2016-tól a Minnesota North Memorial Health Care 1, 5 millió dolláros HIPAA bírságot kapott, amikor nem hozta nyilvánosságra az Accretive Health Inc. mint üzlettárs., Amikor ellopták egy elismert alkalmazott laptopját, a közel 10 000 North Memorial beteg PHI-ját fedezték fel.
További vizsgálat során kiderült, hogy nem BAA került aláírásra a kettő között szervezetek, valamint Észak-Emlékmű kellett fizetnie az izmos település, valamint egy korrekciós intézkedési tervet annak érdekében, hogy ezen jogsértés nem történik meg újra.
tovább, Főnök
Mert egy BAA egy jogilag kötelező érvényű megállapodás, célszerű elérni, hogy egy harmadik fél jól tájékozott Főnök, illetve az egészségügyi IT/biztonsági annak érdekében, hogy a megállapodás alapos., Egy jó BAA védi mindkét felet jogsértés esetén, érdemes befektetni egy ügyvédbe,aki biztosítani tudja a megfelelő nyelvet.
a cél az, hogy ne csak a HIPAA megfelelést, hanem a beteg PHI — jének biztonságát is biztosítsuk-és hogy bízzanak Önben és szervezetében.