L’attuale epidemia di COVID-19 ha molti operatori sanitari che si rivolgono alla telemedicina per curare i loro pazienti. Con la crescita del settore, gli operatori sanitari condividono più dati sui pazienti, il che significa che queste informazioni sono condivise anche dai loro sistemi. Per rispettare le regole HIPAA, le organizzazioni devono assicurarsi che le organizzazioni partner proteggano i dati dei pazienti e ne mantengano la sicurezza.
Le organizzazioni che si impegnano a lavorare insieme come partner devono istituire accordi di business associate (BAAS). Ma cosa comporta un BAA?, Chi è considerato un socio in affari? Chi ha bisogno di avere un BAA in atto per essere HIPAA compliant? Cosa succede se c’è una violazione?
BaaS sono un pezzo vitale del sistema di sicurezza sanitaria, e ci sono poche cose critiche che dovete sapere prima di mettere uno in atto.
I dettagli di BaaS
Secondo la regola di sicurezza HIPAA, un BAA stabilisce “standard nazionali per proteggere le informazioni sanitarie personali elettroniche degli individui create, ricevute, utilizzate o mantenute da un’entità coperta.,”
In sostanza, il BAA è un accordo formale tra due organizzazioni — una “entità coperta” e un “socio in affari” — che stabilisce che entrambe manterranno la sicurezza, la privacy e l’integrità dei dati sanitari dei pazienti o delle loro informazioni sanitarie protette (PHI).
A BAA delinea quali usi del PHI sono consentiti o vietati tra le due parti firmate e cosa faranno ciascuna per garantire la protezione e la salvaguardia dei dati dei pazienti., Le entità coperte che devono firmare BaaS con soci in affari includono, ma non sono limitate a
- Medici
- Dentisti
- Cliniche
- Farmacie
- HMOs
- Compagnie di assicurazione sanitaria
- Case di cura
Che cos’è un socio in affari?
La regola sulla privacy HIPAA si applica solo alle entità coperte come quelle sopra menzionate, che sono in contatto quotidiano con PHI. Tuttavia, ci sono innumerevoli società terze che supportano i loro servizi e attività. Ciò include società di software, società di archiviazione dati e molti altri., Sotto HIPAA, questi sono considerati “soci in affari” e hanno anche determinati obblighi.
Il Dipartimento della Salute e dei Servizi umani definisce un socio in affari come “una persona o un’entità, diversa da un membro della forza lavoro di un’entità coperta, che svolge funzioni o attività per conto di, o fornisce determinati servizi a, un’entità coperta che comporta l’accesso da parte del socio in affari a informazioni sanitarie protette.”
Include anche qualsiasi subappaltatore che produce, memorizza, utilizza o condivide PHI per conto di un altro socio in affari.,
Ad esempio, se sei un operatore sanitario che utilizza Zoom per condurre servizi di telehealth, è necessario disporre di un BAA firmato con Zoom — il socio in affari — al fine di trasmettere PHI ed essere conforme HIPAA. Altri esempi di soci in affari includono
- Un amministratore di terze parti che conduce l’elaborazione dei reclami per un piano sanitario
- Un trascrittore indipendente che aiuta un medico con servizi di trascrizione
- Il gestore dei benefici di una farmacia che gestisce la rete di farmacista di un piano sanitario
Cosa succede se,
Lo scopo di un BAA è quello di proteggere le organizzazioni dalla responsabilità in caso di violazione. Se una delle due parti è responsabile di una violazione del PHI, allora la BAA dovrebbe chiaramente ritenere tale parte responsabile. Non avere un BAA può costare la vostra organizzazione non solo la vostra reputazione e la fiducia dei vostri pazienti, ma anche un sacco di soldi.
Nel 2017, il Centro per la salute digestiva dei bambini è stato trovato in violazione di HIPAA e costretto a pagare una multa di $31.000., Una revisione della conformità OCR (Office of Civil Rights) ha rivelato che il fornitore sanitario aveva utilizzato i servizi di archiviazione dei dati di un socio in affari di terze parti, FileFax Inc, e nessuna delle due società aveva firmato un BAA. Il PHI di oltre 10.000 individui era stato condiviso con FileFax, senza il BAA adeguato per la conformità HIPAA.
In un altro caso del 2016, North Memorial Health Care del Minnesota, ha ricevuto una multa HIPAA di $1.5 milioni quando non è stata divulgata Accretive Health Inc. come socio in affari., Quando il computer portatile di un dipendente Accretive è stato rubato, il PHI di quasi 10.000 pazienti North Memorial è stato esposto.
Ulteriori indagini hanno rivelato che nessun BAA era stato firmato tra le due entità, e North Memorial ha dovuto pagare l’accordo pesante e mettere in atto un piano d’azione correttivo per garantire che una tale violazione non potesse ripetersi.
Andare avanti con BaaS
Poiché un BAA è un accordo legalmente vincolante, è prudente contattare una terza parte informata su BaaS e sanità IT / sicurezza per garantire che il tuo accordo sia completo., Un buon BAA proteggerà entrambe le parti in caso di violazione, e vale la pena investire in un avvocato che può garantire la corretta lingua è incluso.
L’obiettivo è quello di garantire non solo la conformità HIPAA, ma anche la sicurezza del PHI del paziente — e la loro fiducia in voi e la vostra organizzazione.