Wat is een BAA?

admin

De huidige covid-19-epidemie heeft veel zorgverleners die telegeneeskunde gebruiken om hun patiënten te behandelen. Naarmate de sector groeit, delen zorgverleners meer patiëntgegevens, wat betekent dat deze informatie ook door hun systemen wordt gedeeld. Om te voldoen aan de HIPAA-regels, moeten organisaties ervoor zorgen dat hun partnerorganisaties patiëntgegevens beschermen en de beveiliging ervan handhaven.

organisaties die zich verbinden tot samenwerking als partners moeten business associate agreements (BAAs) instellen. Maar wat houdt een BAA in?, Wie wordt beschouwd als een zakenpartner? Wie heeft er een BAA nodig om HIPAA compliant te zijn? Wat gebeurt er als er een breuk is?

BAAs zijn een essentieel onderdeel van het gezondheidszorgbeveiligingssysteem, en er zijn weinig belangrijke dingen die u moet weten voordat u er een opzet.

de gegevens van BAAs

volgens de HIPAA-beveiligingsregel stelt een BAA “nationale normen vast om de elektronische persoonlijke gezondheidsinformatie van individuen te beschermen die door een gedekte entiteit wordt gecreëerd, ontvangen, gebruikt of onderhouden.,”

in wezen is de BAA een formele overeenkomst tussen twee organisaties — een “covered entity” en een “business associate” — waarin wordt bepaald dat beide de veiligheid, privacy en integriteit van de gezondheidsgegevens van patiënten of hun beschermde gezondheidsinformatie (Phi) zullen handhaven.

een BAA schetst welk gebruik van PHI is toegestaan of verboden tussen de twee ondertekende partijen, en wat elk zal doen om ervoor te zorgen dat zij patiëntengegevens beschermen en beschermen., Gedekte entiteiten die BAAs met zakenpartners moeten ondertekenen, omvatten, maar zijn niet beperkt tot,

  • artsen
  • tandartsen
  • klinieken
  • apotheken
  • HMOs
  • ziekteverzekeringsmaatschappijen
  • verpleeghuizen

Wat is een zakenpartner?

de HIPAA-privacyregel is alleen van toepassing op gedekte entiteiten zoals hierboven vermeld, die dagelijks contact hebben met PHI. Er zijn echter ontelbare externe bedrijven die hun diensten en activiteiten ondersteunen. Dit geldt ook voor softwarebedrijven, gegevensopslagbedrijven en vele anderen., Onder HIPAA, deze worden beschouwd als “zakenpartners,” en ze hebben bepaalde verplichtingen te.

het Department of Health and Human Services definieert een zakenpartner als ” een persoon of entiteit, niet zijnde een werknemer van een onder de overeenkomst vallende entiteit, die functies of activiteiten verricht namens, of bepaalde diensten verleent aan, een onder de overeenkomst vallende entiteit waarbij de zakenpartner toegang heeft tot beschermde gezondheidsinformatie.”

hieronder valt ook elke onderaannemer die namens een andere zakenpartner PHI produceert, opslaat, gebruikt of deelt.,

als u bijvoorbeeld een zorgverlener bent die Zoom gebruikt om telegezondheidsdiensten uit te voeren, moet u een ondertekende BAA hebben met Zoom — de zakenpartner — om PHI te verzenden en HIPAA-compliant te zijn. Andere voorbeelden van zakenpartners zijn

  • een externe beheerder die claims verwerkt voor een gezondheidsplan
  • een onafhankelijke transcriptionist die een arts helpt met transcriptiediensten
  • De benefits manager van een apotheek die het netwerk van apothekers van een gezondheidsplan beheert

wat als een BAA wordt geschonden?,

Het doel van een BAA is organisaties te beschermen tegen aansprakelijkheid in het geval van een inbreuk. Als een van beide partijen verantwoordelijk is voor een schending van de PHI, dan moet de BAA die partij duidelijk aansprakelijk stellen. Het niet hebben van een BAA kan kosten uw organisatie niet alleen uw reputatie en het vertrouwen van uw patiënten, maar ook veel geld.

in 2017 bleek het Center for Children ‘ s Digestive Health in overtreding te zijn met HIPAA en werd het gedwongen een boete van $31.000 te betalen., Een OCR (Office of Civil Rights) compliance review bleek dat de zorgaanbieder de gegevensopslagdiensten van een externe zakenpartner, FileFax Inc, had gebruikt en geen van beide bedrijven een BAA had ondertekend. De PHI van meer dan 10.000 personen was gedeeld met FileFax, zonder de juiste BAA voor HIPAA compliance.in een andere zaak uit 2016, North Memorial Health Care Of Minnesota, kreeg een HIPAA-boete van $1,5 miljoen toen het Accretive Health Inc niet openbaar maakte. als zakenpartner., Toen de laptop van een Accretieve werknemer werd gestolen, werd de PHI van bijna 10.000 North Memorial patiënten blootgesteld. uit nader onderzoek bleek dat er geen BAA was ondertekend tussen de twee entiteiten en dat North Memorial de forse schikking moest betalen en een plan met corrigerende maatregelen moest opstellen om te voorkomen dat een dergelijke inbreuk opnieuw zou plaatsvinden.

vooruit met BAAs

omdat een BAA een juridisch bindende overeenkomst is, is het verstandig om contact op te nemen met een derde partij die kennis heeft van BAAs en IT / beveiliging in de gezondheidszorg om ervoor te zorgen dat uw overeenkomst grondig is., Een goede BAA zal beide partijen beschermen in het geval van een inbreuk, en het is de moeite waard te investeren in een advocaat die kan zorgen voor de juiste taal is opgenomen.

Het doel is om niet alleen HIPAA compliance te garanderen, maar ook de veiligheid van de PHI van uw patiënt — en hun vertrouwen in u en uw organisatie.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *