obecna epidemia COVID-19 ma wielu świadczeniodawców zwracających się do telemedycyny w celu leczenia swoich pacjentów. W miarę rozwoju branży pracownicy służby zdrowia udostępniają więcej danych o pacjentach, co oznacza, że informacje te są również udostępniane przez ich systemy. Aby zachować zgodność z zasadami HIPAA, organizacje muszą upewnić się, że ich organizacje partnerskie będą chronić dane pacjentów i utrzymywać ich bezpieczeństwo.
organizacje, które zobowiązują się do współpracy jako partnerzy, muszą zawrzeć umowy o współpracy biznesowej (Business associate agreement, BAAs). Ale z czym wiąże się BAA?, Kto jest uważany za partnera biznesowego? Kto musi mieć BAA w miejscu być zgodny HIPAA? Co się stanie,jeśli dojdzie do naruszenia?
BAAs są istotnym elementem systemu bezpieczeństwa opieki zdrowotnej i jest kilka krytycznych rzeczy, które musisz wiedzieć, zanim je wdrożysz.
dane dotyczące BAAs
zgodnie z zasadą bezpieczeństwa HIPAA, BAA ustanawia „krajowe standardy ochrony elektronicznych informacji zdrowotnych osób fizycznych, które są tworzone, otrzymywane, wykorzystywane lub utrzymywane przez podmiot objęty ochroną.,”
zasadniczo, BAA jest formalną umową między dwiema organizacjami – „podmiotem objętym ubezpieczeniem” i ” partnerem biznesowym — – przewidującą, że obie będą utrzymywać bezpieczeństwo, prywatność i integralność danych zdrowotnych pacjentów lub ich chronionych informacji zdrowotnych (PHI).
, Podmioty objęte ubezpieczeniem, które muszą podpisać BAAs ze współpracownikami biznesowymi, to między innymi
- lekarze
- stomatolodzy
- kliniki
- apteki
- HMO
- zakłady ubezpieczeń zdrowotnych
- domy opieki
Co to jest wspólnik biznesowy?
reguła prywatności HIPAA dotyczy tylko podmiotów objętych ochroną, takich jak wymienione powyżej, które są w codziennym kontakcie z PHI. Istnieją jednak niezliczone firmy zewnętrzne, które wspierają ich usługi i działania. Dotyczy to firm programistycznych, firm zajmujących się przechowywaniem danych i wielu innych., W ramach HIPAA są oni uważani za „współpracowników biznesowych” i mają również pewne obowiązki.
Departament Zdrowia i usług ludzkich definiuje partnera biznesowego jako „osobę lub podmiot, inny niż członek personelu podmiotu objętego ubezpieczeniem, który wykonuje funkcje lub działania w imieniu lub świadczy pewne usługi na rzecz podmiotu objętego ubezpieczeniem, który obejmuje dostęp przez partnera biznesowego do chronionych informacji zdrowotnych.”
obejmuje również każdego podwykonawcę, który produkuje, przechowuje, wykorzystuje lub udostępnia PHI w imieniu innego wspólnika biznesowego.,
na przykład, jeśli jesteś świadczeniodawcą, który korzysta z usługi Zoom do świadczenia usług telezdrowia, musisz mieć podpisane BAA z Zoom — partnerem biznesowym — w celu przekazywania PHI i zgodności z HIPAA. Inne przykłady współpracowników biznesowych to
- administrator zewnętrzny, który prowadzi przetwarzanie roszczeń w ramach planu zdrowotnego
- niezależny transcriptionist, który pomaga lekarzowi w usługach transkrypcyjnych
- kierownik ds. świadczeń w aptece, który zarządza siecią farmaceutów planu zdrowotnego
co w przypadku naruszenia BAA?,
celem BAA jest ochrona organizacji przed odpowiedzialnością w przypadku naruszenia. Jeżeli jedna z dwóch stron jest odpowiedzialna za naruszenie PHI, wówczas BAA powinien wyraźnie pociągnąć tę stronę do odpowiedzialności. Nie posiadanie BAA może kosztować organizację nie tylko reputację i zaufanie pacjentów, ale także dużo pieniędzy.
, Kontrola zgodności z OCR (Office of Civil Rights) ujawniła, że dostawca usług zdrowotnych korzystał z usług przechowywania danych zewnętrznego wspólnika biznesowego, FileFax Inc, i żadna firma nie podpisała BAA. PHI ponad 10 000 osób zostało udostępnione FileFax, bez odpowiedniego BAA dla zgodności z HIPAA.
w innym przypadku z 2016 roku, North Memorial Health Care Of Minnesota, otrzymał 1,5 miliona dolarów grzywny HIPAA, gdy nie ujawnił Accretive Health Inc. jako wspólnik biznesowy., Kiedy skradziono laptopa Akretywnego pracownika, PHI prawie 10 000 pacjentów North Memorial zostało ujawnione.
dalsze dochodzenie ujawniło, że między dwoma podmiotami nie doszło do podpisania umowy o partnerstwie gospodarczym, a North Memorial musiał zapłacić sporą ugodę, a także wdrożyć plan działań naprawczych, aby zapewnić, że takie naruszenie nie może się powtórzyć.
idąc dalej z BAAs
ponieważ BAA jest prawnie wiążącą umową, rozsądnie jest skontaktować się z osobą trzecią posiadającą wiedzę na temat BAAs i opieki zdrowotnej IT / bezpieczeństwa, aby upewnić się, że Twoja umowa jest dokładna., Dobry BAA ochroni obie strony w przypadku naruszenia prawa. warto zainwestować w prawnika, który zapewni poprawność językową.
celem jest zapewnienie nie tylko zgodności z HIPAA, ale także bezpieczeństwa PHI twojego pacjenta — i jego zaufania do Ciebie i Twojej organizacji.