a actual epidemia de COVID-19 tem muitos prestadores de cuidados de saúde a recorrerem à telemedicina para tratar os seus doentes. À medida que a indústria cresce, os prestadores de cuidados de saúde estão a partilhar mais dados sobre os doentes, o que significa que esta informação é também partilhada pelos seus sistemas. Para cumprir as regras do HIPAA, as organizações precisam se certificar de que suas organizações parceiras irão proteger os dados dos pacientes e manter sua segurança.as organizações que se comprometam a trabalhar em conjunto como parceiros devem estabelecer acordos de associação comercial (BAAs). Mas o que implica um BAA?, Quem é considerado sócio de negócios? Quem precisa de um BAA para ser compatível com o HIPAA? O que acontece se houver uma brecha?
BAAs são uma peça vital do sistema de segurança da saúde, e há poucas coisas críticas que você deve saber antes de colocar um no lugar.de acordo com a regra de segurança da HIPAA, a BAA estabelece “normas nacionais para proteger as informações de saúde pessoal electrónicas que são criadas, recebidas, usadas ou mantidas por uma entidade coberta”.,”
essencialmente, o BAA é um acordo formal entre duas organizações — uma” entidade coberta “e uma” associada de negócios ” – estipulando que ambas irão manter a segurança, privacidade e integridade dos dados de saúde dos pacientes, ou suas informações de saúde protegidas (PHI).
a BAA descreve quais os usos de PHI são permitidos ou proibidos entre as duas partes assinadas, e o que cada uma fará para garantir a proteção e salvaguarda dos dados do paciente., As entidades Cobertas que têm de assinar a BAAs com associados de negócios incluem, mas não se limitam a médicos dentistas clínicas clínicas farmácias HMOs companhias de seguros de saúde lares de idosos H2 O que é uma associação de negócios?
a regra de privacidade HIPAA aplica-se apenas a entidades Cobertas como as acima mencionadas, que estão em contacto diário com a PHI. No entanto, existem inúmeras empresas terceiras que apoiam seus serviços e atividades. Isso inclui empresas de software, empresas de armazenamento de dados, e muitos outros., Segundo a HIPAA, estes são considerados “associados de negócios”, e eles também têm certas obrigações.o Departamento de Saúde e Serviços Humanos define uma associada comercial como ” uma pessoa ou entidade, que não seja membro da força de trabalho de uma entidade coberta, que desempenha funções ou actividades em nome de uma entidade coberta ou presta determinados Serviços a uma entidade coberta que envolva o acesso da Associada comercial a informações de saúde protegidas.”
também inclui qualquer subcontratante que produza, armazene, utilize ou partilhe PHI em nome de outra associada de Negócio.,
Por exemplo, se você é um provedor de saúde que está usando Zoom para conduzir serviços de saúde, você precisa ter um BAA assinado com Zoom-o Associado de negócios -, a fim de transmitir PHI e ser compatível com HIPAA. Outros exemplos de parceiros de negócios incluem
- Um terceiro administrador que realiza o processamento de pedidos de um plano de saúde
- independente transcritor que ajuda um médico com serviços de transcrição de
- Os benefícios gerente de uma farmácia que gerencia o farmacêutico rede de um plano de saúde
o Que acontece se uma BAA é violada?,
o objectivo de um BAA é proteger as organizações da responsabilidade em caso de violação. Se uma das duas partes for responsável por uma violação da PHI, a BAA deve claramente responsabilizar essa parte. Não ter um BAA pode custar à sua organização não só a sua reputação e a confiança dos seus pacientes, mas também muito dinheiro.
em 2017, o centro de saúde digestiva infantil foi encontrado em violação do HIPAA e forçado a pagar uma multa de US $31.000., Uma revisão de Conformidade da OCR (Office of Civil Rights) revelou que o provedor de saúde tinha usado os Serviços de armazenamento de dados de um associado de negócios de terceiros, FileFax Inc, e nenhuma empresa tinha assinado um BAA. O PHI de mais de 10.000 indivíduos tinha sido compartilhado com FileFax, sem a BAA adequada para a conformidade HIPAA.
em outro caso de 2016, North Memorial Health Care de Minnesota, recebeu uma multa de US $ 1,5 milhões de HIPAA quando ele não revelou a Accretive Health Inc. como sócio de negócios., Quando o laptop de um empregado Acretivo foi roubado, o PHI de cerca de 10.000 pacientes do North Memorial foi exposto. mais uma investigação revelou que nenhuma BAA tinha sido assinada entre as duas entidades, e o North Memorial teve que pagar a liquidação pesada, bem como colocar em prática um plano de medidas corretivas para garantir que tal violação não poderia acontecer novamente.porque um BAA é um acordo juridicamente vinculativo, é prudente chegar a um terceiro com conhecimento sobre a BAAs e cuidados de Saúde IT / security para garantir que o seu acordo é completo., Uma boa BAA irá proteger ambas as partes em caso de violação, e vale a pena investir em um advogado que pode garantir a linguagem adequada está incluído.
O objetivo é garantir não só a conformidade HIPAA, mas também a segurança do PHI do seu paciente — e sua confiança em você e em sua organização.