la epidemia actual de COVID-19 tiene muchos proveedores de atención médica que recurren a la telemedicina para tratar a sus pacientes. A medida que la industria crece, los proveedores de atención médica están compartiendo más datos de pacientes, lo que significa que esta información también es compartida por sus sistemas. Para cumplir con las reglas de HIPAA, las organizaciones deben asegurarse de que sus organizaciones asociadas protejan los datos de los pacientes y mantengan su seguridad.
Las organizaciones que se comprometen a trabajar juntas como socios deben instituir acuerdos de socios comerciales (BAAs). Pero, ¿qué implica un BAA?, ¿Quién es considerado un socio comercial? ¿Quién necesita tener un BAA para cumplir con la HIPAA? ¿Qué pasa si hay una brecha?
Los BAAs son una pieza vital del sistema de seguridad de la atención médica, y hay pocas cosas críticas que debe saber antes de implementarlas.
los detalles de BAAs
de acuerdo con la regla de seguridad HIPAA, un BAA establece «estándares nacionales para proteger la información de salud personal Electrónica de las personas que es creada, recibida, utilizada o mantenida por una entidad cubierta.,»
esencialmente, el BAA es un acuerdo formal entre dos organizaciones-una » entidad cubierta «y un» socio comercial » — que estipula que ambas mantendrán la seguridad, privacidad e integridad de los datos de salud de los pacientes o su información de salud protegida (PHI).
a BAA describe qué usos de PHI están permitidos o prohibidos entre las dos partes firmadas, y qué hará cada una para garantizar que protejan y salvaguarden los datos del paciente., Las entidades cubiertas que deben firmar BAAs con socios comerciales incluyen pero no se limitan a
- médicos
- Dentistas
- clínicas
- farmacias
- HMOs
- compañías de seguros de salud
- hogares de ancianos
¿qué es un socio comercial?
La regla de Privacidad de HIPAA se aplica solo a las entidades cubiertas como las mencionadas anteriormente, que están en contacto diario con PHI. Sin embargo, hay innumerables empresas de terceros que apoyan sus servicios y actividades. Esto incluye compañías de software, compañías de almacenamiento de datos y muchas otras., Bajo HIPAA, estos son considerados «socios de negocios», y también tienen ciertas obligaciones.
el Departamento de Salud y Servicios Humanos define a un Asociado de negocios como «una persona o entidad, que no sea un miembro de la fuerza laboral de una entidad cubierta, que realiza funciones o actividades en nombre de, O proporciona ciertos Servicios a, una entidad cubierta que implica el acceso del Asociado de negocios a información de salud protegida.»
también incluye a cualquier subcontratista que produzca, almacene, use o comparta PHI en nombre de otro socio comercial.,
por ejemplo, si usted es un proveedor de atención médica que está usando Zoom para llevar a cabo servicios de telesalud, necesita tener un BAA firmado con Zoom, el Socio comercial, para transmitir PHI y cumplir con HIPAA. Otros ejemplos de socios comerciales incluyen
- Un administrador externo que lleva a cabo el procesamiento de reclamaciones para un plan de salud
- un transcriptor independiente que ayuda a un médico con servicios de transcripción
- El Administrador de beneficios de una farmacia que administra la red de Farmacéuticos de un plan de salud
¿qué pasa si se viola un BAA?,
el propósito de un BAA es proteger a las organizaciones de la responsabilidad en caso de incumplimiento. Si una de las dos partes es responsable de una violación de la PHI, entonces la BAA debería claramente responsabilizar a esa parte. No tener un BAA puede costarle a su organización no solo su reputación y la confianza de sus pacientes, sino también mucho dinero.
en 2017, se encontró que el Centro para la salud digestiva de los niños violaba la HIPAA y se vio obligado a pagar una multa de 3 31,000., Una revisión de cumplimiento de la OCR (Oficina de Derechos Civiles) reveló que el proveedor de salud había utilizado los servicios de almacenamiento de datos de un socio comercial de terceros, FileFax Inc, y ninguna compañía había firmado un BAA. La PHI de más de 10,000 personas se había compartido con FileFax, sin el BAA adecuado para el cumplimiento de HIPAA.
en otro caso de 2016, North Memorial Health Care de Minnesota, recibió una multa de hip 1.5 millones de HIPAA cuando no reveló Accretive Health Inc. como Socio de negocios., Cuando la computadora portátil de un empleado de Accretive fue robada, la PHI de casi 10,000 pacientes de North Memorial fue expuesta.
La investigación adicional reveló que no se había firmado BAA entre las dos entidades, y North Memorial tuvo que pagar el fuerte acuerdo, así como poner en marcha un plan de acción correctiva para garantizar que tal incumplimiento no pudiera suceder de nuevo.
seguir adelante con BAAs
debido a que un BAA es un acuerdo legalmente vinculante, es prudente comunicarse con un tercero que conozca BAAs y la TI / seguridad de la atención médica para garantizar que su acuerdo sea exhaustivo., Un buen BAA protegerá a ambas partes en el caso de una violación, y vale la pena invertir en un abogado que pueda garantizar que se incluya el lenguaje adecuado.
el objetivo es garantizar no solo el cumplimiento de HIPAA, sino también la seguridad de la PHI de su paciente, y su confianza en usted y su organización.