den nuvarande covid-19-epidemin har många vårdgivare som vänder sig till telemedicin för att behandla sina patienter. När industrin växer delar vårdgivare mer patientdata, vilket innebär att denna information också delas av sina system. För att följa HIPAA-reglerna måste organisationer se till att deras partnerorganisationer skyddar patientdata och upprätthåller säkerheten.
organisationer som förbinder sig att arbeta tillsammans som partners måste upprätta affärsassocierade avtal (BAAs). Men vad innebär en BAA?, Vem anses vara en affärspartner? Vem behöver ha en BAA på plats för att vara HIPAA-kompatibel? Vad händer om det finns en överträdelse?
BAAs är en viktig del av hälso-och sjukvårdssystemet, och det finns få kritiska saker du måste veta innan du sätter en på plats.
uppgifterna om BAAs
enligt HIPAA: s säkerhetsregel fastställer en BAA ”nationella standarder för att skydda individers elektroniska personuppgifter som skapas, mottas, används eller upprätthålls av en täckt enhet.,”
i huvudsak är BAA ett formellt avtal mellan två organisationer — en ”täckt enhet” och en ”affärspartner” — som föreskriver att båda kommer att upprätthålla säkerheten, integriteten och integriteten hos patienternas hälsodata eller deras skyddade hälsoinformation (PHI).
en BAA beskriver vilka användningsområden för PHI som är tillåtna eller förbjudna mellan de två undertecknade parterna, och vad var och en kommer att göra för att säkerställa att de skyddar och skyddar patientdata., Täckta enheter som måste underteckna BAAs med affärsbekanta inkluderar men är inte begränsade till
- läkare
- Tandläkare
- kliniker
- Apotek
- HMOs
- sjukförsäkringsbolag
- vårdhem
vad är en affärspartner?
HIPAA: s Integritetsregel gäller endast för täckta enheter som de som nämns ovan, som är i daglig kontakt med PHI. Det finns dock otaliga tredjepartsföretag som stöder sina tjänster och aktiviteter. Detta inkluderar mjukvaruföretag, datalagringsföretag och många andra., Under HIPAA betraktas dessa som ”affärsbekanta”, och de har också vissa skyldigheter.
avdelningen för hälso-och mänskliga tjänster definierar ett affärsförbund som ”en person eller enhet, annan än en anställd i en täckt enhet, som utför funktioner eller aktiviteter för, eller tillhandahåller vissa tjänster till, en täckt enhet som innebär att affärsförbundet får tillgång till skyddad hälsoinformation.”
den innehåller också alla underleverantörer som producerar, lagrar, använder eller delar PHI på uppdrag av en annan affärspartner.,
om du till exempel är en vårdgivare som använder Zoom för att utföra telehealth — tjänster måste du ha en signerad BAA med Zoom — business associate-för att kunna överföra PHI och vara HIPAA-kompatibel. Andra exempel på affärsförbund är
- en tredjepartsadministratör som utför Skadebehandling för en hälsoplan
- en oberoende transkriptionist som hjälper en läkare med transkriptionstjänster
- förmånshanteraren för ett apotek som hanterar apoteksnätverket för en hälsoplan
vad händer om en BAA bryts?,
syftet med en BAA är att skydda organisationer från ansvar i händelse av brott. Om en av de två parterna är ansvarig för ett brott mot PHI, bör BAA tydligt hålla den parten ansvarig. Att inte ha en BAA kan kosta din organisation inte bara ditt rykte och dina patienters förtroende utan också mycket pengar.
i 2017 konstaterades Centrum för barns matsmältnings hälsa vara i strid med HIPAA och tvingades betala en $31,000 böter., En OCR (Office of Civil Rights) compliance review visade att vårdgivaren hade använt datalagringstjänster hos en tredje part business associate, FileFax Inc, och inget av företagen hade undertecknat en BAA. PHI över 10,000 individer hade delats med FileFax, utan rätt BAA för HIPAA överensstämmelse.
i ett annat fall från 2016, North Memorial Health Care of Minnesota, fick en $ 1.5 miljoner HIPAA böter när det misslyckades med att avslöja Accretive Health Inc. som affärspartner., När den bärbara datorn hos en Ackretiv anställd stulits, exponerades PHI på nästan 10 000 North Memorial-patienter.
ytterligare undersökning visade att ingen BAA hade undertecknats mellan de två enheterna, och North Memorial var tvungen att betala den rejäla uppgörelsen samt införa en korrigerande handlingsplan för att säkerställa att ett sådant brott inte kunde hända igen.
gå vidare med BAAs
eftersom en BAA är ett rättsligt bindande avtal är det klokt att nå ut till en tredje part som är kunnig om BAAs och hälso-och IT/säkerhet för att säkerställa att ditt avtal är grundligt., En bra BAA kommer att skydda båda parter vid brott, och det är värt att investera i en advokat som kan säkerställa korrekt språk ingår.
målet är att säkerställa inte bara HIPAA — överensstämmelse utan också säkerheten hos din patients PHI-och deras förtroende för dig och din organisation.