Die US-amerikanische Health Insurance Portability and Accountability Act, besser bekannt als HIPAA, ist ein Satz des Datenschutzes und der Datensicherheit geltenden Vorschriften Abgedeckt Entitäten (wie Dienstleister im Gesundheitswesen, Gesundheits-Pläne, und Gesundheit clearinghouses), um dem safeguard-geschützten Gesundheitsinformationen (PHI).

Die Regeln des HIPAA gelten auch für Personen oder Organisationen, die arbeiten im Zusammenhang mit waren oder Erbringung von Dienstleistungen, die erfassten Personen, wie IT-Auftragnehmer, Wirtschaftsprüfer, cloud-storage-Service, fax-service-Provider, und so weiter. Unter HIPAA, der diese Einrichtungen sind bekannt als Geschäftspartner, oder BAs für kurze.

Um für ein betroffenes Unternehmen und Geschäftspartner zusammen zu arbeiten, HIPAA erfordert, dass ein Business Associate Agreement (BAA), auch bekannt als Business Associate Vertrag, muss es zwischen den beiden Parteien. Der Zweck der BAA ist, um sicherzustellen, die der Geschäftspartner werden entsprechend safeguard PHI in übereinstimmung mit den HIPAA-Richtlinien. Die BAA dient auch dazu, die explizit Aufschluss über die zulässige Verwendung und Weitergabe von PHI durch die Geschäftspartner, auf der Grundlage der Beziehung zwischen den Parteien und der Aktivitäten oder Dienstleistungen, die durchgeführt wird, durch die der Geschäftspartner.

Zusätzlich wird ein BAA sollte buchstabieren, wie ein Unternehmen Mitarbeiter Bericht und reagieren im Falle einer Verletzung der Datensicherheit, einschließlich Datenschutzverletzungen, die durch eine BA Unterauftragnehmer, und sind Angaben in Bezug auf, wie der Partner reagieren wird, um eine Untersuchung durch Das Amt für Bürgerrechte (OCR).

 

Die Unterzeichnung eines BAA garantiert nicht die Einhaltung der HIPAA-Vorschriften

Während die BAA existiert zu sichern PHI, die Vereinbarung selbst nicht garantieren, dass jede Partei ist HIPAA-konform. Daher ist es wichtig, dass die dieser Richtlinie unterliegenden Institute Tierarzt alle potentiellen Geschäftspartnern, um festzustellen, die folgenden:

  • Ihr Bewusstsein von HIPAA/HITECH Regeln
  • Ihre Risikopotenziale zu PHI und ePHI
  • Ihr Engagement-Level auf die BAA
  • Ihre Verfahren für die Risikobeurteilung zur Vermeidung einer Verletzung
  • Ihre Meldung von Verstößen gegen Verpflichtungen und Fristen
  • Ihre Liste der Subunternehmer
  • Ihre Personal-training-Richtlinien

Eine strenge überprüfung hilft die dieser Richtlinie unterliegenden Institute bewerten die möglichen Risiken von sharing PHI mit einem potenziellen Geschäftspartner. Wenn ein betroffenes Unternehmen betritt blind in ein BAA mit einem Lieferanten, ohne eine Gründliche Bewertung Ihrer Verpflichtungen zur Einhaltung der HIPAA-Vorschriften zunächst, Sie setzen Ihre Patienten in die Privatsphäre als auch Ihre eigene reputation in Gefahr. Dies könnte als „vorsätzliche Vernachlässigung“ von HHS und ist strafbar mit einer Geldstrafe von bis zu $1,5 Millionen.

In dem Fall, dass eine Verletzung Auftritt, abgedeckt Entitäten können erhalten Sie eine wesentlich geringere Geldbuße von der HHS, wenn Sie nachweisen können, dass Sie gemeinsam mit dem Partner, in der due diligence zu minimieren oder zu beheben, die Privatsphäre oder die Sicherheit Schwächen, die bereits vor Abschluss des Vertrages.

Einfach gesagt, alle Fehler, die ein Partner während einer Beziehung mit einer überdachten Einheit betrachtet werden kann, ein Versagen auf der überdachten Entitäten Teil zu.

 

3 Fragen zu Fragen, ein potenzieller Geschäftspartner

Während keineswegs eine umfassende Liste, die folgenden 3 Fragen dienen als nützlicher Ausgangspunkt für die abgedeckten Personen Suche zu prüfen, eine prospektive Geschäftspartner Verpflichtung zur Einhaltung der HIPAA-Vorschriften.

1. Wie funktioniert Ihre Organisation handle PHI?

Vor der Unterzeichnung des BAA, überdachte Entitäten sollten schauen, um zu bestimmen, wie die potenziellen Geschäftspartner erheben, speichern, verarbeiten und übertragen Sie sensible Informationen aus dem Gesundheitsbereich. Es reicht nicht, einfach Vertrauen in eine Organisation ohne herauszufinden, wie die Daten verwendet werden, während Ihres gesamten workflows und die Beschaffung von Beweis, dass Sie die notwendigen Vorsichtsmaßnahmen ergriffen werden, zu schützen PHI, in übereinstimmung mit den HIPAA-Regeln.

2. Was ist Ihre incident-Erkennung und-management-Prozess?

Es ist entscheidend, dass die dieser Richtlinie unterliegenden Institute sucht Zusicherungen von einem Geschäftspartner das Engagement für die Aufdeckung und Berichterstattung Verletzung Vorfälle, und die Zeit, die es dauert, diese zu melden. Diese Informationen können abgedeckt Entitäten, um festzustellen, ob dies würde genügend Zeit für die Durchführung eines Vorfalls assessment report und erfüllen alle rechtlichen Bundes-und staatlichen Verpflichtungen in Bezug auf die Verletzung der Antwort. HHS, zum Beispiel, erfordert die umfangreiche Meldung von Verstößen gegen Dokumentation innerhalb von nicht weniger als 60 Tage von einer PHI-Verletzung.

3. Hatten Sie irgendwelche Datenschutz-oder Sicherheitsvorfälle mit anderen überdachten Einheiten?

Überdachte Personen müssen wissen, dass Sie Vertrauen können, das Unternehmen Sie über ein Abkommen abzuschließen, und haben daher jedes Recht, zu Fragen über die Vergangenheit Verstoß gegen Störungen, die aufgetreten sein können, wenn die Zusammenarbeit mit anderen abgedeckt Entitäten.

 

Überlassen Sie es nicht zu spät

Für überdachte Entitäten, eine detaillierte überprüfung ist ein Weg zur Quantifizierung der Risiko-sharing-PHI mit potenziellen Geschäftspartnern, bevor Sie einen potenziell langen Vertrag. Wie bereits erwähnt in diesem Artikel, indem Sie blind den Abschluss einer Vereinbarung mit einem Geschäftspartner, überdachte Entitäten, stellt sich und Ihre Patienten erheblich gefährdet.

Entscheidend ist, abgedeckt Entitäten benötigen, um sicherzustellen, dass Sie eine überprüfung von Geschäftspartnern, bevor Sie Unterschreiben auf der gepunkteten Linie. Durch das durchführen von assessments nach dem BAA abgeschlossen wurde, könnte es bereits zu spät sein.

Überdachte Entitäten, die Bedenken gegenüber bestehenden Geschäftspartnern würde klug sein, starten Sie die überprüfung lieber früher als später. Dies wird uns genügend Zeit, um Ersatz zu Schritt in, wenn die aktuellen Verträge Auslaufen, sollen die Ergebnisse der Untersuchungen nicht zufriedenstellend sein.