HIPAA商业伙伴协议(BAA)
商業夥伴協議,也被稱為商業夥伴協議,規定了每一方有關PHI的義務。HIPAA要求受影响的企业只与保证PHI完全安全的商业伙伴合作。关联公司和BA必须以合同或其他协议的形式书面表达这些保证。除了受影响的公司外,HHS也可能审查她与BA和分包商的HIPAA合规性。为了遵守HIPAA法规,公司必须为他所做的三个等级中的每一个签订一份商业伙伴协议(BAA)。这三个等级都要负责保护PHI,所以签订协议对双方都是最好的。
- 討論商業夥伴或分包商對 PHI 的許可和規定使用。
-
业务伙伴/分包商明确表示,它将只在法律要求或本条款允许的范围内,根据协议条款使用她的个人健康保险。
-
要求商業夥伴或分包商採取合理的預防措施,以防止未經授權使用或披露健康保險。
一旦主体实体、商业伙伴和商业伙伴的分包商相互联系,必须确保第三方保护她收到的PHI。BA知道签署的协议要求安全处理PHI。
HIPAA BAA规则
隐私政策。医疗保健计划、医疗保健交换所和医疗保健提供者被认为是受隐私法规约束的企业。受保护实体将与第三方商业伙伴合作,以改善其业务,如果该商业伙伴能确保只将其PHI用于指定目的。
商业伙伴必须保护个人健康信息不被滥用和未经授权的访问,并协助有关公司遵守数据保护条例。患者有权根据本政策查看和编辑他们的信息。这必须以书面形式贯穿于商业伙伴协议。
网络安全条款。为保护电子健康保险(PHI根据本条例以电子方式存储或传输),相关组织及其业务伙伴必须采取适当的物理、技术和行政措施。以任何其他形式提交的信息,包括硬拷贝,都不包括在内。
一般规则。HITECH在2009年进行了调整,以确保商业伙伴必须遵守其HIPAA,但多线规则加强了这种偏见,并在2013年生效。一旦该规则生效,HIPAA要求其商业伙伴和供应商遵守其PHI,作为相关实体的保护和指令。所涉及的公司不代表BAA的责任。
谁应该签署BAA
任何为受保护实体工作、与受保护健康信息(PHI)互动的个人或实体都被视为业务伙伴(BA),必须签署BAA。BAA必须由与相关业务互动的企业或组织签署。提供软件解决方案的软件和初创公司在出售给医疗机构、云服务提供商、医疗医院和工作场所卫生机构时,存储、处理或传输受保护健康信息,客户的BAA。
卖家越多,情况就越复杂。例如,一家医院与100家软件供应商签订了业务关联协议(BAA)。这100家软件供应商都有自己的软件解决方案和云服务提供商,并且可能已经签署了BAA。每个利益相关者都负责确保相关协议的实施。
BAA如何与我的云供应商合作?
商业伙伴和云计算政策最初是由HHS发布的。根据HHS,云服务提供商(如AWS和Azure)在生成、接收、存储或传输PHI时,作为商业伙伴。因此,使用PHI部署云平台和应用程序的公司必须签署BAA。
由云服务提供商提供的BAA描述了云客户和云提供商对其HIPAA保护的责任。由于BAA可能只涵盖云服务的某个子集,因此BAA所涵盖的服务只存储、处理和传输PHI,这一点非常重要。为了解决可用性和安全性问题,HHS建议企业与云服务提供商签订服务水平协议(SLA)。
结论
如果一个公司是受影响的实体,与合作伙伴的商业合同对其遵守HIPAA至关重要。他的支持HIPAA的企业,如医疗服务提供者和医疗信息交流中心,要求商业伙伴和分包商之间签订商业伙伴协议,以保护PHI免受未经授权的访问。