HIPAA商业伙伴协议（BAA）

商業夥伴協議，也被稱為商業夥伴協議，規定了每一方有關PHI的義務。HIPAA要求受影响的企业只与保证PHI完全安全的商业伙伴合作。关联公司和BA必须以合同或其他协议的形式书面表达这些保证。除了受影响的公司外，HHS也可能审查她与BA和分包商的HIPAA合规性。为了遵守HIPAA法规，公司必须为他所做的三个等级中的每一个签订一份商业伙伴协议（BAA）。这三个等级都要负责保护PHI，所以签订协议对双方都是最好的。

• 討論商業夥伴或分包商對 PHI 的許可和規定使用。

• 业务伙伴/分包商明确表示，它将只在法律要求或本条款允许的范围内，根据协议条款使用她的个人健康保险。

• 要求商業夥伴或分包商採取合理的預防措施，以防止未經授權使用或披露健康保險。

一旦主体实体、商业伙伴和商业伙伴的分包商相互联系，必须确保第三方保护她收到的PHI。BA知道签署的协议要求安全处理PHI。

HIPAA BAA规则

隐私政策。医疗保健计划、医疗保健交换所和医疗保健提供者被认为是受隐私法规约束的企业。受保护实体将与第三方商业伙伴合作，以改善其业务，如果该商业伙伴能确保只将其PHI用于指定目的。

商业伙伴必须保护个人健康信息不被滥用和未经授权的访问，并协助有关公司遵守数据保护条例。患者有权根据本政策查看和编辑他们的信息。这必须以书面形式贯穿于商业伙伴协议。

网络安全条款。为保护电子健康保险（PHI根据本条例以电子方式存储或传输），相关组织及其业务伙伴必须采取适当的物理、技术和行政措施。以任何其他形式提交的信息，包括硬拷贝，都不包括在内。

一般规则。HITECH在2009年进行了调整，以确保商业伙伴必须遵守其HIPAA，但多线规则加强了这种偏见，并在2013年生效。一旦该规则生效，HIPAA要求其商业伙伴和供应商遵守其PHI，作为相关实体的保护和指令。所涉及的公司不代表BAA的责任。

谁应该签署BAA

任何为受保护实体工作、与受保护健康信息（PHI）互动的个人或实体都被视为业务伙伴（BA），必须签署BAA。BAA必须由与相关业务互动的企业或组织签署。提供软件解决方案的软件和初创公司在出售给医疗机构、云服务提供商、医疗医院和工作场所卫生机构时，存储、处理或传输受保护健康信息，客户的BAA。

卖家越多，情况就越复杂。例如，一家医院与100家软件供应商签订了业务关联协议（BAA）。这100家软件供应商都有自己的软件解决方案和云服务提供商，并且可能已经签署了BAA。每个利益相关者都负责确保相关协议的实施。

BAA如何与我的云供应商合作？

商业伙伴和云计算政策最初是由HHS发布的。根据HHS，云服务提供商（如AWS和Azure）在生成、接收、存储或传输PHI时，作为商业伙伴。因此，使用PHI部署云平台和应用程序的公司必须签署BAA。

由云服务提供商提供的BAA描述了云客户和云提供商对其HIPAA保护的责任。由于BAA可能只涵盖云服务的某个子集，因此BAA所涵盖的服务只存储、处理和传输PHI，这一点非常重要。为了解决可用性和安全性问题，HHS建议企业与云服务提供商签订服务水平协议（SLA）。

结论

如果一个公司是受影响的实体，与合作伙伴的商业合同对其遵守HIPAA至关重要。他的支持HIPAA的企业，如医疗服务提供者和医疗信息交流中心，要求商业伙伴和分包商之间签订商业伙伴协议，以保护PHI免受未经授权的访问。