在美国医疗保健行业运营的公司必须遵守1996年健康保险流通与责任法案(HIPAA)中定义的数据安全和隐私标准。HIPAA法规部分旨在保护个人敏感和个人医疗保健信息的隐私和安全。
本文将讨论组织何时需要签订商业伙伴分包商协议(BASA)。我们将了解BASA与商业伙伴协议(BAA)的区别,以及它如何保护负责HIPAA合规性的组织。
在深入研究确保HIPAA合规性所需的业务协议的细节之前,让我们定义一些重要的术语。
受保护的健康信息和电子受保护的健康信息
受保护的健康信息(PHI)和电子受保护的健康信息(ePHI)是HIPAA立法旨在保护的患者数据。PHI被定义为从一个人收集的个人可识别的健康信息,这些信息由涵盖的实体记录和接收。这包括可用于识别个人身份的人口统计和遗传信息。
HIPAA列出了18个需要保护的标识符,包括:
以电子方式传输或存储在计算机系统中的PHI被视为ePHI。HIPAA法规的某些方面仅适用于ePHI,我们很快就会看到。
在讨论HIPAA合规性时,以下类型的个人和组织被视为涵盖实体:
所有涵盖的实体都需要遵守HIPAA隐私和安全规则。
业务伙伴是代表CE执行与使用或披露PHI相关的职能的任何个人或组织。BA可以参与CE运营的许多方面。BA也可以向CE提供服务。
商业伙伴分包商是为BA创建、传输或维护PHI或ePHI的实体。公司可以同时成为一个CE的BA和另一个BA的BAS。上面列出的潜在BA示例还涵盖了BAS可以执行的工作范围。
对于作为PHI管道但与信息没有任何直接关系的实体,存在一组有限的例外情况。互联网服务提供商、美国邮政服务和其他快递和送货服务不被视为业务关联分包商。
两条主要规则构成了HIPAA指南的基础。CE、BA和BAS必须遵守这些规则以保持HIPAA合规性。
HIPAA隐私规则解决了受HIPAA指南约束的组织对PHI的使用和披露。该规则包括帮助患者了解其健康信息及其使用方式的标准。HIPAA隐私规则的一个主要目标是保护个人的健康信息,同时使其能够有效地用于提供高质量的医疗保健。在某些情况下,CE可以在未经个人授权的情况下使用和披露PHI,例如促进治疗、付款或用于公共卫生利益。隐私规则同样适用于PHI和ePHI。
HIPAA安全规则专门用于保护ePHI。它不适用于以书面或口头方式传输的PHI。安全规则要求所有CE和BA:
安全规则涉及电子传输和存储的ePHI,并且被发现对于解决医疗保健领域中使用的计算机化系统的兴起是必要的。
不遵守HIPAA规定可能会导致违规实体受到严重的经济处罚。涉及ePHI的数据泄露还会损害组织的声誉,并导致客户和消费者失去信心。在与BA合作以协助处理PHI和ePHI时,涵盖实体需要保护自己。这种保护以CE与其合作伙伴之间的两种协议形式内置于HIPAA指南中。
与BA合作以协助处理PHI和ePHI的CE需要签订称为“业务伙伴协议”(BAA)的业务协议,定义其角色和职责。BAA需要由两个组织中有权访问PHI的每个人签署。
BAA是一份书面合同,规定了各方在保护敏感医疗保健数据方面的责任。BAA应制定以下准则:
从2016年开始与云服务提供商(CSP)合作时,需要将其他因素纳入BAA?。BAA需要包括侧重于CSP角色的服务水平协议(SLA)。SLA应解决与使用云基础设施处理ePHI相关的问题。这些问题包括:
即使BA只能访问加密的ePHI,BAA也需要到位。
BA可以决定聘用分包商来履行相关实体要求的某些职责。BA有责任与其分包商签订商业伙伴分包商协议,定义他们在处理和保护CE的ePHI资源中的角色。BASA的细节类似于BAA。这两份文件都概述了签署人在保护ePHI方面的责任。主要区别在于BAA介于CE和BA之间,而BASA介于BA和其分包商之间。在许多情况下,BA可能有多个BASA,涵盖处理个人敏感医疗保健数据的各个方面。
在与第三方或CSP签订合同时,适用实体应坚持合作伙伴愿意加入BAA。同样,作为业务伙伴的公司在将工作分包给另一家公司时需要有BASA。
本文来源:国外服务器--什么是BASA合规协议(合规协议是什么意思)
本文地址:https://www.idcbaba.com/guowai/4897.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 1919100645@qq.com 举报,一经查实,本站将立刻删除。
