数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究HIPAA 业务关联协议 (BAA)
业务伙伴协议,也称为业务关联协议,规定了各方关于 PHI 的义务。HIPAA 要求受影响的企业只能与能够保证 PHI 完全安全的业务伙伴合作。关联公司和 BA 必须以合同或其他协议的形式书面表达这些保证。除了受影响的公司外,HHS 也可能审查其与 BA 和分包商的 HIPAA 合规性。为了遵守 HIPAA 规定,公司必须为其所做的三个级别中的每一个签订业务关联协议 (BAA)。所有三个级别都负责保护 PHI,因此协议对双方都是最有利的。
根据 HHS 的说法,业务伙伴/分包商协议必须包含以下信息:
讨论业务伙伴或分包商对 PHI 的许可和必需用途。
业务伙伴/分包商明确表示,它仅在法律要求或本条款允许的范围内,并根据协议条款使用其 PHI。
要求业务伙伴或分包商采取合理的预防措施,以防止 PHI 的未经授权使用或披露;
一旦主体实体、业务伙伴和业务伙伴的分包商相互关联,确保第三方保护其收到的 PHI 至关重要。BA 了解已签署的协议,要求安全处理 PHI。
HIPAA BAA 规则
隐私政策:医疗计划、医疗结算机构和医疗提供者被认为是受隐私法规约束的企业。如果业务伙伴能够确保其仅出于指定目的使用其 PHI,则受保护实体将与第三方业务伙伴合作以改善其业务。
业务伙伴必须保护 PHI 免受滥用和未经授权的访问,并协助相关公司遵守数据保护法规。患者有权根据本政策查看和编辑其信息。这必须在整个业务伙伴协议中以书面形式体现。
网络安全条款:为了保护 ePHI(根据本法规,PHI 以电子方式存储或传输),相关组织及其业务伙伴必须采取适当的物理、技术和管理措施。以任何其他形式提交的信息,包括纸质副本,均不包括在内。
一般规则:HITECH 在 2009 年进行了调整,以确保业务伙伴必须遵守其 HIPAA,但多线规则加强了这种偏见,并于 2013 年生效。一旦规则生效,HIPAA 要求其业务伙伴和供应商遵守其 PHI,这受到保护并作为相关实体的指令。相关公司不代表 BAA 负责。
谁应该签署 BAA?
任何为受保护实体工作并与受保护健康信息 (PHI) 交互的人或实体都被视为业务伙伴 (BA),并且必须签署 BAA。BAA 必须由与相关企业互动的企业或组织签署。当向医疗提供者、云服务提供商、医疗医院和工作场所健康机构销售软件解决方案时,提供软件解决方案的软件和初创公司会存储、处理或传输受保护的健康信息,并且客户的 BAA 信号。
销售商越多,情况就越复杂。例如,一家医院与 100 家软件供应商签订了业务关联协议 (BAA)。这 100 家软件供应商都有自己的软件解决方案和云服务提供商,并且可能已经签署了 BAA。每个利益相关者都有责任确保实施相关的协议。
BAA 如何与我的云提供商合作?
业务伙伴和云计算政策最初由 HHS 发布。根据 HHS 的说法,云服务提供商(例如 AWS 和 Azure)在生成、接收、存储或传输 PHI 时充当业务伙伴。因此,使用 PHI 部署云平台和应用程序的公司必须签署 BAA。
云服务提供商提供的 BAA 描述了云客户和云提供商对其 HIPAA 保护的责任。由于 BAA 可能只涵盖某些云服务的子集,因此重要的是,BAA 涵盖的服务仅存储、处理和传输 PHI。为了解决可用性和安全问题,HHS 建议企业与云服务提供商签订服务级别协议 (SLA)。
结论
如果公司是受影响的实体,则与合作伙伴签订的商业合同对其 HIPAA 合规性至关重要。其支持 HIPAA 的业务,例如医疗提供者和医疗结算机构,需要业务伙伴和分包商之间签订业务伙伴协议,以保护 PHI 免受未经授权的访问。
浏览量:127
