数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究为什么您的托管服务提供商不签署 HIPAA BAA?
越来越多的医疗保健机构转向外部承包商寻求帮助,以管理医疗保健运营产生的海量受保护健康信息 (PHI)。随着最近的黑客攻击和数据泄露事件达到令人恐惧的程度,人们对敏感患者数据安全和隐私的担忧日益加剧。
应实施强大的 BAA 以确保安全、隐私和合规性,以应对这一威胁。任何有权访问 PHI 的第三方服务提供商都必须与覆盖实体签署 BAA,以符合 HIPAA 规定。
什么是 HIPAA BAA?
HIPAA 业务关联协议 (BAA) 是一种合同,HIPAA 覆盖的企业及其业务合作伙伴或分包商签订此合同,并规定提供给业务合作伙伴的 PHI 类型以及业务合作伙伴对 PHI 的允许使用和披露。
只有当第三方服务提供商需要访问 PHI 以代表覆盖实体执行服务时,该第三方服务提供商才被视为 HIPAA 业务合作伙伴。云存储公司、电子邮件加密服务、网络托管服务、计费服务、IT 承包商、律师和会计师是一些潜在业务合作伙伴的示例。
由于它们是具有法律约束力的合同,因此获得律师、安全官或 HIPAA 合规性解决方案的帮助来管理 HIPAA BAA 非常重要。如果您决定使用 HIPAA BAA 模板,请确保它适合您的业务,并且您可以对其进行修改。
覆盖组织和业务关联方都将受益于全面且最新的 BAA,因为他们将就如何维护、传输和处理 PHI 达成一致。
对符合 HIPAA 标准的托管的需求
这通常包括一套用于以下方面的指南和资源:
保护实际服务器 - 您托管帐户或网站中的所有信息都存储在服务器上。必须保护这些服务器以防止实际盗窃。
保护存储的数据 - 在您的主机服务器上实施的一组安全机制,以防止病毒、黑客和其他威胁。
数据传输安全 - 每当传输个人数据时,连接都必须进行端到端加密。
数据泄露通知 - 如果发生数据泄露,必须记录有关事件的信息,包括其严重性。
为什么托管服务提供商不想签署它?
适用于供应商和分包商 BAA 的新 HIPAA BAA 要求于 2013 年 1 月生效。如果 PHI 由客户加密并且仅由供应商存储,有些人可能会争辩说 HIPAA 法律不适用于供应商或托管服务提供商。实际上,无法保证客户在将任何 PHI 数据发送到托管服务之前已正确加密这些数据。投诉主要是在新的综合规则实施之前引发合规性审计。
政府目前正试图更积极主动地审计特定公司,包括与处理或存储 PHI 的供应商合作的公司。以前模糊的规则现在有了定义和违规处罚,例如罚款,罚款可能从 $50,000 到 $150 万不等。
仍然有很多云公司将自己视为 PHI 的管道 (PHI)。他们认为自己的工作更像是邮递员。他们无法访问数据;他们只是将其传递给其他人。如果数据已加密且无法解密,或者如果他们从未接触过真实的 PHI 数据,则云服务提供商将声称 HIPAA 标准不适用于他们,并可能拒绝签署 BAA。
结论
保护患者也是一个崇高的目标。因此,识别您的敌人并采取措施阻止他们非常重要。任何在医疗保健行业工作的人员都应避开不愿签署 BAA 的云提供商。由于新的 HIPAA 综合规则明确将业务关联方定义为代表覆盖实体创建、接收、维护或传输 PHI 的任何人,因此他们实际上拒绝遵守规定。他们拒绝分担确保 HIPAA 合规性的责任,这会给您的业务带来您无法承受的风险。
219 次查看
