在美國(guó)醫(yī)療保健行業(yè)運(yùn)營(yíng)的公司必須遵守 1996 年健康保險(xiǎn)流通與責(zé)任法案 (HIPAA) 中定義的數(shù)據(jù)安全和隱私標(biāo)準(zhǔn)。HIPAA 法規(guī)部分旨在保護(hù)個(gè)人敏感和個(gè)人醫(yī)療保健信息的隱私和安全。

本文將討論組織何時(shí)需要簽訂商業(yè)伙伴分包商協(xié)議 (BASA)。我們將了解 BASA 與商業(yè)伙伴協(xié)議 (BAA) 的區(qū)別，以及它如何保護(hù)負(fù)責(zé) HIPAA 合規(guī)性的組織。

重要術(shù)語(yǔ)

在深入研究確保 HIPAA 合規(guī)性所需的業(yè)務(wù)協(xié)議的細(xì)節(jié)之前，讓我們定義一些重要的術(shù)語(yǔ)。

受保護(hù)的健康信息和電子受保護(hù)的健康信息

受保護(hù)的健康信息 (PHI) 和電子受保護(hù)的健康信息 (ePHI) 是 HIPAA 立法旨在保護(hù)的患者數(shù)據(jù)。PHI 被定義為從一個(gè)人收集的個(gè)人可識(shí)別的健康信息，這些信息由涵蓋的實(shí)體記錄和接收。這包括可用于識(shí)別個(gè)人身份的人口統(tǒng)計(jì)和遺傳信息。

HIPAA 列出了 18 個(gè)需要保護(hù)的標(biāo)識(shí)符，包括：

• 一個(gè)病人的名字
• 除年份外的日期
• 電話號(hào)碼
• 社會(huì)安全號(hào)碼
• 電子郵件地址
• 生物特征標(biāo)識(shí)符，例如視網(wǎng)膜掃描

以電子方式傳輸或存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中的 PHI 被視為 ePHI。HIPAA 法規(guī)的某些方面僅適用于 ePHI，我們很快就會(huì)看到。

涵蓋實(shí)體 (CE)

在討論 HIPAA 合規(guī)性時(shí)，以下類型的個(gè)人和組織被視為涵蓋實(shí)體：

• 以電子方式傳輸有關(guān)索賠、福利資格和轉(zhuǎn)介授權(quán)的健康信息的醫(yī)療保健提供者，無(wú)論診所規(guī)模大小
• 健康計(jì)劃，由制定計(jì)劃的雇主管理和維護(hù)的少于 50 名成員的團(tuán)體計(jì)劃除外
• 將非標(biāo)準(zhǔn)信息處理成標(biāo)準(zhǔn)格式的醫(yī)療保健信息交換所

所有涵蓋的實(shí)體都需要遵守 HIPAA 隱私和安全規(guī)則。

商務(wù)助理 (BA)

業(yè)務(wù)伙伴是代表 CE 執(zhí)行與使用或披露 PHI 相關(guān)的職能的任何個(gè)人或組織。BA 可以參與 CE 運(yùn)營(yíng)的許多方面。BA 也可以向 CE 提供服務(wù)。

BA 的一些例子是：

• 醫(yī)療賬單公司
• 會(huì)計(jì)師
• 律師和代理人
• 備份存儲(chǔ)提供商
• IT 支持供應(yīng)商
• 協(xié)助理賠處理的第三方管理員

BA 可能會(huì)對(duì)違反 HIPAA 的行為負(fù)責(zé)。

業(yè)務(wù)助理分包商 (BAS)

商業(yè)伙伴分包商是為 BA 創(chuàng)建、傳輸或維護(hù) PHI 或 ePHI 的實(shí)體。公司可以同時(shí)成為一個(gè) CE 的 BA 和另一個(gè) BA 的 BAS。上面列出的潛在 BA 示例還涵蓋了 BAS 可以執(zhí)行的工作范圍。

對(duì)于作為 PHI 管道但與信息沒(méi)有任何直接關(guān)系的實(shí)體，存在一組有限的例外情況。互聯(lián)網(wǎng)服務(wù)提供商、美國(guó)郵政服務(wù)和其他快遞和送貨服務(wù)不被視為業(yè)務(wù)關(guān)聯(lián)分包商。

什么是 HIPAA 合規(guī)性？

兩條主要規(guī)則構(gòu)成了 HIPAA 指南的基礎(chǔ)。CE、BA 和 BAS 必須遵守這些規(guī)則以保持 HIPAA 合規(guī)性。

HIPAA 隱私規(guī)則

HIPAA 隱私規(guī)則解決了受 HIPAA 指南約束的組織對(duì) PHI 的使用和披露。該規(guī)則包括幫助患者了解其健康信息及其使用方式的標(biāo)準(zhǔn)。HIPAA 隱私規(guī)則的一個(gè)主要目標(biāo)是保護(hù)個(gè)人的健康信息，同時(shí)使其能夠有效地用于提供高質(zhì)量的醫(yī)療保健。在某些情況下，CE 可以在未經(jīng)個(gè)人授權(quán)的情況下使用和披露 PHI，例如促進(jìn)治療、付款或用于公共衛(wèi)生利益。隱私規(guī)則同樣適用于 PHI 和 ePHI。

HIPAA 安全規(guī)則

HIPAA 安全規(guī)則專門用于保護(hù) ePHI。它不適用于以書(shū)面或口頭方式傳輸?shù)?PHI。安全規(guī)則要求所有 CE 和 BA：

• 確保 ePHI 的機(jī)密性、完整性和可用性
• 實(shí)施必要的措施來(lái)檢測(cè)和保護(hù) ePHI 免受對(duì)其安全的威脅
• 防止 ePHI 被非法使用或泄露的可能性
• 證明其員工遵守安全規(guī)則

安全規(guī)則涉及電子傳輸和存儲(chǔ)的 ePHI，并且被發(fā)現(xiàn)對(duì)于解決醫(yī)療保健領(lǐng)域中使用的計(jì)算機(jī)化系統(tǒng)的興起是必要的。

HIPAA 授權(quán)的商業(yè)協(xié)議

不遵守 HIPAA 規(guī)定可能會(huì)導(dǎo)致違規(guī)實(shí)體受到嚴(yán)重的經(jīng)濟(jì)處罰。涉及 ePHI 的數(shù)據(jù)泄露還會(huì)損害組織的聲譽(yù)，并導(dǎo)致客戶和消費(fèi)者失去信心。在與 BA 合作以協(xié)助處理 PHI 和 ePHI 時(shí)，涵蓋實(shí)體需要保護(hù)自己。這種保護(hù)以 CE 與其合作伙伴之間的兩種協(xié)議形式內(nèi)置于 HIPAA 指南中。

商業(yè)伙伴協(xié)議 (BAA)

與 BA 合作以協(xié)助處理 PHI 和 ePHI 的 CE 需要簽訂稱為“業(yè)務(wù)伙伴協(xié)議”(BAA) 的業(yè)務(wù)協(xié)議，定義其角色和職責(zé)。BAA 需要由兩個(gè)組織中有權(quán)訪問(wèn) PHI 的每個(gè)人簽署。

BAA 是一份書(shū)面合同，規(guī)定了各方在保護(hù)敏感醫(yī)療保健數(shù)據(jù)方面的責(zé)任。BAA 應(yīng)制定以下準(zhǔn)則：

• BA 為 CE 存儲(chǔ)或處理 ePHI 的原因
• BA 如何使用、存儲(chǔ)和處理 ePHI
• 保證 BA 不會(huì)以協(xié)議中未明確定義的方式使用 ePHI。
• 有關(guān) BA 將如何保護(hù) ePHI 以防止數(shù)據(jù)泄露的詳細(xì)信息。

從 2016 年開(kāi)始與云服務(wù)提供商 (CSP) 合作時(shí)，需要將其他因素納入 BAA?。BAA 需要包括側(cè)重于 CSP 角色的服務(wù)水平協(xié)議 (SLA)。SLA 應(yīng)解決與使用云基礎(chǔ)設(shè)施處理 ePHI 相關(guān)的問(wèn)題。這些問(wèn)題包括：

• 系統(tǒng)可靠性和可用性
• ePHI 將如何備份和恢復(fù)
• 服務(wù)終止時(shí)ePHI將如何銷毀
• 云基礎(chǔ)設(shè)施安全責(zé)任
• ePHI 的使用、披露和保留限制

即使 BA 只能訪問(wèn)加密的 ePHI，BAA 也需要到位。

商業(yè)伙伴分包商協(xié)議 (BASA)

BA 可以決定聘用分包商來(lái)履行相關(guān)實(shí)體要求的某些職責(zé)。BA 有責(zé)任與其分包商簽訂商業(yè)伙伴分包商協(xié)議，定義他們?cè)谔幚砗捅Ｗo(hù) CE 的 ePHI 資源中的角色。BASA 的細(xì)節(jié)類似于 BAA。這兩份文件都概述了簽署人在保護(hù) ePHI 方面的責(zé)任。主要區(qū)別在于 BAA 介于 CE 和 BA 之間，而 BASA 介于 BA 和其分包商之間。在許多情況下，BA 可能有多個(gè) BASA，涵蓋處理個(gè)人敏感醫(yī)療保健數(shù)據(jù)的各個(gè)方面。

結(jié)論

在與第三方或 CSP 簽訂合同時(shí)，適用實(shí)體應(yīng)堅(jiān)持合作伙伴愿意加入 BAA。同樣，作為業(yè)務(wù)伙伴的公司在將工作分包給另一家公司時(shí)需要有 BASA。