在美國醫(yī)療保健行業(yè)運營的公司必須遵守 1996 年健康保險流通與責任法案 (HIPAA) 中定義的數(shù)據(jù)安全和隱私標準。HIPAA 法規(guī)部分旨在保護個人敏感和個人醫(yī)療保健信息的隱私和安全。

本文將討論組織何時需要簽訂商業(yè)伙伴分包商協(xié)議 (BASA)。我們將了解 BASA 與商業(yè)伙伴協(xié)議 (BAA) 的區(qū)別，以及它如何保護負責 HIPAA 合規(guī)性的組織。

重要術語

在深入研究確保 HIPAA 合規(guī)性所需的業(yè)務協(xié)議的細節(jié)之前，讓我們定義一些重要的術語。

受保護的健康信息和電子受保護的健康信息

受保護的健康信息 (PHI) 和電子受保護的健康信息 (ePHI) 是 HIPAA 立法旨在保護的患者數(shù)據(jù)。PHI 被定義為從一個人收集的個人可識別的健康信息，這些信息由涵蓋的實體記錄和接收。這包括可用于識別個人身份的人口統(tǒng)計和遺傳信息。

HIPAA 列出了 18 個需要保護的標識符，包括：

• 一個病人的名字
• 除年份外的日期
• 電話號碼
• 社會安全號碼
• 電子郵件地址
• 生物特征標識符，例如視網(wǎng)膜掃描

以電子方式傳輸或存儲在計算機系統(tǒng)中的 PHI 被視為 ePHI。HIPAA 法規(guī)的某些方面僅適用于 ePHI，我們很快就會看到。

涵蓋實體 (CE)

在討論 HIPAA 合規(guī)性時，以下類型的個人和組織被視為涵蓋實體：

• 以電子方式傳輸有關索賠、福利資格和轉介授權的健康信息的醫(yī)療保健提供者，無論診所規(guī)模大小
• 健康計劃，由制定計劃的雇主管理和維護的少于 50 名成員的團體計劃除外
• 將非標準信息處理成標準格式的醫(yī)療保健信息交換所

所有涵蓋的實體都需要遵守 HIPAA 隱私和安全規(guī)則。

商務助理 (BA)

業(yè)務伙伴是代表 CE 執(zhí)行與使用或披露 PHI 相關的職能的任何個人或組織。BA 可以參與 CE 運營的許多方面。BA 也可以向 CE 提供服務。

BA 的一些例子是：

• 醫(yī)療賬單公司
• 會計師
• 律師和代理人
• 備份存儲提供商
• IT 支持供應商
• 協(xié)助理賠處理的第三方管理員

BA 可能會對違反 HIPAA 的行為負責。

業(yè)務助理分包商 (BAS)

商業(yè)伙伴分包商是為 BA 創(chuàng)建、傳輸或維護 PHI 或 ePHI 的實體。公司可以同時成為一個 CE 的 BA 和另一個 BA 的 BAS。上面列出的潛在 BA 示例還涵蓋了 BAS 可以執(zhí)行的工作范圍。

對于作為 PHI 管道但與信息沒有任何直接關系的實體，存在一組有限的例外情況。互聯(lián)網(wǎng)服務提供商、美國郵政服務和其他快遞和送貨服務不被視為業(yè)務關聯(lián)分包商。

什么是 HIPAA 合規(guī)性？

兩條主要規(guī)則構成了 HIPAA 指南的基礎。CE、BA 和 BAS 必須遵守這些規(guī)則以保持 HIPAA 合規(guī)性。

HIPAA 隱私規(guī)則

HIPAA 隱私規(guī)則解決了受 HIPAA 指南約束的組織對 PHI 的使用和披露。該規(guī)則包括幫助患者了解其健康信息及其使用方式的標準。HIPAA 隱私規(guī)則的一個主要目標是保護個人的健康信息，同時使其能夠有效地用于提供高質量的醫(yī)療保健。在某些情況下，CE 可以在未經(jīng)個人授權的情況下使用和披露 PHI，例如促進治療、付款或用于公共衛(wèi)生利益。隱私規(guī)則同樣適用于 PHI 和 ePHI。

HIPAA 安全規(guī)則

HIPAA 安全規(guī)則專門用于保護 ePHI。它不適用于以書面或口頭方式傳輸?shù)?PHI。安全規(guī)則要求所有 CE 和 BA：

• 確保 ePHI 的機密性、完整性和可用性
• 實施必要的措施來檢測和保護 ePHI 免受對其安全的威脅
• 防止 ePHI 被非法使用或泄露的可能性
• 證明其員工遵守安全規(guī)則

安全規(guī)則涉及電子傳輸和存儲的 ePHI，并且被發(fā)現(xiàn)對于解決醫(yī)療保健領域中使用的計算機化系統(tǒng)的興起是必要的。

HIPAA 授權的商業(yè)協(xié)議

不遵守 HIPAA 規(guī)定可能會導致違規(guī)實體受到嚴重的經(jīng)濟處罰。涉及 ePHI 的數(shù)據(jù)泄露還會損害組織的聲譽，并導致客戶和消費者失去信心。在與 BA 合作以協(xié)助處理 PHI 和 ePHI 時，涵蓋實體需要保護自己。這種保護以 CE 與其合作伙伴之間的兩種協(xié)議形式內置于 HIPAA 指南中。

商業(yè)伙伴協(xié)議 (BAA)

與 BA 合作以協(xié)助處理 PHI 和 ePHI 的 CE 需要簽訂稱為“業(yè)務伙伴協(xié)議”(BAA) 的業(yè)務協(xié)議，定義其角色和職責。BAA 需要由兩個組織中有權訪問 PHI 的每個人簽署。

BAA 是一份書面合同，規(guī)定了各方在保護敏感醫(yī)療保健數(shù)據(jù)方面的責任。BAA 應制定以下準則：

• BA 為 CE 存儲或處理 ePHI 的原因
• BA 如何使用、存儲和處理 ePHI
• 保證 BA 不會以協(xié)議中未明確定義的方式使用 ePHI。
• 有關 BA 將如何保護 ePHI 以防止數(shù)據(jù)泄露的詳細信息。

從 2016 年開始與云服務提供商 (CSP) 合作時，需要將其他因素納入 BAA?。BAA 需要包括側重于 CSP 角色的服務水平協(xié)議 (SLA)。SLA 應解決與使用云基礎設施處理 ePHI 相關的問題。這些問題包括：

• 系統(tǒng)可靠性和可用性
• ePHI 將如何備份和恢復
• 服務終止時ePHI將如何銷毀
• 云基礎設施安全責任
• ePHI 的使用、披露和保留限制

即使 BA 只能訪問加密的 ePHI，BAA 也需要到位。

商業(yè)伙伴分包商協(xié)議 (BASA)

BA 可以決定聘用分包商來履行相關實體要求的某些職責。BA 有責任與其分包商簽訂商業(yè)伙伴分包商協(xié)議，定義他們在處理和保護 CE 的 ePHI 資源中的角色。BASA 的細節(jié)類似于 BAA。這兩份文件都概述了簽署人在保護 ePHI 方面的責任。主要區(qū)別在于 BAA 介于 CE 和 BA 之間，而 BASA 介于 BA 和其分包商之間。在許多情況下，BA 可能有多個 BASA，涵蓋處理個人敏感醫(yī)療保健數(shù)據(jù)的各個方面。

結論

在與第三方或 CSP 簽訂合同時，適用實體應堅持合作伙伴愿意加入 BAA。同樣，作為業(yè)務伙伴的公司在將工作分包給另一家公司時需要有 BASA。