Kdy je právník nebo účetní obchodním partnerem HIPAA?

Úloha obchodního partnera HIPAA je založena na službách

Mike Semel
Blog: 4Medapproved.com/HITSecurity
Twitter: @SemelConsulting

Otázka, zda je právník nebo účetní obchodním partnerem HIPAA, přímo souvisí s několika oddíly bezpečnostního rámce HIPAA pro ochranu elektronických zdravotních informací. V současné době je to ještě důležitější vzhledem ke změnám v pravidle HIPAA Business Associate a subdodavatelů v HIPAA Omnibus Final Rule, které bude uplatňováno po 23. září 2013. Stejně jako bezpečnost po 11. září, i HIPAA navždy mění podnikatelské prostředí. Už nemusíte být zdravotnickou společností, abyste byli zodpovědní za ochranu chráněných zdravotních informací (PHI). Vzhledem k tomu, že zdravotnické organizace jsou nyní více než kdy jindy zodpovědné za dodržování předpisů svými dodavateli, musí právníci a účetní zintenzivnit svou činnost a začít dodržovat předpisy HIPAA.

Obecné informace

Subjekty, na které se vztahuje HIPAA, jsou poskytovatelé zdravotní péče a plátci, kteří zpracovávají určité transakce elektronicky. Patří mezi ně lékaři, zubaři, nemocnice, kliniky, lékárny, laboratoře a pojišťovny.

„Obchodní partner“ je osoba nebo subjekt, který vykonává určité funkce nebo činnosti zahrnující používání nebo zpřístupňování chráněných zdravotních informací jménem krytého subjektu nebo pro něj poskytuje služby.

Od obchodního partnera HIPAA se vyžaduje, aby podepsal smlouvu omezující používání zdravotních informací, které používá. Souhrnné závěrečné pravidlo HIPAA vyžaduje, aby obchodní partner HIPAA dodržoval předpisy HIPAA, jako by byl zahrnutým subjektem, včetně zásad a postupů HIPAA, analýzy rizik, školení pracovníků a zabezpečení všech údajů o pacientech, které uchovává. Pravidlo dále požaduje, aby obchodní přidružený subjekt odpovídal za dodržování předpisů HIPAA všemi subdodavateli, které využívá. Mezi subdodavatele nyní patří datová centra, cloudové služby a společnosti poskytující zálohování online.

Kdo je obchodním partnerem HIPAA, je velmi důležité, protože nyní jsou za obchodní partnery považovány i společnosti, které je obsluhují, a musí dodržovat předpisy HIPAA. To znamená, že IT společnost, společnost poskytující právní software, společnost zabývající se opravou kopírek nebo sklad papíru, abychom zmínili alespoň některé z nich, budou nyní muset dodržovat předpisy HIPAA, i když nemají přímo klienty z oblasti zdravotní péče. Protože jejich klienti mají klienty z oblasti zdravotní péče, musí se řídit předpisy.

Právníci

Každý právník, jehož právní služby pro krytý subjekt zahrnují přístup k údajům o pacientech, je obchodním partnerem HIPAA. Některé právní služby, například v oblasti nemovitostí nebo smluv, nevyžadují přístup k údajům o pacientech. Jasným příkladem je obhajoba v případě pochybení, kdy jsou záznamy o pacientech vyžadovány.

Pouhé vlastnictví lékařských záznamů nečiní z advokáta obchodního partnera HIPAA. Například v případě žaloby pro zanedbání povinné péče pacient žalující svého lékaře předá své lékařské záznamy svému advokátovi. Tím se advokát žalobce nestává obchodním partnerem, protože pacient může své záznamy předat komukoli. Lékař, který je žalován, předává lékařské záznamy pacienta svému advokátovi. Tím se advokát žalovaného stává obchodním partnerem HIPAA, protože lékař je Krytým subjektem a sdílí údaje o pacientovi s někým mimo své zaměstnance.

Dallaská advokátní komora uvádí: „Konkrétně advokáti zastupující Kryté subjekty, pokud přijímají PHI od Krytého subjektu (nebo vytvářejí PHI jménem Krytého subjektu), jsou obchodními partnery. Pokud tedy zastupujete zdravotní plán, poskytovatele nebo zúčtovací středisko a přijímáte PHI od klienta, musíte s ním uzavřít smlouvu BAA. Pokud jste tak neučinili, váš klient pravděpodobně porušuje předpisy HIPAA.“ S tím souhlasí i Minnesotská státní advokátní komora: „Advokátní kanceláře, které mají přístup k chráněným zdravotním informacím, se pravděpodobně ocitnou v klasifikaci „obchodních partnerů“ podle nových pravidel HIPAA, a budou tedy podléhat novým požadavkům na ochranu soukromí, zabezpečení a oznamování narušení, kterými se řídí jejich nakládání s těmito informacemi.“

Ačkoli si právníci často myslí, že dodržování pravidel HIPAA je cvičením ve smlouvách, ve skutečnosti se jedná o cvičení v oblasti zabezpečení IT a ochrany dat. Vyžaduje, aby všechny externí IT společnosti, datová centra, dodavatelé cloudového právního softwaru, poskytovatelé e-mailů, poskytovatelé ukládání papírových záznamů, skartovací společnosti a další podepsali smlouvy o spolupráci s firmami a poskytovali služby v souladu s HIPAA.

Účetní

Účetní, který provádí audit účetnictví zdravotnických organizací, často vidí informace o pacientech. Sledují účty za léčbu, aby mohli sledovat spoluúčast pacienta, platby pojišťoven a odpisy, aby se přesvědčili, že transakce byly v účetním systému zpracovány správně. To znamená, že účetní je obchodním partnerem.

Rizika

Právníci a účetní nosí notebooky a další přenosná zařízení. Za ztrátu notebooků a pevných disků, které obsahovaly údaje o pacientech, byly vyměřeny vysoké pokuty podle zákona HIPAA. Notebooky a veškerá přenosná paměťová média by měla být zašifrována, protože pokud dojde ke ztrátě zašifrovaného zařízení, nejedná se o porušení ochrany osobních údajů, které by podléhalo ohlášení. Zařízení by měla být chráněna proti malwaru, ztrátě nebo krádeži. Pokuty se vyměřují nejen obchodnímu partnerovi, který porušil ochranu údajů pacientů, ale mohou být vyměřeny i jeho klientovi, který si ho najal.

Advokátní kancelář nebo účetní, která je obchodním partnerem, vyžaduje zásady HIPAA, zdokumentované postupy na podporu těchto zásad, analýzu rizik HIPAA a školení pracovníků pro své vedení a zaměstnance, včetně právníků a účetních. Musí zajistit, aby veškeré záznamy o pacientech v jejím softwaru pro správu případů nebo audit byly bezpečné. Nikdy nesmí posílat nezašifrované informace o pacientech e-mailem mimo firmu. Musí mít svou síť a zařízení chráněné proti malwaru a neoprávněnému přístupu. Její společnost poskytující IT podporu by měla mít certifikát HIPAA, aby znala pravidla. Může obchodovat pouze s dodavateli cloudu, datovými centry a poskytovateli online zálohování, kteří podepíší smlouvy o spolupráci s obchodními partnery a zavedou programy shody s předpisy.

Pokud právník nebo účetní nepodepíše smlouvu o spolupráci s obchodními partnery HIPAA nebo nezavede program shody s předpisy HIPAA, budou veškeré informace, které s ním budou sdíleny, představovat porušení ochrany osobních údajů. Krytý subjekt nemá jinou možnost, než si najít někoho, kdo bude dodržovat předpisy HIPAA a bude poskytovat právní zastoupení nebo účetní služby.

Mike Semel je certifikován v oblasti HIPAA a působil jako CIO v nemocnici (krytý subjekt) a poskytoval IT podporu poskytovatelům zdravotní péče (jako Business Associate.) Mike je certifikován v oblasti plánování kontinuity podnikání a podílel se na vývoji značky CompTIA Security Trustmark. Semel Consulting nabízí službu řízené shody s názvem HIPAA SOS, audity shody, analýzu bezpečnostních rizik Meaningful Use a plánování kontinuity podnikání. Další informace naleznete na adrese www.semelconsulting.com.