Mikor minősül egy ügyvéd vagy könyvelő HIPAA üzleti társultnak?

A HIPAA üzleti társult szerepe a szolgáltatásokon alapul

By Mike Semel
Blog: 4Medapproved.com/HITSecurity
Twitter: 4Medapproved.com/HITSecurity
Twitter: A kérdés, hogy egy ügyvéd vagy egy könyvelő HIPAA üzleti partner-e, közvetlenül kapcsolódik az elektronikus egészségügyi információk védelmét szolgáló HIPAA Security Ruleframework több szakaszához. Ez ma még fontosabb a HIPAA üzleti társult és alvállalkozói változások miatt a HIPAA Omnibus Final Rule-ban, amely 2013. szeptember 23. után lép hatályba. A 9/11 utáni biztonsághoz hasonlóan a HIPAA is örökre megváltoztatja az üzleti életet. Már nem kell egészségügyi vállalatnak lennie ahhoz, hogy felelős legyen a védett egészségügyi információk (PHI) védelméért.

Háttér

Az egészségügyi szervezetek most minden eddiginél nagyobb felelősséggel tartoznak a szállítóik megfelelőségéért, az ügyvédeknek és a könyvelőknek fel kell lépniük, és meg kell felelniük a HIPAA-nak.

Háttér

A HIPAA Covered Entities olyan egészségügyi szolgáltatók és kifizetők, amelyek bizonyos tranzakciókat elektronikusan dolgoznak fel. Ide tartoznak az orvosok, fogorvosok, kórházak, klinikák, gyógyszertárak, laboratóriumok és biztosítótársaságok.

A “üzleti társult” olyan személy vagy szervezet, amely bizonyos funkciókat vagy tevékenységeket végez, amelyek védett egészségügyi információk felhasználásával vagy közzétételével járnak az érintett jogalany nevében, vagy szolgáltatásokat nyújt neki.

A HIPAA üzleti társultnak megállapodást kell aláírnia az általa felhasznált egészségügyi információk felhasználásának korlátozásáról. A HIPAA Omnibus Final Rule előírja, hogy a HIPAA üzleti társult vállalkozásnak úgy kell megfelelnie a HIPAA-nak, mintha az érintett szervezet lenne, beleértve a HIPAA-irányelveket és -eljárásokat, a kockázatelemzést, a munkaerő képzését és az általa tárolt betegadatok biztonságát. A szabály továbbá előírja, hogy az üzleti társult vállalkozásnak felelősséget kell vállalnia az általa alkalmazott alvállalkozók HIPAA-megfelelőségéért. Az alvállalkozók közé tartoznak mostantól az adatközpontok, a felhőszolgáltatások és az online biztonsági mentést végző cégek.

Az, hogy ki a HIPAA üzleti társult, nagyon fontos, mert mostantól az őket kiszolgáló cégek is üzleti társultnak minősülnek, és meg kell felelniük a HIPAA-nak. Ez azt jelenti, hogy egy informatikai cégnek, egy jogi szoftvereket nyújtó cégnek, egy fénymásoló-javító cégnek vagy egy papírtároló raktárnak, hogy csak néhányat említsünk, mostantól meg kell felelnie a HIPAA-nak, még akkor is, ha közvetlenül nem rendelkeznek egészségügyi ügyfelekkel. Mivel ügyfeleiknek egészségügyi ügyfeleik vannak, nekik is meg kell felelniük.

Az ügyvédek

Minden olyan ügyvéd, akinek az érintett szervezet számára nyújtott jogi szolgáltatásai betegadatokhoz való hozzáféréssel járnak, HIPAA-üzlettársnak minősül. Egyes jogi szolgáltatások, például az ingatlanügyek vagy a szerződések nem igényelnek hozzáférést a betegadatokhoz. A műhiba elleni védelem egyértelmű példa arra, amikor a betegadatokra szükség van.

Az orvosi feljegyzések puszta birtoklása nem teszi az ügyvédet HIPAA üzleti társult taggá. Például egy műhibaperben az orvosát beperlő beteg átadja orvosi feljegyzéseit az ügyvédjének. Ez nem teszi a felperes ügyvédjét üzleti társult taggá, mivel a beteg bárkinek átadhatja a feljegyzéseit. A beperelt orvos átadja a beteg egészségügyi dokumentációját az ügyvédjének. Ez az alperes ügyvédjét HIPAA üzleti társulttá teszi, mivel az orvos fedezett szervezet, és a beteg adatait megosztja valakivel a munkatársain kívül.”

A Dallas Bar Association szerint: “Konkrétan, a fedezett szervezeteket képviselő ügyvédek, amennyiben PHI-t kapnak a fedezett szervezettől (vagy PHI-t állítanak elő a fedezett szervezet nevében), üzleti társultnak minősülnek. Ezért ha Ön egy egészségügyi tervet, szolgáltatót vagy elszámolóházat képvisel, és PHI-t kap az ügyféltől, BAA-t kell kötnie az ügyféllel. Ha ezt nem tette meg, akkor ügyfele valószínűleg megsérti a HIPAA-t”. A Minnesota Állami Ügyvédi Kamara egyetért: “A védett egészségügyi információkhoz hozzáférő ügyvédi irodák az új HIPAA-szabályok értelmében valószínűleg “üzleti partnereknek” minősülnek majd, és ezért az ilyen információk kezelésére vonatkozó új adatvédelmi, biztonsági és jogsértés-bejelentési követelmények vonatkoznak rájuk.”

Míg az ügyvédek gyakran azt gondolják, hogy a HIPAA-megfelelés a szerződések gyakorlása, valójában az informatikai biztonság és az adatvédelem gyakorlása. Ez megköveteli, hogy minden kiszervezett informatikai vállalat, adatközpont, felhőalapú jogi szoftverszolgáltató, e-mail szolgáltató, papíralapú iratok tárolását végző szolgáltató, iratmegsemmisítő cég és mások üzleti társulási megállapodásokat írjanak alá, és HIPAA-konform szolgáltatásokat nyújtsanak.

A könyvelők

Az egészségügyi szervezetek könyvelését auditáló könyvelő gyakran lát betegadatokat. Nyomon követik a kezelési számlákat, hogy nyomon követhessék a beteg önrészét, a biztosítási kifizetéseket és a leírásokat, hogy meggyőződhessenek arról, hogy a tranzakciókat megfelelően kezelték-e a könyvelési rendszerben. Ez azt jelenti, hogy a könyvelő üzleti társultnak minősül.

Kockázatok

Az ügyvédek és könyvelők laptopokat és más hordozható eszközöket hordoznak maguknál. Nagy HIPAA-bírságokat szabtak ki a betegadatokat tartalmazó laptopok és merevlemezek elvesztése miatt. A laptopokat és minden hordozható adathordozót titkosítani kell, mert ha egy titkosított eszköz elveszik, az nem minősül jelentendő adatvédelmi incidensnek. Az eszközöket védeni kell a rosszindulatú szoftverek, elvesztés vagy lopás ellen. A bírságok nemcsak a betegadatokat megsértő üzleti társult vállalkozást sújtják, hanem az őket megbízó ügyfelet is.

Az üzleti társult vállalkozásnak minősülő ügyvédi irodának vagy könyvelőnek HIPAA-irányelvekre, az irányelveket alátámasztó dokumentált eljárásokra, HIPAA-kockázatelemzésre, valamint a vezetőség és a személyzet – beleértve az ügyvédeket és a könyvelőket is – munkaerő-képzésére van szüksége. Meg kell győződnie arról, hogy az esetkezelő vagy könyvvizsgáló szoftverében lévő betegnyilvántartások biztonságosak. Soha nem küldhet titkosítatlan betegadatokat e-mailben a cégen kívülre. Hálózatát és eszközeit védeni kell a rosszindulatú szoftverek és az illetéktelen hozzáférés ellen. Az informatikai támogató cégnek HIPAA-tanúsítvánnyal kell rendelkeznie, hogy ismerje a szabályokat. Csak olyan felhőszolgáltatókkal, adatközpontokkal és online biztonsági másolat-szolgáltatókkal köthet üzletet, amelyek aláírják az üzleti társulási megállapodásokat és végrehajtják a megfelelőségi programokat.

Ha egy ügyvéd vagy könyvelő nem írja alá a HIPAA üzleti társulási megállapodást vagy nem hajtja végre a HIPAA-megfelelőséget, akkor a vele megosztott bármilyen információ adatvédelmi incidensnek minősül. Az Érintett szervezetnek nincs más választása, mint hogy találjon valakit, aki megfelel a HIPAA-nak, hogy jogi képviseletet vagy könyvelési szolgáltatásokat nyújtson.

Mike Semel rendelkezik HIPAA-tanúsítvánnyal, és volt egy kórház (Érintett szervezet) informatikai igazgatója, valamint nyújtott informatikai támogatást egészségügyi szolgáltatóknak (üzleti társult félként). Mike tanúsítvánnyal rendelkezik az üzletmenet-folytonosság tervezésében, és segített a CompTIA Security Trustmark kidolgozásában. A Semel Consulting HIPAA SOS néven menedzselt megfelelőségi szolgáltatást, megfelelőségi auditokat, Meaningful Use biztonsági kockázatelemzést és üzletmenet-folytonossági tervezést kínál. További információért látogasson el a www.semelconsulting.com weboldalra.