Quando un avvocato o un commercialista è un Business Associate HIPAA?

Il ruolo di Business Associate HIPAA si basa sui servizi

Di Mike Semel
Blog: 4Medapproved.com/HITSecurity
Twitter: @SemelConsulting

La domanda su un avvocato o un commercialista che sia un Business Associate HIPAA è direttamente collegata a diverse sezioni del regolamento di sicurezza HIPAA per proteggere le informazioni sanitarie elettroniche. È ancora più importante oggi con i cambiamenti HIPAA Business Associate e subappaltatore nella HIPAA Omnibus Final Rule che sarà applicata dopo il 23 settembre 2013. Proprio come la sicurezza dopo l’11 settembre, l’HIPAA sta cambiando il panorama aziendale per sempre. Non è più necessario essere un’azienda sanitaria per essere responsabile della protezione delle informazioni sanitarie protette (PHI). Con le organizzazioni sanitarie ora più che mai responsabili della conformità dei loro fornitori, gli avvocati e i contabili devono farsi avanti e diventare conformi all’HIPAA.

Sfondo

HIPAA Covered Entities sono fornitori e pagatori di assistenza sanitaria che elaborano determinate transazioni elettronicamente. Questi includono medici, dentisti, ospedali, cliniche, farmacie, laboratori e compagnie di assicurazione.

Un “Business Associate” è una persona o entità che svolge determinate funzioni o attività che comportano l’uso o la divulgazione di informazioni sanitarie protette per conto di, o fornisce servizi a, una Covered Entity.

A HIPAA Business Associate è richiesto di firmare un accordo che limita l’uso delle informazioni sanitarie che utilizza. La HIPAA Omnibus Final Rule richiede che un HIPAA Business Associate si conformi all’HIPAA come se fosse un’Entità Inclusa, comprese le politiche e le procedure HIPAA, un’analisi dei rischi, la formazione del personale e la sicurezza dei dati dei pazienti che memorizza. La regola è andata oltre per richiedere che un Business Associate deve essere responsabile della conformità HIPAA di qualsiasi subappaltatore che utilizza. I subappaltatori ora includono i data center, i servizi cloud e le società di backup online.

Chi è un Business Associate HIPAA è molto importante perché ora le aziende che li servono sono anche considerate Business Associate e devono rispettare l’HIPAA. Questo significa che un’azienda IT, un’azienda che fornisce software legale, un’azienda che ripara fotocopiatrici, o un magazzino di stoccaggio della carta, solo per citarne alcune, ora dovranno rispettare l’HIPAA anche se non hanno direttamente clienti di assistenza sanitaria. Poiché i loro clienti hanno clienti di assistenza sanitaria, devono conformarsi.

Avvocati

Qualunque avvocato i cui servizi legali per un’entità coperta coinvolgono l’accesso ai dati dei pazienti è un Business Associate HIPAA. Alcuni servizi legali come la proprietà immobiliare o i contratti non richiedono l’accesso ai dati dei pazienti. La difesa per negligenza è un chiaro esempio in cui sono richieste le cartelle cliniche dei pazienti.

Il solo possesso di cartelle cliniche non fa di un avvocato un Business Associate HIPAA. Per esempio, in una causa per negligenza, il paziente che fa causa al suo medico dà la sua cartella clinica al suo avvocato. Questo non rende l’avvocato del querelante un Business Associate, perché il paziente può dare la sua cartella a chiunque. Il medico citato in giudizio dà la cartella clinica del paziente al suo avvocato. Questo rende l’avvocato del convenuto un Business Associate HIPAA perché il medico è un’Entità Inclusa e sta condividendo i dati del paziente con qualcuno al di fuori della sua forza lavoro.

La Dallas Bar Association dice: “In particolare, gli avvocati che rappresentano Entità Inclusa, se ricevono PHI dall’Entità Inclusa (o producono PHI per conto dell’Entità Inclusa), sono Business Associate. Pertanto, se rappresentate un piano sanitario, un fornitore o una stanza di compensazione e ricevete PHI dal cliente, dovete stipulare un BAA con il cliente. Se non l’avete fatto, il vostro cliente è probabilmente in violazione dell’HIPAA”. La Minnesota State Bar Association è d’accordo: “Gli studi legali con accesso alle informazioni sanitarie protette probabilmente si troveranno classificati come “business associates” sotto le nuove regole HIPAA e quindi soggetti a nuovi requisiti di privacy, sicurezza e notifica delle violazioni che regolano la loro gestione di tali informazioni.”

Mentre gli avvocati spesso pensano che la conformità HIPAA sia un esercizio di contratti, in realtà è un esercizio di sicurezza informatica e protezione dei dati. Richiede che tutte le aziende IT in outsourcing, i data center, i fornitori di software legali basati su cloud, i fornitori di posta elettronica, i fornitori di archiviazione di documenti cartacei, le aziende di triturazione e altri firmino accordi di associazione commerciale e forniscano servizi conformi all’HIPAA.

Contabili

Un contabile che controlla i libri delle organizzazioni sanitarie vede spesso le informazioni dei pazienti. Tracciano le fatture dei trattamenti per seguire il co-pay del paziente, i pagamenti dell’assicurazione e le cancellazioni, per vedere se le transazioni sono state gestite correttamente nel sistema contabile. Questo significa che il contabile è un Business Associate.

Rischi

Avvocati e contabili portano con sé computer portatili e altri dispositivi portatili. Grandi multe HIPAA sono state valutate per la perdita di computer portatili e dischi rigidi che contenevano dati dei pazienti. I computer portatili e tutti i supporti di archiviazione portatili dovrebbero essere crittografati perché se un dispositivo crittografato viene perso, non è una violazione dei dati segnalabile. I dispositivi devono essere protetti da malware, perdita o furto. Le multe non sono solo valutate a un associato commerciale che viola i dati dei pazienti, ma possono anche essere valutate al loro cliente che li ha assunti.

Uno studio legale o contabile che è un associato commerciale richiede politiche HIPAA, procedure documentate per sostenere le politiche, un’analisi dei rischi HIPAA, e la formazione della forza lavoro per la sua gestione e il personale, compresi gli avvocati e i contabili. Deve assicurarsi che tutte le registrazioni dei pazienti nel suo software di gestione dei casi o di revisione siano sicure. Non deve mai inviare via e-mail informazioni sui pazienti non criptate al di fuori dello studio. Deve avere la sua rete e i suoi dispositivi protetti da malware e accessi non autorizzati. La sua azienda di supporto informatico deve essere certificata HIPAA in modo da conoscere le regole. Può fare affari solo con fornitori di cloud, data center e fornitori di backup online che firmeranno accordi di associazione commerciale e implementeranno programmi di conformità.

Se un avvocato o un commercialista non firmerà un accordo di associazione commerciale HIPAA o implementerà la conformità HIPAA, qualsiasi informazione condivisa con lui sarà una violazione dei dati. Una Covered Entity non ha altra scelta che trovare qualcuno che sia conforme all’HIPAA per fornire rappresentanza legale o servizi di contabilità.

Mike Semel è certificato in HIPAA ed è stato il CIO per un ospedale (Covered Entity) e ha fornito supporto IT per fornitori di assistenza sanitaria (come Business Associate.) Mike è certificato nella pianificazione della Business Continuity e ha aiutato a sviluppare il CompTIA Security Trustmark. Semel Consulting offre un servizio di conformità gestito chiamato HIPAA SOS, audit di conformità, analisi del rischio di sicurezza per l’uso significativo e pianificazione della continuità aziendale. Visita www.semelconsulting.com per maggiori informazioni.