Wanneer is een advocaat of accountant een HIPAA Business Associate?

HIPAA Business Associate Role is Based on Services

Door Mike Semel
Blog: 4Medapproved.com/HITSecurity
Twitter: @SemelConsulting

De vraag of een advocaat of een accountant een HIPAA Business Associate is, houdt rechtstreeks verband met verschillende secties van het HIPAA Security Ruleframework ter bescherming van elektronische gezondheidsinformatie. Het is vandaag de dag zelfs nog belangrijker met de HIPAA Business Associate en subcontractor wijzigingen in de HIPAA Omnibus Final Rule die na 23 september 2013 van kracht zal worden. Net als de beveiliging na 9/11, verandert de HIPAA het zakelijke landschap voorgoed. Je hoeft niet langer een bedrijf in de gezondheidszorg te zijn om verantwoordelijk te zijn voor de bescherming van Protected Health Information (PHI). Nu organisaties in de gezondheidszorg meer dan ooit verantwoordelijk zijn voor de naleving van hun leveranciers, moeten advocaten en accountants hun verantwoordelijkheid nemen en compliant worden met HIPAA.

Achtergronden

HIPAA Covered Entities zijn zorgaanbieders en betalers die bepaalde transacties elektronisch verwerken. Hieronder vallen artsen, tandartsen, ziekenhuizen, klinieken, apotheken, laboratoria en verzekeringsmaatschappijen.

Een “Business Associate” is een persoon of entiteit die bepaalde functies of activiteiten uitvoert waarbij beschermde gezondheidsinformatie wordt gebruikt of bekendgemaakt namens, of diensten verleent aan, een Covered Entity.

Een HIPAA Business Associate is verplicht een overeenkomst te ondertekenen die het gebruik van de gezondheidsinformatie die hij gebruikt, beperkt. De HIPAA Omnibus Final Rule vereist dat een HIPAA Business Associate voldoet aan de HIPAA alsof het een Covered Entity is, inclusief HIPAA-beleid en -procedures, een risicoanalyse, training van het personeel, en de beveiliging van alle patiëntgegevens die het opslaat. De regel schrijft verder voor dat een Business Associate verantwoordelijk moet zijn voor de naleving van de HIPAA door elke onderaannemer die hij inschakelt. Tot de onderaannemers behoren nu ook datacenters, clouddiensten en bedrijven die online back-ups maken.

Wie een HIPAA Business Associate is, is heel belangrijk omdat nu ook de bedrijven die hen van dienst zijn, als Business Associates worden beschouwd en aan de HIPAA moeten voldoen. Dit betekent dat een IT-bedrijf, een bedrijf dat juridische software levert, een kopieermachine-reparatiebedrijf, of een opslagplaats voor papier, om er maar een paar te noemen, nu aan de HIPAA zullen moeten voldoen, ook al hebben zij niet direct klanten uit de gezondheidszorg. Omdat hun klanten klanten in de gezondheidszorg hebben, moeten zij zich aan de regels houden.

Juristen

Elke advocaat die juridische diensten verleent aan een onder de richtlijn vallende entiteit en daarbij toegang heeft tot patiëntgegevens, is een HIPAA Business Associate. Voor sommige juridische diensten, zoals onroerend goed of contracten, is geen toegang tot patiëntendossiers nodig. De verdediging tegen wanpraktijken is een duidelijk voorbeeld waarbij patiëntendossiers vereist zijn.

Het enkele bezit van medische dossiers maakt een advocaat nog geen HIPAA Business Associate. Bijvoorbeeld, in een rechtszaak wegens wanpraktijken geeft de patiënt die zijn arts aanklaagt, zijn medische gegevens aan zijn advocaat. Dit maakt de advocaat van de eiser nog geen Business Associate, omdat de patiënt zijn dossier aan iedereen kan geven. De arts die wordt aangeklaagd, geeft de medische gegevens van de patiënt aan zijn advocaat. Dit maakt de advocaat van de gedaagde een HIPAA Business Associate, omdat de arts een Covered Entity is en patiëntgegevens deelt met iemand buiten zijn personeelsbestand.

De Dallas Bar Association zegt: “In het bijzonder zijn advocaten die Covered Entities vertegenwoordigen, indien zij PHI van de Covered Entity ontvangen (of namens de Covered Entity PHI produceren), Business Associates. Daarom moet u, als u een gezondheidsplan, provider of clearinghouse vertegenwoordigt en PHI van de cliënt ontvangt, een BAA aangaan met de cliënt. Als u dat niet hebt gedaan, is uw cliënt waarschijnlijk in overtreding van de HIPAA.” De Minnesota State Bar Association is het daarmee eens: “Advocatenkantoren met toegang tot beschermde gezondheidsinformatie zullen zich waarschijnlijk geclassificeerd zien als “business associates” onder de nieuwe HIPAA-regels en daarom onderworpen zijn aan nieuwe privacy-, beveiligings- en breukmeldingsvereisten voor hun omgang met dergelijke informatie.”

Hoewel advocaten vaak denken dat HIPAA-naleving een oefening in contracten is, is het in werkelijkheid een oefening in IT-beveiliging en gegevensbescherming. Het vereist dat alle uitbestede IT-bedrijven, datacenters, cloud-gebaseerde juridische softwareleveranciers, e-mailproviders, aanbieders van opslag van papieren dossiers, versnipperaars en anderen Business Associate Agreements ondertekenen en HIPAA-conforme diensten leveren.

Accountants

Een accountant die de boeken van organisaties in de gezondheidszorg controleert, ziet vaak patiëntinformatie. Zij volgen behandelingsrekeningen om de co-pay van de patiënt, verzekeringsbetalingen en afschrijvingen te volgen, om te zien of de transacties correct in het boekhoudsysteem zijn afgehandeld. Dit betekent dat de accountant een Business Associate is.

Risico’s

Juristen en accountants hebben laptops en andere draagbare apparaten bij zich. Er zijn hoge HIPAA-boetes opgelegd voor het verlies van laptops en harde schijven die patiëntgegevens bevatten. Laptops en alle draagbare opslagmedia moeten worden versleuteld, want als een versleuteld apparaat verloren gaat, is er geen sprake van een meldbaar datalek. Apparaten moeten worden beschermd tegen malware, verlies of diefstal. Boetes worden niet alleen opgelegd aan een Business Associate die inbreuk maakt op patiëntgegevens, maar kunnen ook worden opgelegd aan hun cliënt die hen heeft ingehuurd.

Een advocaten- of accountantskantoor dat een Business Associate is, heeft een HIPAA-beleid nodig, gedocumenteerde procedures om het beleid te ondersteunen, een HIPAA-risicoanalyse, en personeelstraining voor zijn management en personeel, inclusief de advocaten en accountants. Hij moet ervoor zorgen dat alle patiëntendossiers in zijn software voor casemanagement of auditing beveiligd zijn. Zij mag nooit onversleutelde patiënteninformatie e-mailen buiten het kantoor. Het netwerk en de apparatuur moeten worden beschermd tegen malware en ongeoorloofde toegang. Het IT-ondersteuningsbedrijf moet HIPAA-gecertificeerd zijn zodat het de regels kent. Het kan alleen zaken doen met cloud-leveranciers, datacenters en online back-upproviders die Business Associate Agreements ondertekenen en compliance-programma’s implementeren.

Als een advocaat of accountant geen HIPAA Business Associate Agreement wil ondertekenen of geen HIPAA compliance wil implementeren, zou elke informatie die met hem wordt gedeeld een datalek zijn. Een Covered Entity heeft geen andere keuze dan iemand te vinden die de HIPAA naleeft om juridische vertegenwoordiging of boekhoudkundige diensten te leveren.

Mike Semel is gecertificeerd in HIPAA en is de CIO geweest voor een ziekenhuis (Covered Entity) en heeft IT-ondersteuning geboden aan zorgverleners (als Business Associate). Mike is gecertificeerd in Business Continuity planning en heeft geholpen bij de ontwikkeling van het CompTIA Security Trustmark. Semel Consulting biedt een managed compliance service genaamd HIPAA SOS, compliance audits, Meaningful Use Security Risk Analysis, en business continuity planning. Bezoek www.semelconsulting.com voor meer informatie.