HIPAA Business Associate Role is Based on Services
By Mike Semel
Blog: 4Medapproved.com/HITSecurity
Twitter: @SemelConsulting
Pytanie o prawnika lub księgowego będącego HIPAA Business Associate jest bezpośrednio związane z kilkoma sekcjami HIPAA Security Ruleframework w celu ochrony elektronicznych informacji zdrowotnych. Jest to jeszcze ważniejsze dzisiaj z HIPAA Business Associate i podwykonawców zmiany w HIPAA Omnibus Final Rule, które będą egzekwowane po 23 września 2013 roku. Podobnie jak bezpieczeństwo po 11 września, HIPAA na zawsze zmienia krajobraz biznesowy. Nie musisz już być firmą z sektora opieki zdrowotnej, aby być odpowiedzialnym za ochronę chronionych informacji zdrowotnych (PHI). Organizacje opieki zdrowotnej są teraz bardziej niż kiedykolwiek odpowiedzialne za zgodność swoich sprzedawców, prawników i księgowych, którzy muszą podążać w górę i stać się zgodni z HIPAA.
Kontekst
Podmioty objęte HIPAA to dostawcy usług opieki zdrowotnej i płatnicy, którzy przetwarzają pewne transakcje elektronicznie. Należą do nich lekarze, dentyści, szpitale, kliniki, apteki, laboratoria i firmy ubezpieczeniowe.
„Współpracownik biznesowy” to osoba lub podmiot, który wykonuje pewne funkcje lub czynności, które wiążą się z wykorzystaniem lub ujawnieniem chronionych informacji zdrowotnych w imieniu podmiotu objętego HIPAA lub świadczy usługi na rzecz takiego podmiotu.
„Współpracownik biznesowy HIPAA” jest zobowiązany do podpisania umowy ograniczającej wykorzystanie wykorzystywanych przez niego informacji zdrowotnych. HIPAA Omnibus Final Rule wymaga, aby HIPAA Business Associate spełniał wymogi HIPAA, tak jakby był podmiotem objętym HIPAA, w tym polityki i procedury HIPAA, analizę ryzyka, szkolenia pracowników i bezpieczeństwo wszelkich danych pacjentów, które przechowuje. Reguła poszła dalej i wymaga, aby współpracownik biznesowy był odpowiedzialny za zgodność z HIPAA każdego podwykonawcy, którego używa. Podwykonawcy obejmują teraz centra danych, usługi w chmurze i firmy tworzące kopie zapasowe online.
Kto jest współpracownikiem biznesowym HIPAA jest bardzo ważne, ponieważ teraz firmy, które je obsługują są również uważane za współpracowników biznesowych i muszą być zgodne z HIPAA. Oznacza to, że firma IT, firma, która zapewnia oprogramowanie prawne, firma naprawcza kopiarki, lub magazyn papieru, aby wspomnieć tylko kilka, teraz będzie musiał przestrzegać HIPAA, nawet jeśli nie mają bezpośrednio klientów opieki zdrowotnej. Ponieważ ich klienci mają klientów opieki zdrowotnej, muszą przestrzegać.
Prawnicy
Każdy prawnik, którego usługi prawne dla Objętego Podmiotu obejmują dostęp do danych pacjenta jest HIPAA Business Associate. Niektóre usługi prawne, takie jak nieruchomości lub umowy, nie wymagają dostępu do dokumentacji pacjenta. Obrona przed błędami w sztuce lekarskiej jest jasnym przykładem, gdzie dokumentacja pacjenta jest wymagana.
Samo posiadanie dokumentacji medycznej nie czyni z prawnika współpracownika biznesowego HIPAA. Na przykład, w pozwie o błąd w sztuce, pacjent pozywający swojego lekarza daje swoją dokumentację medyczną do swojego adwokata. Nie czyni to adwokata powoda współpracownikiem biznesowym, ponieważ pacjent może przekazać swoją dokumentację komukolwiek. Pozwany lekarz przekazuje dokumentację medyczną pacjenta swojemu adwokatowi. To sprawia, że adwokat pozwanego jest współpracownikiem biznesowym HIPAA, ponieważ lekarz jest Objętym Podmiotem i dzieli się danymi pacjenta z kimś spoza swojej siły roboczej.
Dallas Bar Association mówi: „W szczególności, prawnicy reprezentujący Objęte Podmioty, jeśli otrzymują PHI od Objętego Podmiotu (lub produkują PHI w imieniu Objętego Podmiotu), są współpracownikami biznesowymi. Dlatego też, jeśli reprezentujesz plan zdrowotny, dostawcę lub izbę rozliczeniową i otrzymujesz PHI od klienta, musisz zawrzeć BAA z klientem. Jeśli tego nie zrobiłeś, Twój klient prawdopodobnie narusza przepisy HIPAA”. Stowarzyszenie Adwokatów Stanu Minnesota zgadza się, „Kancelarie prawne z dostępem do chronionych informacji zdrowotnych prawdopodobnie zostaną sklasyfikowane jako „współpracownicy biznesowi” w ramach nowych zasad HIPAA, a zatem podlegają nowym wymogom prywatności, bezpieczeństwa i powiadamiania o naruszeniach, regulującym ich obsługę takich informacji.”
Prawnicy często myślą, że zgodność z HIPAA jest ćwiczeniem w umowach, ale tak naprawdę jest to ćwiczenie w bezpieczeństwie IT i ochronie danych. Wymaga, aby wszelkie zlecone firmy informatyczne, centra danych, dostawcy oprogramowania prawnego w chmurze, dostawcy poczty elektronicznej, dostawcy przechowywania dokumentacji papierowej, firmy niszczące i inne podpisują umowy Business Associate i zapewniają usługi zgodne z HIPAA.
Księgowi
Księgowy, który kontroluje księgi organizacji opieki zdrowotnej często widzi informacje o pacjencie. Śledzą rachunki za leczenie, aby śledzić współpłacenie pacjenta, płatności ubezpieczeniowe i odpisy, aby zobaczyć, że transakcje były obsługiwane prawidłowo w systemie księgowym. Oznacza to, że księgowy jest Współpracownikiem Biznesowym.
Zagrożenia
Prawnicy i księgowi noszą laptopy i inne urządzenia przenośne. Duże grzywny HIPAA zostały nałożone za utratę laptopów i dysków twardych, które zawierały dane pacjentów. Laptopy i wszelkie przenośne nośniki danych powinny być szyfrowane, ponieważ w przypadku utraty zaszyfrowanego urządzenia nie stanowi to naruszenia danych podlegającego zgłoszeniu. Urządzenia powinny być zabezpieczone przed złośliwym oprogramowaniem, utratą lub kradzieżą. Grzywny są nakładane nie tylko na współpracownika biznesowego, który narusza dane pacjenta, ale mogą być również nałożone na klienta, który ich zatrudnił.
Kancelaria prawna lub księgowy, który jest współpracownikiem biznesowym, wymaga polityki HIPAA, udokumentowanych procedur wspierających politykę, analizy ryzyka HIPAA i szkolenia pracowników dla swojego kierownictwa i personelu, w tym prawników i księgowych. Musi upewnić się, że wszelkie rejestry pacjentów w jego oprogramowaniu do zarządzania przypadkami lub audytu są bezpieczne. Nie wolno wysyłać niezaszyfrowanych informacji o pacjentach poza firmę. Musi mieć swoją sieć i urządzenia chronione przed złośliwym oprogramowaniem i nieautoryzowanym dostępem. Firma świadcząca usługi wsparcia informatycznego powinna posiadać certyfikat HIPAA, aby znać obowiązujące zasady. Może prowadzić interesy tylko z dostawcami usług w chmurze, centrami danych i dostawcami kopii zapasowych online, którzy podpiszą umowy Business Associate Agreements i wdrożą programy zgodności.
Jeśli prawnik lub księgowy nie podpisze umowy HIPAA Business Associate Agreement lub nie wdroży zgodności z HIPAA, wszelkie informacje udostępnione mu będą stanowiły naruszenie danych. Podmiot objęty ochroną nie ma innego wyboru, jak tylko znaleźć kogoś, kto będzie przestrzegał HIPAA, zapewniając reprezentację prawną lub usługi księgowe.
Mike Semel jest certyfikowany w zakresie HIPAA i był dyrektorem ds. informatyki w szpitalu (Podmiot objęty ochroną) oraz zapewniał wsparcie informatyczne podmiotom świadczącym usługi opieki zdrowotnej (jako Współpracownik biznesowy). Mike jest certyfikowany w zakresie planowania ciągłości działania i pomógł w opracowaniu CompTIA Security Trustmark. Semel Consulting oferuje zarządzane usługi zgodności o nazwie HIPAA SOS, audyty zgodności, Meaningful Use Security Risk Analysis oraz planowanie ciągłości działania. Odwiedź stronę www.semelconsulting.com, aby uzyskać więcej informacji.
Szkolenie z zakresu bezpieczeństwa HIPAA
Sprawdź internetowy program nauczania 4Med HIPAA dla personelu medycznego, specjalistów i licencjatów. Wszystkie kursy są modułowe, co pozwala studentom zatrzymać się i rozpocząć w ich własnym tempie i według własnego harmonogramu. Kliknij tutaj, aby dowiedzieć się więcej. Użyj kodu rabatowego HITECH, aby otrzymać 20% zniżki.