A Função do Associado Comercial da HIPAA é Baseada em Serviços
Por Mike Semel
Blog: 4Medapproved.com/HITSecurity
Twitter: @SemelConsulting
A questão sobre um advogado ou um contabilista ser um Associado Empresarial HIPAA está directamente relacionada com várias secções do Quadro de Regras de Segurança HIPAA para proteger a informação electrónica sobre saúde. É ainda mais importante hoje em dia com as mudanças do HIPAA Business Associate e dos sub-contratantes na Regra Final Omnibus HIPAA que será aplicada após 23 de Setembro de 2013. Tal como a segurança após o 11 de Setembro, a HIPAA está a mudar para sempre o panorama empresarial. Você não precisa mais ser uma empresa de saúde para ser responsável pela proteção das Informações de Saúde Protegidas (PHI). Com as organizações de saúde agora mais responsáveis do que nunca pela conformidade de seus fornecedores, advogados e contadores têm que se tornar mais responsáveis e se tornar compatíveis com a HIPAA.
Fundo
As Entidades Cobertas pela HIPAA são prestadores de serviços de saúde e pagadores que processam determinadas transações eletronicamente. Estas incluem médicos, dentistas, hospitais, clínicas, farmácias, laboratórios e companhias de seguros.
Um “Associado Empresarial” é uma pessoa ou entidade que desempenha determinadas funções ou actividades que envolvem o uso ou a divulgação de informações de saúde protegidas em nome de, ou presta serviços a, uma Entidade Coberta.
Um Associado Empresarial HIPAAA é obrigado a assinar um acordo limitando o uso das informações de saúde que utiliza. A Regra Final Omnibus HIPAA requer que um Associado Comercial HIPAA cumpra a HIPAA como se fosse uma Entidade Coberta, incluindo políticas e procedimentos HIPAA, uma Análise de Risco, treinamento da força de trabalho e a segurança de quaisquer dados de pacientes que armazene. A regra foi mais longe ao exigir que um Associado de Negócios seja responsável pela conformidade com a HIPAA de qualquer subcontratado que utilize. Os subempreiteiros agora incluem centros de dados, serviços em nuvem e empresas de backup online.
Quem é um Associado Empresarial HIPAA é muito importante porque agora as empresas que os atendem também são consideradas Associadas Empresariais e têm de estar em conformidade com a HIPAA. Isto significa que uma empresa de TI, uma empresa que fornece software legal, uma empresa de reparação de fotocopiadoras ou um armazém de papel, só para mencionar alguns, agora terá de cumprir com a HIPAA mesmo que não tenham directamente clientes de cuidados de saúde. Como seus clientes têm clientes de saúde, eles têm que cumprir.
Lawyers
Any lawyer whose legal services for a Covered Entity involves access to patient data is a HIPAA Business Associate. Alguns serviços legais como imóveis ou contratos não requerem acesso aos registros dos pacientes. A defesa de negligência é um exemplo claro onde os registros de pacientes são necessários.
Apenas possuir registros médicos não faz de um advogado um Associado Comercial da HIPAA. Por exemplo, em um processo de má prática, o paciente que processa seu médico entrega seus registros médicos ao seu advogado. Isto não torna o advogado do queixoso um Associado Comercial, porque o paciente pode dar seus registros a qualquer um. O médico que está sendo processado dá os registros médicos do paciente para o seu advogado. Isto torna o advogado do réu um Associado Comercial da HIPAA porque o médico é uma Entidade Coberta e está a partilhar os dados do paciente com alguém fora da sua força de trabalho.
A Ordem dos Advogados de Dallas diz, “Especificamente, os advogados que representam as Entidades Cobertas, se receberem PHI da Entidade Coberta (ou produzirem PHI em nome da Entidade Coberta), são Associados Comerciais. Portanto, se você representar um plano de saúde, provedor ou centro de compensação e receber DCC do cliente, você deve entrar em um BAA com o cliente. Se não o fez, é provável que o seu cliente esteja a violar a HIPAA”. A Ordem dos Advogados do Estado de Minnesota concorda, “Os escritórios de advocacia com acesso a informações de saúde protegidas provavelmente serão classificados como “associados comerciais” sob as novas regras HIPAA e, portanto, sujeitos a novos requisitos de privacidade, segurança e brevidade de notificação que regem o seu tratamento de tais informações.”
Embora os advogados muitas vezes pensem que o cumprimento da HIPAA é um exercício em contratos, é realmente um exercício em segurança de TI e proteção de dados. Ela exige que qualquer empresa terceirizada de TI, centros de dados, fornecedores de software jurídico baseado em nuvem, provedores de e-mail, fornecedores de armazenamento de registros em papel, empresas retalhadoras e outros assinem Acordos de Associação Comercial e forneçam serviços em conformidade com a HIPAA.
Contadores
p>Um contador que audita os livros das instituições de saúde muitas vezes vê as informações dos pacientes. Eles rastreiam as contas de tratamento para acompanhar o co-pagamento do paciente, pagamentos de seguro e baixas contábeis, para ver se as transações foram tratadas corretamente no sistema de contabilidade. Isso significa que o contador é um Associado de Negócios.
Riscos
Leiões e contadores transportam laptops e outros dispositivos portáteis. Grandes multas HIPAA foram avaliadas pela perda de laptops e discos rígidos que continham dados de pacientes. Os laptops e qualquer mídia de armazenamento portátil devem ser criptografados porque se um dispositivo criptografado for perdido, não se trata de uma violação de dados relatável. Os dispositivos devem ser protegidos contra malware, perda ou roubo. As multas não são avaliadas apenas para um Associado Comercial que viola os dados do paciente, mas também podem ser avaliadas para seu cliente que os contratou.
Um escritório de advocacia ou contador que seja um Associado Comercial requer políticas HIPAA, procedimentos documentados para apoiar as políticas, uma análise de risco HIPAA e treinamento da força de trabalho para sua gerência e funcionários, incluindo os advogados e contadores. Deve certificar-se de que qualquer registro de paciente em seu software de gestão de casos ou de auditoria esteja seguro. Nunca deve enviar por e-mail informações não criptografadas de pacientes fora da firma. Deve ter a sua rede e dispositivos protegidos contra malware e acesso não autorizado. Sua empresa de suporte de TI deve ser certificada pela HIPAA para conhecer as regras. Ela só pode fazer negócios com fornecedores de nuvem, centros de dados e provedores de backup online que assinarão Acordos de Associado Comercial e implementarão programas de conformidade.
Se um advogado ou contador não assinar um Acordo de Associado Comercial HIPAA ou não implementar a conformidade HIPAA, qualquer informação compartilhada com ele seria uma violação de dados. Uma Entidade Coberta não tem escolha a não ser encontrar alguém que cumpra com a HIPAA para fornecer representação legal ou serviços contábeis.
Mike Semel é certificada na HIPAA e foi o CIO de um hospital (Entidade Coberta) e forneceu suporte de TI para prestadores de serviços de saúde (como Business Associate.) Mike é certificado em planejamento de continuidade de negócios e ajudou a desenvolver a marca de confiança CompTIA Security Trustmark. A Semel Consulting oferece um serviço de conformidade gerenciada chamado HIPAA SOS, auditorias de conformidade, análise de risco de segurança de uso significativo e planejamento de continuidade de negócios. Visite www.semelconsulting.com ou mais informações.
Check out the 4Med HIPAA online curriculum for medical staff, professionals and BAs. Todos os cursos são modulares, permitindo aos estudantes parar e começar no seu próprio ritmo e no seu próprio horário. Clique aqui para saber mais. Use o código de desconto HITECH para receber 20% de desconto.br>