Când este un avocat sau un contabil un asociat comercial HIPAA?

Rolul de asociat comercial HIPAA se bazează pe servicii

De Mike Semel
Blog: 4Medapproved.com/HITSecurity
Twitter: @SemelConsulting

Întrebarea cu privire la faptul că un avocat sau un contabil este un asociat comercial HIPAA este direct legată de mai multe secțiuni din cadrul regulii de securitate HIPAA Security Ruleframework pentru a proteja informațiile electronice de sănătate. Ea este și mai importantă astăzi, având în vedere modificările aduse de HIPAA Business Associate și subcontractori în HIPAA Omnibus Final Rule, care vor fi puse în aplicare după 23 septembrie 2013. La fel ca și securitatea după 11 septembrie 2001, HIPAA schimbă pentru totdeauna peisajul de afaceri. Nu mai trebuie să fiți o companie din domeniul sănătății pentru a fi responsabil pentru protecția informațiilor medicale protejate (PHI). În condițiile în care organizațiile din domeniul sănătății sunt acum mai responsabile ca niciodată pentru conformitatea furnizorilor lor, avocații și contabilii trebuie să facă un pas înainte și să devină conforme cu HIPAA.

Antecedente

Entitățile acoperite de HIPAA sunt furnizorii de servicii medicale și plătitorii care procesează anumite tranzacții în format electronic. Printre acestea se numără medici, dentiști, spitale, clinici, farmacii, laboratoare și companii de asigurări.

Un „Asociat de afaceri” este o persoană sau o entitate care îndeplinește anumite funcții sau activități care implică utilizarea sau dezvăluirea de informații medicale protejate în numele unei Entități Acoperite sau care furnizează servicii unei Entități Acoperite.

Un Asociat de afaceri HIPAA trebuie să semneze un acord de limitare a utilizării informațiilor medicale pe care le utilizează. Regula finală HIPAA Omnibus impune unui asociat comercial HIPAA să respecte HIPAA ca și cum ar fi o entitate acoperită, inclusiv politicile și procedurile HIPAA, o analiză a riscurilor, formarea forței de muncă și securitatea tuturor datelor pacienților pe care le stochează. Regula a mers mai departe și a cerut ca un asociat comercial să fie responsabil pentru conformitatea HIPAA a oricărui subcontractant pe care îl folosește. Subcontractanții includ acum centrele de date, serviciile de cloud și companiile de backup online.

Cine este un asociat de afaceri HIPAA este foarte important, deoarece acum companiile care le oferă servicii sunt, de asemenea, considerate asociați de afaceri și trebuie să se conformeze cu HIPAA. Acest lucru înseamnă că o companie IT, o companie care furnizează software juridic, o companie de reparare a copiatoarelor sau un depozit de stocare a hârtiei, pentru a menționa doar câteva, vor trebui acum să se conformeze HIPAA chiar dacă nu au direct clienți din domeniul sănătății. Deoarece clienții lor au clienți din domeniul sănătății, ei trebuie să se conformeze.

Avocati

Care avocat ale cărui servicii juridice pentru o entitate acoperită implică accesul la datele pacienților este un asociat comercial HIPAA. Unele servicii juridice, cum ar fi cele imobiliare sau contractele, nu necesită accesul la datele pacienților. Apărarea în caz de malpraxis este un exemplu clar în care sunt necesare dosarele pacienților.

Simpla posesie a dosarelor medicale nu face din avocat un asociat comercial HIPAA. De exemplu, într-un proces de malpraxis, pacientul care își dă în judecată medicul îi dă dosarele medicale avocatului său. Acest lucru nu îl face pe avocatul reclamantului un Asociat de afaceri, deoarece pacientul poate da dosarele sale oricui. Medicul dat în judecată îi dă dosarele medicale ale pacientului avocatului său. Acest lucru îl face pe avocatul pârâtului un Asociat de afaceri HIPAA, deoarece medicul este o Entitate acoperită și împărtășește datele pacientului cu cineva din afara forței sale de muncă.

Asociația Baroului din Dallas spune: „În mod specific, avocații care reprezintă Entități acoperite, în cazul în care primesc ISP de la Entitatea acoperită (sau produc ISP în numele Entității acoperite), sunt Asociați de afaceri. Prin urmare, dacă reprezentați un plan de sănătate, un furnizor sau o casă de compensare și primiți PHI de la client, trebuie să încheiați un BAA cu clientul. Dacă nu ați făcut acest lucru, clientul dumneavoastră încalcă probabil HIPAA.” Asociația Baroului de Stat din Minnesota este de acord: „Firmele de avocatură care au acces la informații medicale protejate se vor regăsi probabil clasificate ca „asociați comerciali” în conformitate cu noile norme HIPAA și, prin urmare, vor fi supuse unor noi cerințe de confidențialitate, securitate și notificare a încălcărilor care să reglementeze modul în care tratează aceste informații.”

În timp ce avocații cred adesea că respectarea HIPAA este un exercițiu de contracte, este de fapt un exercițiu de securitate IT și de protecție a datelor. Aceasta impune ca orice companii IT externalizate, centre de date, furnizori de software juridic bazat pe cloud, furnizori de e-mail, furnizori de stocare a documentelor pe suport de hârtie, companii de distrugere și alții să semneze Acorduri de asociere în afaceri și să furnizeze servicii conforme cu HIPAA.

Contabilii

Un contabil care auditează registrele contabile ale organizațiilor din domeniul sănătății vede adesea informații despre pacienți. Ei urmăresc facturile de tratament pentru a urmări coplata pacientului, plățile de asigurare și radierile, pentru a vedea dacă tranzacțiile au fost tratate corect în sistemul de contabilitate. Acest lucru înseamnă că contabilul este un asociat comercial.

Riscuri

Avocatii și contabilii poartă laptopuri și alte dispozitive portabile. S-au aplicat amenzi mari în cadrul HIPAA pentru pierderea de laptopuri și hard disk-uri care conțineau date despre pacienți. Laptopurile și orice suport de stocare portabil ar trebui să fie criptate, deoarece, dacă un dispozitiv criptat este pierdut, nu reprezintă o încălcare a securității datelor care trebuie raportată. Dispozitivele ar trebui să fie protejate împotriva malware-ului, pierderii sau furtului. Amenzile nu sunt aplicate doar unui asociat comercial care încalcă datele pacienților, ci pot fi aplicate și clientului care l-a angajat.

Un cabinet de avocatură sau un contabil care este asociat comercial are nevoie de politici HIPAA, de proceduri documentate care să susțină politicile, de o analiză a riscurilor HIPAA și de formarea forței de muncă pentru conducerea și personalul său, inclusiv pentru avocați și contabili. Acesta trebuie să se asigure că toate înregistrările pacienților din software-ul său de gestionare a cazurilor sau de audit sunt sigure. Nu trebuie să trimită niciodată prin e-mail informații necriptate despre pacienți în afara firmei. Trebuie să aibă rețeaua și dispozitivele sale protejate împotriva programelor malware și a accesului neautorizat. Compania sa de asistență IT trebuie să fie certificată HIPAA, astfel încât să cunoască regulile. Poate face afaceri numai cu furnizori de cloud, centre de date și furnizori de backup online care vor semna Acorduri de Asociere în Afaceri și vor implementa programe de conformitate.

Dacă un avocat sau un contabil nu va semna un Acord de Asociere în Afaceri HIPAA sau nu va implementa conformitatea HIPAA, orice informație împărtășită cu acesta ar reprezenta o încălcare a datelor. O entitate acoperită nu are de ales decât să găsească pe cineva care să respecte HIPAA pentru a oferi reprezentare juridică sau servicii de contabilitate.

Mike Semel este certificat în domeniul HIPAA și a fost CIO pentru un spital (entitate acoperită) și a oferit asistență IT pentru furnizorii de servicii medicale (ca asociat de afaceri.) Mike este certificat în planificarea continuității activității și a contribuit la dezvoltarea mărcii de încredere în domeniul securității CompTIA. Semel Consulting oferă un serviciu gestionat de conformitate numit HIPAA SOS, audituri de conformitate, Meaningful Use Security Risk Analysis și planificarea continuității activității. Vizitați www.semelconsulting.com sau mai multe informații.