資料結構
網路
關係資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究HIPAA 業務關聯協議 (BAA)
業務夥伴協議,也稱為業務關聯協議,規定了各方關於 PHI 的義務。HIPAA 要求受影響的企業只能與能夠保證 PHI 完全安全的業務夥伴合作。關聯公司和 BA 必須以合同或其他協議的形式書面表達這些保證。除了受影響的公司外,HHS 也可能審查其與 BA 和分包商的 HIPAA 合規性。為了遵守 HIPAA 規定,公司必須為其所做的三個級別中的每一個簽訂業務關聯協議 (BAA)。所有三個級別都負責保護 PHI,因此協議對雙方都是最有利的。
根據 HHS 的說法,業務夥伴/分包商協議必須包含以下資訊:
討論業務夥伴或分包商對 PHI 的許可和必需用途。
業務夥伴/分包商明確表示,它僅在法律要求或本條款允許的範圍內,並根據協議條款使用其 PHI。
要求業務夥伴或分包商採取合理的預防措施,以防止 PHI 的未經授權使用或披露;
一旦主體實體、業務夥伴和業務夥伴的分包商相互關聯,確保第三方保護其收到的 PHI 至關重要。BA 瞭解已簽署的協議,要求安全處理 PHI。
HIPAA BAA 規則
隱私政策:醫療計劃、醫療結算機構和醫療提供者被認為是受隱私法規約束的企業。如果業務夥伴能夠確保其僅出於指定目的使用其 PHI,則受保護實體將與第三方業務夥伴合作以改善其業務。
業務夥伴必須保護 PHI 免受濫用和未經授權的訪問,並協助相關公司遵守資料保護法規。患者有權根據本政策檢視和編輯其資訊。這必須在整個業務夥伴協議中以書面形式體現。
網路安全條款:為了保護 ePHI(根據本法規,PHI 以電子方式儲存或傳輸),相關組織及其業務夥伴必須採取適當的物理、技術和管理措施。以任何其他形式提交的資訊,包括紙質副本,均不包括在內。
一般規則:HITECH 在 2009 年進行了調整,以確保業務夥伴必須遵守其 HIPAA,但多線規則加強了這種偏見,並於 2013 年生效。一旦規則生效,HIPAA 要求其業務夥伴和供應商遵守其 PHI,這受到保護並作為相關實體的指令。相關公司不代表 BAA 負責。
誰應該簽署 BAA?
任何為受保護實體工作並與受保護健康資訊 (PHI) 互動的人或實體都被視為業務夥伴 (BA),並且必須簽署 BAA。BAA 必須由與相關企業互動的企業或組織簽署。當向醫療提供者、雲服務提供商、醫療醫院和工作場所健康機構銷售軟體解決方案時,提供軟體解決方案的軟體和初創公司會儲存、處理或傳輸受保護的健康資訊,並且客戶的 BAA 訊號。
銷售商越多,情況就越複雜。例如,一家醫院與 100 家軟體供應商簽訂了業務關聯協議 (BAA)。這 100 家軟體供應商都有自己的軟體解決方案和雲服務提供商,並且可能已經簽署了 BAA。每個利益相關者都有責任確保實施相關的協議。
BAA 如何與我的雲提供商合作?
業務夥伴和雲計算政策最初由 HHS 釋出。根據 HHS 的說法,雲服務提供商(例如 AWS 和 Azure)在生成、接收、儲存或傳輸 PHI 時充當業務夥伴。因此,使用 PHI 部署雲平臺和應用程式的公司必須簽署 BAA。
雲服務提供商提供的 BAA 描述了雲客戶和雲提供商對其 HIPAA 保護的責任。由於 BAA 可能只涵蓋某些雲服務的子集,因此重要的是,BAA 涵蓋的服務僅儲存、處理和傳輸 PHI。為了解決可用性和安全問題,HHS 建議企業與雲服務提供商簽訂服務級別協議 (SLA)。
結論
如果公司是受影響的實體,則與合作伙伴簽訂的商業合同對其 HIPAA 合規性至關重要。其支援 HIPAA 的業務,例如醫療提供者和醫療結算機構,需要業務夥伴和分包商之間簽訂業務夥伴協議,以保護 PHI 免受未經授權的訪問。
瀏覽量:127
