資料結構
網路
關係資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究為什麼您的託管服務提供商不簽署 HIPAA BAA?
越來越多的醫療保健機構轉向外部承包商尋求幫助,以管理醫療保健運營產生的海量受保護健康資訊 (PHI)。隨著最近的駭客攻擊和資料洩露事件達到令人恐懼的程度,人們對敏感患者資料安全和隱私的擔憂日益加劇。
應實施強大的 BAA 以確保安全、隱私和合規性,以應對這一威脅。任何有權訪問 PHI 的第三方服務提供商都必須與覆蓋實體簽署 BAA,以符合 HIPAA 規定。
什麼是 HIPAA BAA?
HIPAA 業務關聯協議 (BAA) 是一種合同,HIPAA 覆蓋的企業及其業務合作伙伴或分包商簽訂此合同,並規定提供給業務合作伙伴的 PHI 型別以及業務合作伙伴對 PHI 的允許使用和披露。
只有當第三方服務提供商需要訪問 PHI 以代表覆蓋實體執行服務時,該第三方服務提供商才被視為 HIPAA 業務合作伙伴。雲端儲存公司、電子郵件加密服務、網路託管服務、計費服務、IT 承包商、律師和會計師是一些潛在業務合作伙伴的示例。
由於它們是具有法律約束力的合同,因此獲得律師、安全官或 HIPAA 合規性解決方案的幫助來管理 HIPAA BAA 非常重要。如果您決定使用 HIPAA BAA 模板,請確保它適合您的業務,並且您可以對其進行修改。
覆蓋組織和業務關聯方都將受益於全面且最新的 BAA,因為他們將就如何維護、傳輸和處理 PHI 達成一致。
對符合 HIPAA 標準的託管的需求
這通常包括一套用於以下方面的指南和資源:
保護實際伺服器 - 您託管帳戶或網站中的所有資訊都儲存在伺服器上。必須保護這些伺服器以防止實際盜竊。
保護儲存的資料 - 在您的主機伺服器上實施的一組安全機制,以防止病毒、駭客和其他威脅。
資料傳輸安全 - 每當傳輸個人資料時,連線都必須進行端到端加密。
資料洩露通知 - 如果發生資料洩露,必須記錄有關事件的資訊,包括其嚴重性。
為什麼託管服務提供商不想簽署它?
適用於供應商和分包商 BAA 的新 HIPAA BAA 要求於 2013 年 1 月生效。如果 PHI 由客戶加密並且僅由供應商儲存,有些人可能會爭辯說 HIPAA 法律不適用於供應商或託管服務提供商。實際上,無法保證客戶在將任何 PHI 資料傳送到託管服務之前已正確加密這些資料。投訴主要是在新的綜合規則實施之前引發合規性審計。
政府目前正試圖更積極主動地審計特定公司,包括與處理或儲存 PHI 的供應商合作的公司。以前模糊的規則現在有了定義和違規處罰,例如罰款,罰款可能從 $50,000 到 $150 萬不等。
仍然有很多雲公司將自己視為 PHI 的管道 (PHI)。他們認為自己的工作更像是郵遞員。他們無法訪問資料;他們只是將其傳遞給其他人。如果資料已加密且無法解密,或者如果他們從未接觸過真實的 PHI 資料,則雲服務提供商將聲稱 HIPAA 標準不適用於他們,並可能拒絕簽署 BAA。
結論
保護患者也是一個崇高的目標。因此,識別您的敵人並採取措施阻止他們非常重要。任何在醫療保健行業工作的人員都應避開不願簽署 BAA 的雲提供商。由於新的 HIPAA 綜合規則明確將業務關聯方定義為代表覆蓋實體建立、接收、維護或傳輸 PHI 的任何人,因此他們實際上拒絕遵守規定。他們拒絕分擔確保 HIPAA 合規性的責任,這會給您的業務帶來您無法承受的風險。
219 次檢視
