什么是BASA合规协议？

在美国医疗保健行业运营的公司必须遵守 1996 年健康保险流通与责任法案 (HIPAA) 中定义的数据安全和隐私标准。HIPAA 法规部分旨在保护个人敏感和个人医疗保健信息的隐私和安全。

本文将讨论组织何时需要签订商业伙伴分包商协议 (BASA)。我们将了解 BASA 与商业伙伴协议 (BAA) 的区别，以及它如何保护负责 HIPAA 合规性的组织。

重要术语

在深入研究确保 HIPAA 合规性所需的业务协议的细节之前，让我们定义一些重要的术语。

受保护的健康信息和电子受保护的健康信息

受保护的健康信息 (PHI) 和电子受保护的健康信息 (ePHI) 是 HIPAA 立法旨在保护的患者数据。PHI 被定义为从一个人收集的个人可识别的健康信息，这些信息由涵盖的实体记录和接收。这包括可用于识别个人身份的人口统计和遗传信息。

HIPAA 列出了 18 个需要保护的标识符，包括：

• 一个病人的名字
• 除年份外的日期
• 电话号码
• 社会安全号码
• 电子邮件地址
• 生物特征标识符，例如视网膜扫描

以电子方式传输或存储在计算机系统中的 PHI 被视为 ePHI。HIPAA 法规的某些方面仅适用于 ePHI，我们很快就会看到。

涵盖实体 (CE)

在讨论 HIPAA 合规性时，以下类型的个人和组织被视为涵盖实体：

• 以电子方式传输有关索赔、福利资格和转介授权的健康信息的医疗保健提供者，无论诊所规模大小
• 健康计划，由制定计划的雇主管理和维护的少于 50 名成员的团体计划除外
• 将非标准信息处理成标准格式的医疗保健信息交换所

所有涵盖的实体都需要遵守 HIPAA 隐私和安全规则。

商务助理 (BA)

业务伙伴是代表 CE 执行与使用或披露 PHI 相关的职能的任何个人或组织。BA 可以参与 CE 运营的许多方面。BA 也可以向 CE 提供服务。

BA 的一些例子是：

• 医疗账单公司
• 会计师
• 律师和代理人
• 备份存储提供商
• IT 支持供应商
• 协助理赔处理的第三方管理员

BA 可能会对违反 HIPAA 的行为负责。

业务助理分包商 (BAS)

商业伙伴分包商是为 BA 创建、传输或维护 PHI 或 ePHI 的实体。公司可以同时成为一个 CE 的 BA 和另一个 BA 的 BAS。上面列出的潜在 BA 示例还涵盖了 BAS 可以执行的工作范围。

对于作为 PHI 管道但与信息没有任何直接关系的实体，存在一组有限的例外情况。互联网服务提供商、美国邮政服务和其他快递和送货服务不被视为业务关联分包商。

什么是 HIPAA 合规性？

两条主要规则构成了 HIPAA 指南的基础。CE、BA 和 BAS 必须遵守这些规则以保持 HIPAA 合规性。

HIPAA 隐私规则

HIPAA 隐私规则解决了受 HIPAA 指南约束的组织对 PHI 的使用和披露。该规则包括帮助患者了解其健康信息及其使用方式的标准。HIPAA 隐私规则的一个主要目标是保护个人的健康信息，同时使其能够有效地用于提供高质量的医疗保健。在某些情况下，CE 可以在未经个人授权的情况下使用和披露 PHI，例如促进治疗、付款或用于公共卫生利益。隐私规则同样适用于 PHI 和 ePHI。

HIPAA 安全规则

HIPAA 安全规则专门用于保护 ePHI。它不适用于以书面或口头方式传输的 PHI。安全规则要求所有 CE 和 BA：

• 确保 ePHI 的机密性、完整性和可用性
• 实施必要的措施来检测和保护 ePHI 免受对其安全的威胁
• 防止 ePHI 被非法使用或泄露的可能性
• 证明其员工遵守安全规则

安全规则涉及电子传输和存储的 ePHI，并且被发现对于解决医疗保健领域中使用的计算机化系统的兴起是必要的。

HIPAA 授权的商业协议

不遵守 HIPAA 规定可能会导致违规实体受到严重的经济处罚。涉及 ePHI 的数据泄露还会损害组织的声誉，并导致客户和消费者失去信心。在与 BA 合作以协助处理 PHI 和 ePHI 时，涵盖实体需要保护自己。这种保护以 CE 与其合作伙伴之间的两种协议形式内置于 HIPAA 指南中。

商业伙伴协议 (BAA)

与 BA 合作以协助处理 PHI 和 ePHI 的 CE 需要签订称为“业务伙伴协议”(BAA) 的业务协议，定义其角色和职责。BAA 需要由两个组织中有权访问 PHI 的每个人签署。

BAA 是一份书面合同，规定了各方在保护敏感医疗保健数据方面的责任。BAA 应制定以下准则：

• BA 为 CE 存储或处理 ePHI 的原因
• BA 如何使用、存储和处理 ePHI
• 保证 BA 不会以协议中未明确定义的方式使用 ePHI。
• 有关 BA 将如何保护 ePHI 以防止数据泄露的详细信息。

从 2016 年开始与云服务提供商 (CSP) 合作时，需要将其他因素纳入 BAA 。BAA 需要包括侧重于 CSP 角色的服务水平协议 (SLA)。SLA 应解决与使用云基础设施处理 ePHI 相关的问题。这些问题包括：

• 系统可靠性和可用性
• ePHI 将如何备份和恢复
• 服务终止时ePHI将如何销毁
• 云基础设施安全责任
• ePHI 的使用、披露和保留限制

即使 BA 只能访问加密的 ePHI，BAA 也需要到位。

商业伙伴分包商协议 (BASA)

BA 可以决定聘用分包商来履行相关实体要求的某些职责。BA 有责任与其分包商签订商业伙伴分包商协议，定义他们在处理和保护 CE 的 ePHI 资源中的角色。BASA 的细节类似于 BAA。这两份文件都概述了签署人在保护 ePHI 方面的责任。主要区别在于 BAA 介于 CE 和 BA 之间，而 BASA 介于 BA 和其分包商之间。在许多情况下，BA 可能有多个 BASA，涵盖处理个人敏感医疗保健数据的各个方面。

结论

在与第三方或 CSP 签订合同时，适用实体应坚持合作伙伴愿意加入 BAA。同样，作为业务伙伴的公司在将工作分包给另一家公司时需要有 BASA。