在美國醫療保健行業運營的公司必須遵守 1996 年健康保險流通與責任法案 (HIPAA) 中定義的數據安全和隱私標準。HIPAA 法規部分旨在保護個人敏感和個人醫療保健信息的隱私和安全。

本文將討論組織何時需要簽訂商業伙伴分包商協議 (BASA)。我們將了解 BASA 與商業伙伴協議 (BAA) 的區別，以及它如何保護負責 HIPAA 合規性的組織。

重要術語

在深入研究確保 HIPAA 合規性所需的業務協議的細節之前，讓我們定義一些重要的術語。

受保護的健康信息和電子受保護的健康信息

受保護的健康信息 (PHI) 和電子受保護的健康信息 (ePHI) 是 HIPAA 立法旨在保護的患者數據。PHI 被定義為從一個人收集的個人可識別的健康信息，這些信息由涵蓋的實體記錄和接收。這包括可用于識別個人身份的人口統計和遺傳信息。

HIPAA 列出了 18 個需要保護的標識符，包括：

• 一個病人的名字
• 除年份外的日期
• 電話號碼
• 社會安全號碼
• 電子郵件地址
• 生物特征標識符，例如視網膜掃描

以電子方式傳輸或存儲在計算機系統中的 PHI 被視為 ePHI。HIPAA 法規的某些方面僅適用于 ePHI，我們很快就會看到。

涵蓋實體 (CE)

在討論 HIPAA 合規性時，以下類型的個人和組織被視為涵蓋實體：

• 以電子方式傳輸有關索賠、福利資格和轉介授權的健康信息的醫療保健提供者，無論診所規模大小
• 健康計劃，由制定計劃的雇主管理和維護的少于 50 名成員的團體計劃除外
• 將非標準信息處理成標準格式的醫療保健信息交換所

所有涵蓋的實體都需要遵守 HIPAA 隱私和安全規則。

商務助理 (BA)

業務伙伴是代表 CE 執行與使用或披露 PHI 相關的職能的任何個人或組織。BA 可以參與 CE 運營的許多方面。BA 也可以向 CE 提供服務。

BA 的一些例子是：

• 醫療賬單公司
• 會計師
• 律師和代理人
• 備份存儲提供商
• IT 支持供應商
• 協助理賠處理的第三方管理員

BA 可能會對違反 HIPAA 的行為負責。

業務助理分包商 (BAS)

商業伙伴分包商是為 BA 創建、傳輸或維護 PHI 或 ePHI 的實體。公司可以同時成為一個 CE 的 BA 和另一個 BA 的 BAS。上面列出的潛在 BA 示例還涵蓋了 BAS 可以執行的工作范圍。

對于作為 PHI 管道但與信息沒有任何直接關系的實體，存在一組有限的例外情況。互聯網服務提供商、美國郵政服務和其他快遞和送貨服務不被視為業務關聯分包商。

什么是 HIPAA 合規性？

兩條主要規則構成了 HIPAA 指南的基礎。CE、BA 和 BAS 必須遵守這些規則以保持 HIPAA 合規性。

HIPAA 隱私規則

HIPAA 隱私規則解決了受 HIPAA 指南約束的組織對 PHI 的使用和披露。該規則包括幫助患者了解其健康信息及其使用方式的標準。HIPAA 隱私規則的一個主要目標是保護個人的健康信息，同時使其能夠有效地用于提供高質量的醫療保健。在某些情況下，CE 可以在未經個人授權的情況下使用和披露 PHI，例如促進治療、付款或用于公共衛生利益。隱私規則同樣適用于 PHI 和 ePHI。

HIPAA 安全規則

HIPAA 安全規則專門用于保護 ePHI。它不適用于以書面或口頭方式傳輸的 PHI。安全規則要求所有 CE 和 BA：

• 確保 ePHI 的機密性、完整性和可用性
• 實施必要的措施來檢測和保護 ePHI 免受對其安全的威脅
• 防止 ePHI 被非法使用或泄露的可能性
• 證明其員工遵守安全規則

安全規則涉及電子傳輸和存儲的 ePHI，并且被發現對于解決醫療保健領域中使用的計算機化系統的興起是必要的。

HIPAA 授權的商業協議

不遵守 HIPAA 規定可能會導致違規實體受到嚴重的經濟處罰。涉及 ePHI 的數據泄露還會損害組織的聲譽，并導致客戶和消費者失去信心。在與 BA 合作以協助處理 PHI 和 ePHI 時，涵蓋實體需要保護自己。這種保護以 CE 與其合作伙伴之間的兩種協議形式內置于 HIPAA 指南中。

商業伙伴協議 (BAA)

與 BA 合作以協助處理 PHI 和 ePHI 的 CE 需要簽訂稱為“業務伙伴協議”(BAA) 的業務協議，定義其角色和職責。BAA 需要由兩個組織中有權訪問 PHI 的每個人簽署。

BAA 是一份書面合同，規定了各方在保護敏感醫療保健數據方面的責任。BAA 應制定以下準則：

• BA 為 CE 存儲或處理 ePHI 的原因
• BA 如何使用、存儲和處理 ePHI
• 保證 BA 不會以協議中未明確定義的方式使用 ePHI。
• 有關 BA 將如何保護 ePHI 以防止數據泄露的詳細信息。

從 2016 年開始與云服務提供商 (CSP) 合作時，需要將其他因素納入 BAA?。BAA 需要包括側重于 CSP 角色的服務水平協議 (SLA)。SLA 應解決與使用云基礎設施處理 ePHI 相關的問題。這些問題包括：

• 系統可靠性和可用性
• ePHI 將如何備份和恢復
• 服務終止時ePHI將如何銷毀
• 云基礎設施安全責任
• ePHI 的使用、披露和保留限制

即使 BA 只能訪問加密的 ePHI，BAA 也需要到位。

商業伙伴分包商協議 (BASA)

BA 可以決定聘用分包商來履行相關實體要求的某些職責。BA 有責任與其分包商簽訂商業伙伴分包商協議，定義他們在處理和保護 CE 的 ePHI 資源中的角色。BASA 的細節類似于 BAA。這兩份文件都概述了簽署人在保護 ePHI 方面的責任。主要區別在于 BAA 介于 CE 和 BA 之間，而 BASA 介于 BA 和其分包商之間。在許多情況下，BA 可能有多個 BASA，涵蓋處理個人敏感醫療保健數據的各個方面。

結論

在與第三方或 CSP 簽訂合同時，適用實體應堅持合作伙伴愿意加入 BAA。同樣，作為業務伙伴的公司在將工作分包給另一家公司時需要有 BASA。