Geschäftspartner (HIPAA)
Ein HIPAA-Geschäftspartner ist eine Person oder Organisation, die bestimmte Dienstleistungen oder Funktionen bereitstellt, die den Zugriff auf geschützte Gesundheitsinformationen (PHI) im Namen einer gedeckten Einrichtung beinhalten.
Was ist ein HIPAA-Geschäftspartner?
Ein HIPAA-Geschäftspartner ist eine Person oder Organisation, die bestimmte Dienstleistungen oder Funktionen bereitstellt, die den Zugriff auf geschützte Gesundheitsinformationen (PHI) im Namen einer gedeckten Einrichtung beinhalten. Gedeckte Einrichtungen sind Gesundheitsdienstleister, Krankenkassen und Clearingstellen im Gesundheitswesen, die den HIPAA-Datenschutz- und Sicherheitsregeln unterliegen.
Beispiele für HIPAA-Geschäftspartner können umfassen:
- Fakturierungsgesellschaften von Drittanbietern
- IT-Dienstleister
- Medizinische Transkriptionsunternehmen
- Unternehmen zur Schadensbearbeitung
- Berater im Gesundheitswesen
- Anwälte und Buchhalter, die Dienstleistungen für gedeckte Einrichtungen erbringen und dabei Zugriff auf PHI haben
Gemäß den HIPAA-Vorschriften sind gedeckte Einrichtungen verpflichtet, schriftliche Vereinbarungen mit ihren Geschäftspartnern abzuschließen, um sicherzustellen, dass sie den Datenschutz und die Sicherheit von PHI gemäß den HIPAA-Anforderungen schützen. Diese Vereinbarungen, genannt Geschäftspartnervereinbarungen (Business Associate Agreements, BAAs), müssen unterzeichnet werden, bevor PHI mit dem Geschäftspartner geteilt wird. Das BAA legt die zulässigen Verwendungszwecke und Offenlegungen von PHI durch den Geschäftspartner fest sowie die Verpflichtungen des Geschäftspartners hinsichtlich des Schutzes der PHI.
Geschäftspartner unterliegen auch direkt bestimmten Bestimmungen der HIPAA-Datenschutz- und Sicherheitsregeln und können bei Nichteinhaltung dieser Anforderungen mit Strafen und Geldbußen belegt werden. Darüber hinaus erweiterte die 2013 in Kraft getretene HIPAA-Omnibus-Regel die Definition von Geschäftspartnern um Unterauftragnehmer, was bedeutet, dass die nachgelagerten Auftragnehmer und Anbieter eines Geschäftspartners, die Zugriff auf PHI haben, denselben HIPAA-Anforderungen unterliegen wie der Geschäftspartner.