Von der Koordination von Terminen, der Pflege und dem Management des täglichen Betriebs gehört viel dazu, eine Gesundheitsorganisation zu führen.

Glücklicherweise gibt es Drittanbieter, die helfen können, einige dieser Aufgaben zu übernehmen, damit Ihr Team sich auf das Wesentliche konzentrieren kann. Aber die Nutzung von Drittorganisationen und Tools bedeutet oft, dass geschützte Gesundheitsinformationen (PHI) geteilt werden.

Wie können Sie also sicher Tools und Ressourcen nutzen und gleichzeitig die HIPAA-Compliance gewährleisten?

Die Antwort ist einfach: Vereinbarungen mit Geschäftspartnern.

Vereinbarungen mit Geschäftspartnern (BAAs) sind eine Art Vertrag, der gemäß HIPAA vorgeschrieben ist, um PHI zu schützen, wenn dies mit Dritten geteilt wird.

Manchmal als Geschäftsvertragsvereinbarungen bezeichnet, ist die Erstellung effektiver BAAs ein entscheidender Teil der HIPAA-Compliance.

Nachfolgend erklären wir, warum Sie BAAs benötigen und wie Sie sie erstellen.

Was ist ein Geschäftspartner?

Ein Geschäftspartner ist jede Einzelperson, jeder Anbieter oder jede Organisation, die mit den PHI einer Gesundheitsorganisation in Kontakt kommt. Geschäftspartner arbeiten mit gedeckten Einrichtungen zusammen, um Dienstleistungen wie das Speichern und Verarbeiten von PHI zu erbringen.

Da ein Geschäftspartner mit PHI umgeht, ist er ebenso verantwortlich für den Schutz der Gesundheitsdaten von Patienten wie eine gedeckte Einrichtung.

Beispiele für Geschäftspartner sind:

  • Buchhalter
  • Administratoren
  • Abrechnungsunternehmen
  • Cloud-Speicherdienste
  • Rechtsanwälte
  • IT-Personal
  • Rechtsanwälte
  • Daten- und Dokumentenspeicherdienste
  • Datenübertragungsdienste
  • Web-Hosting-Organisationen
  • Unternehmen für Papiervernichtung
  • Berater und Prüfer
  • Medizinische Transkriptionsdienste

Was ist eine Vereinbarung mit Geschäftspartnern?

Wenn eine gedeckte Einrichtung die Handhabung von PHI an Dritte auslagert, verlangt HIPAA, dass diese Dritten Zusicherungen geben, dass sie PHI schützen werden. Um dies zu beweisen, muss ein Geschäftspartner eine BAA mit der gedeckten Einrichtung abschließen.

Eine BAA ist ein rechtlich verbindliches Abkommen zwischen einer gedeckten Einrichtung und einem Geschäftspartner, das den Schutz von PHI gewährleistet. Diese Vereinbarungen sind gemäß der HIPAA-Sicherheitsregel vorgeschrieben.

Die Vereinbarung muss klar definieren, was ein Dritter mit PHI tun darf und nicht tun darf, sowie die Folgen für die Nichteinhaltung der Vereinbarung.

Sowohl Vertragsparteien als auch Geschäftspartner profitieren von einem BAA. Diese Vereinbarungen beseitigen die Unsicherheit im Umgang mit PHI.

Wer braucht eine Geschäftspartnervereinbarung?

Jeder Geschäftspartner, der PHI für eine Vertragspartei verarbeitet, muss ein BAA abschließen. BAAs sind auch erforderlich, wenn ein Geschäftspartner einen Unterauftragnehmer einsetzt, der die PHI der Vertragspartei verarbeitet.

Die Internetdienstanbieter und Kurierdienste einer Vertragspartei gelten nicht als Geschäftspartner und müssen kein BAA abschließen.

Die Mitarbeiter einer Vertragspartei gelten ebenfalls nicht als Geschäftspartner. Mitarbeiter einer Vertragspartei fallen jedoch trotzdem unter die HIPAA-Richtlinien. Das bedeutet, dass die Vertragspartei HIPAA-Schulungen für alle Mitarbeiter zur richtigen Handhabung und zum Schutz von PHI anbieten muss.

Wir empfehlen immer, spezifische Details mit Ihrer Rechtsabteilung zu klären, um sicherzustellen, dass Ihre BAAs alle notwendigen Themen abdecken.

Was sollte ein BAA enthalten?

HIPAA skizziert einige wesentliche Themen, die in einem BAA behandelt werden müssen.

  • Erlaubte Verwendungen von PHI
  • Maßnahmen zum Schutz vor Verstößen gegen die Nutzung oder Offenlegung von PHI
  • Einhaltung der HIPAA-Sicherheitsrichtlinien
  • Meldung unbefugter Verwendungen und Offenlegungen
  • Vereinbarungen mit Unterauftragnehmern
  • Zugriff auf PHI
  • Änderungen an PHI
  • Delegation der Aufgaben der Vertragspartei
  • Aufzeichnungen für den Sekretär des HHS zugänglich machen
  • Prozesse zur Rückgabe oder Vernichtung von PHI bei Kündigung
  • Kündigungsbestimmungen

Geschäftspartnervereinbarung Vorlage

Wir haben ein Beispiel für eine Geschäftspartnervereinbarung erstellt, um Ihnen bei der Erstellung Ihrer eigenen zu helfen.

Denken Sie daran, dass es mehr beinhaltet, ein BAA zu erstellen, als nur Lücken auszufüllen. Verwenden Sie diese Vorlage als Ausgangspunkt und passen Sie sie nach Bedarf an, um sie an Ihre Vereinbarung anzupassen.

Was passiert, wenn eine Geschäftspartnervereinbarung verletzt wird?

Wenn eine BAA verletzt wird, muss die Vertragspartei Maßnahmen ergreifen, um den Verstoß zu beheben oder die Verletzung durch den Geschäftspartner zu beenden. Wenn diese Maßnahmen erfolglos bleiben, muss die Vertragspartei den Vertrag kündigen, um PHI zu schützen.

Selbst wenn ein Verstoß durch einen Geschäftspartner verursacht wird, teilen sich beide Parteien die Verantwortung, den Verstoß zu beheben. Diese Verantwortlichkeiten können umfassen:

  • Meldung des Verstoßes an das HHS
  • Benachrichtigung der betroffenen Personen per Erstklasspost
  • Benachrichtigung der Medien (falls mehr als 500 Personen betroffen sind)
  • Bereitstellung von Informationen für betroffene Personen, die Fragen zum Verstoß haben

Was passiert, wenn keine BAA vorhanden ist?

Das U.S.-Gesundheitsministerium (HHS) hat das Recht, gedeckte Einrichtungen, Geschäftspartner und Unterauftragnehmer jederzeit zu überprüfen.

Wenn das HHS feststellt, dass ein Unternehmen nicht konform mit HIPAA ist, kann dieses Unternehmen rechtliche und finanzielle Konsequenzen erleiden.

Wenn keine BAA vorhanden ist, können beide Parteien für HIPAA-Strafen haftbar gemacht werden – nicht nur das Unternehmen, das den Verstoß verursacht hat.

Aus diesem Grund sind BAAs nicht nur entscheidend, um sicherzustellen, dass alle Dritten PHI sicher handhaben, sondern auch, um Ihre eigene Organisation vor HIPAA-Verstößen zu schützen.

Beispiele für Fehler bei Geschäftspartnervereinbarungen

Häufige BAA-Fehler seitens der Geschäftspartner umfassen:

  • Nichteinhaltung der Anforderungen der HIPAA-Sicherheitsregel
  • Nichtbereitstellung der Verstoßbenachrichtigung an eine gedeckte Einrichtung oder einen anderen Geschäftspartner
  • Unzulässige Verwendungen und Offenlegungen von PHI
  • Versäumnis, angemessene Anstrengungen zu unternehmen, um PHI auf das notwendige Minimum zu beschränken, um den beabsichtigten Zweck der Verwendung, Offenlegung oder Anfrage zu erreichen
  • Versäumnis, eine Auflistung der Offenlegungen bereitzustellen
  • Versäumnis, BAAs mit Unterauftragnehmern abzuschließen, die PHI in ihrem Namen erstellen oder empfangen
  • Versäumnis, angemessene Maßnahmen zu ergreifen, um einen wesentlichen Verstoß oder eine Verletzung der Geschäftspartnervereinbarung des Unterauftragnehmers anzugehen

Strafen für Verstöße gegen Geschäftspartnervereinbarungen gemäß HIPAA

Wie bereits erwähnt, kann das Versäumnis, BAAs zu erstellen und einzuhalten, rechtliche und finanzielle Konsequenzen nach sich ziehen.

HIPAA kategorisiert Ereignisse der Nichteinhaltung in zwei Kategorien: zivil- und strafrechtliche Strafen. Die Strafen können Geldstrafen, Korrekturmaßnahmenpläne oder sogar Freiheitsstrafen umfassen.

Die HIPAA-Strafen variieren in ihrer Schwere je nach Art des Vergehens und dem Wissen des Täters über den Verstoß.

Wie Secureframe Ihnen helfen kann, Geschäftspartnervereinbarungen zu erstellen und aufrechtzuerhalten

Wie Secureframe Ihnen helfen kann, Geschäftspartnervereinbarungen zu erstellen und aufrechtzuerhalten

Geschäftspartnervereinbarungen dienen als Verteidigungslinie, die nicht nur Patienteninformationen, sondern auch Ihre organisatorische Haftung schützt.

Es gibt viele Faktoren zu berücksichtigen, wenn wasserdichte BAAs erstellt werden. Unser Expertenteam ist versiert darin, BAAs zu erstellen, die die strengen Anforderungen von HIPAA erfüllen.

Um herauszufinden, wie Secureframe Ihre HIPAA-Konformität optimieren kann, fordern Sie noch heute eine Demo an.

FAQ zu Geschäftspartnervereinbarungen

Was ist eine HIPAA-Geschäftspartnervereinbarung?

Ein HIPAA Business Associate Agreement (BAA) ist ein Vertrag zwischen einer von HIPAA abgedeckten Einrichtung und einem Geschäftspartner (oder zwischen zwei Geschäftspartnern), der die Schutzmaßnahmen beschreibt, die ergriffen werden müssen, um geschützte Gesundheitsinformationen (Protected Health Information, PHI) gemäß den HIPAA-Vorschriften zu schützen.

Das BAA muss die zulässigen und erforderlichen Verwendungen von PHI durch den Geschäftspartner festlegen, sicherstellen, dass der Geschäftspartner die PHI nicht anders verwendet oder offenlegt, als es der Vertrag oder das Gesetz zulässt oder verlangt, und den Geschäftspartner verpflichten, geeignete Schutzmaßnahmen zu implementieren, um eine unbefugte Nutzung oder Offenlegung der Informationen zu verhindern.

Wie oft müssen Geschäftspartnervereinbarungen erneuert werden?

Ein BAA gilt so lange, wie der Vertrag zwischen der abgedeckten Einrichtung und dem Geschäftspartner besteht. Diese Vereinbarungen müssen nicht regelmäßig neu unterzeichnet werden und gelten effektiv als unbefristete Dokumente.

Es wird jedoch als Best Practice angesehen, BAAs regelmäßig zu überprüfen, um sicherzustellen, dass die Informationen aktuell und auf dem neuesten Stand sind, insbesondere in Bezug auf Änderungen der HIPAA- oder Landesgesetze.

Wenn Änderungen an der Nutzung oder Offenlegung von PHI für Geschäftspartner vorgenommen werden, sollten beide Parteien die Aktualisierung unterschreiben und datieren, um sie zu bestätigen.

Muss ich als Geschäftspartner eine Vereinbarung mit anderen Unternehmen treffen, wenn ich ePHI mit ihnen teile?

Ja, Geschäftspartner sind verpflichtet, eine Vereinbarung mit jedem Unterauftragnehmer zu treffen, der PHI vom Geschäftspartner erstellt, verwaltet, übermittelt oder empfängt. Diese Vereinbarungen sind als Unterauftrags-BAAs bekannt.

HIPAA verlangt von Geschäftspartnern sicherzustellen, dass jeder Unterauftragnehmer mit Zugang zu PHI den gleichen Einschränkungen und Bedingungen zustimmt und diese einhält, wie sie im ursprünglichen Vertrag zwischen der abgedeckten Einrichtung und dem Geschäftspartner festgelegt sind.

Was ist der Unterschied zwischen einem BAA und einem NDA?

Ein BAA ist eine rechtlich bindende Vereinbarung, die eine HIPAA-abgedeckte Einrichtung und ein Geschäftspartner eingehen müssen, um PHI zu schützen. Es wird durch die HIPAA-Sicherheitsregel vorgeschrieben. Ein NDA ist ebenfalls eine rechtlich bindende Vereinbarung – jedoch nicht durch HIPAA vorgeschrieben und nicht zum Schutz von PHI abgeschlossen. Diese Art von Vereinbarung kann zwischen vielen Arten von Einrichtungen und Einzelpersonen geschlossen werden, um sicherzustellen, dass der Unterzeichner bestimmte Informationen vertraulich behandelt.

Wer braucht ein Business Associate Agreement?

Ein Business Associate Agreement ist erforderlich zwischen einer HIPAA-abgedeckten Einrichtung (wie Gesundheitsdienstleistern, Krankenversicherungen und Clearingstellen im Gesundheitswesen) und einem Geschäftspartner. Ein Geschäftspartner ist eine Person oder Einrichtung, die bestimmte Funktionen oder Aktivitäten im Namen einer abgedeckten Einrichtung ausführt oder bestimmte Dienstleistungen für eine abgedeckte Einrichtung erbringt, die die Verwendung oder Offenlegung von PHI beinhalten.

Wenn ein Geschäftspartner einen anderen Vertragspartner beauftragt, Arbeiten auszuführen, die PHI beinhalten, ist auch ein BAA zwischen dem Geschäftspartner und dem Unterauftragnehmer erforderlich.