Desde organizar horarios, brindar atención y gestionar las operaciones diarias, mucho se requiere para administrar una organización de atención médica.
Afortunadamente, existen proveedores externos que pueden ayudar a aliviar parte de la carga de tu equipo para que se concentren en lo más importante. Pero usar organizaciones y herramientas de terceros a menudo significa compartir información de salud protegida, o PHI.
Entonces, ¿cómo usar de manera segura herramientas y recursos mientras se mantiene el cumplimiento de HIPAA?
La respuesta es simple: Acuerdos de Asociado Comercial.
Los Acuerdos de Asociado Comercial (BAA) son un tipo de contrato exigido por HIPAA para proteger la PHI cuando se comparte con un tercero.
A veces referidos como Contratos de Asociado Comercial, crear BAA efectivos es una parte crucial para cumplir con HIPAA.
A continuación, exploramos por qué necesitas BAA y cómo crearlos.
¿Qué es un asociado comercial?
Un asociado comercial es cualquier individuo, proveedor u organización que entra en contacto con la PHI de una organización de atención médica. Los asociados comerciales trabajan con entidades cubiertas para realizar servicios como almacenar y procesar PHI.
Dado que un asociado comercial maneja PHI, es igual de responsable de proteger los datos de salud del paciente que una entidad cubierta.
Ejemplos de asociados comerciales incluyen:
- Contadores
- Administradores
- Empresas de facturación
- Servicios de almacenamiento en la nube
- Abogados
- Personal de TI
- Archiveros
- Servicios de almacenamiento y manejo de documentos
- Servicios de transmisión de datos
- Organizaciones de alojamiento web
- Empresas de destrucción de documentos
- Consultores y auditores
- Servicios de transcripción médica
¿Qué es un acuerdo de asociado comercial?
Si una entidad cubierta subcontrata el manejo de PHI a un tercero, HIPAA requiere que esos terceros proporcionen garantías de que protegerán la PHI. Para demostrarlo, un asociado comercial debe firmar un BAA con la entidad cubierta.
Un BAA es un acuerdo legalmente vinculante entre una entidad cubierta y un asociado comercial que asegura la protección de la PHI. Estos acuerdos son exigidos por la Regla de Seguridad HIPAA.
El acuerdo debe definir claramente qué puede y qué no puede hacer un tercero con la PHI, así como las consecuencias por el incumplimiento del acuerdo.
Tanto las entidades cubiertas como los socios comerciales se benefician al firmar un BAA. Estos acuerdos eliminan las conjeturas sobre cómo manejar la PHI.
¿Quién necesita un acuerdo de socio comercial?
Cualquier socio comercial que maneje PHI para una entidad cubierta necesita completar un BAA. Los BAA también son necesarios si un socio comercial utiliza un subcontratista que manejará la PHI compartida por una entidad cubierta.
Los proveedores de servicios de internet y los socios de servicios de mensajería de una entidad cubierta no se consideran socios comerciales y no necesitan completar un BAA.
Los empleados de una entidad cubierta tampoco se consideran socios comerciales. Sin embargo, los empleados que trabajan para una entidad cubierta aún están bajo la jurisdicción de HIPAA. Esto significa que la entidad cubierta debe proporcionar capacitación HIPAA a todos los empleados sobre el manejo y la protección adecuados de la PHI.
Siempre recomendamos aclarar cualquier detalle con su departamento legal para asegurarse de que sus BAA cubran todos los temas necesarios.
¿Qué debe incluir un BAA?
HIPAA describe algunos temas esenciales que deben cubrirse en un BAA.
- Usos permitidos de la PHI
- Salvaguardias para prevenir violaciones del uso o divulgación de la PHI
- Cumplimiento con la Regla de Seguridad de HIPAA
- Reporte de usos y divulgaciones no autorizados
- Acuerdos con subcontratistas
- Quién puede acceder a la PHI
- Enmiendas a la PHI
- Delegación de las tareas de la entidad cubierta
- Registros disponibles para el Secretario del HHS
- Procesos para devolver o destruir la PHI al finalizar el contrato
- Provisiones de terminación
Plantilla de acuerdo de socio comercial
Hemos creado un ejemplo de acuerdo de socio comercial para ayudarle a crear el suyo propio.
Recuerde que crear un BAA implica más que solo llenar los espacios en blanco. Use esta plantilla como punto de partida y personalícela según sea necesario para ajustarse a su acuerdo.
¿Qué sucede cuando se viola un acuerdo de socio comercial?
Cuando se viola un BAA, la entidad cubierta debe tomar medidas para abordar la violación o terminar con la infra-cción causada por un socio comercial. Si estos pasos no tienen éxito, la entidad cubierta debe terminar el contrato para proteger la PHI.
Incluso si una violación es causada por un asociado comercial, ambas partes comparten la responsabilidad de abordar la violación. Esas responsabilidades pueden incluir:
- Informar de la violación al HHS
- Notificar a los individuos afectados por correo de primera clase
- Notificar a los medios (si más de 500 individuos están afectados)
- Proporcionar información a los individuos afectados que tengan preguntas sobre la violación
¿Qué pasa si no hay un BAA en su lugar?
El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) tiene el derecho de auditar a las entidades cubiertas, asociados comerciales y subcontratistas en cualquier momento.
Si el HHS descubre que una empresa no cumple con HIPAA, esa empresa puede enfrentar consecuencias legales y financieras.
Si no hay un BAA en su lugar, ambas partes pueden encontrarse en problemas por las sanciones de HIPAA, no solo el negocio que causó la violación.
Por esta razón, los BAA son críticos no solo para asegurar que todos los terceros manejen la PHI de forma segura, sino también para proteger a tu propia organización de las violaciones de HIPAA.
Lectura recomendada
Quién hace cumplir HIPAA + Cómo asegurar que tu negocio cumpla con ella
Read MoreEjemplos de fallos en los acuerdos de asociados comerciales
Fallos comunes en los BAA por parte de los asociados comerciales incluyen:
- Fallo en cumplir con los requisitos de la Regla de Seguridad de HIPAA
- Fallo en proporcionar notificación de violaciones a una entidad cubierta u otro asociado comercial
- Usos y divulgaciones no permitidos de PHI
- Fallo en hacer esfuerzos razonables para limitar la PHI al mínimo necesario para lograr el propósito previsto del uso, divulgación o solicitud
- Fallo en proporcionar un registro de divulgaciones
- Fallo en firmar BAA con subcontratistas que crean o reciben PHI en su nombre
- Fallo en tomar medidas razonables para abordar una violación material o incumplimiento del acuerdo de asociado comercial del subcontratista
Sanciones por fallos en los acuerdos de asociados comerciales de HIPAA
Como se mencionó, el no crear y cumplir con los BAA puede resultar en consecuencias legales y financieras.
HIPAA categoriza los eventos de incumplimiento en dos categorías: sanciones civiles y penales. Las sanciones pueden incluir multas, planes de acción correctiva e incluso tiempo en prisión.
Las sanciones de HIPAA varían en severidad según la naturaleza de la ofensa y el conocimiento que el infractor tuviera de la violación.
Cómo Secureframe puede ayudarte a crear y mantener acuerdos de asociados comerciales
Cómo Secureframe puede ayudarte a crear y mantener acuerdos de asociados comerciales
Los acuerdos de asociados comerciales sirven como una línea de defensa que protege no solo la información del paciente, sino también la responsabilidad organizacional.
Hay muchos factores a considerar al crear acuerdos de asociados comerciales a prueba de fallos. Nuestro equipo de expertos está bien versado en crear acuerdos que satisfacen los rigurosos requisitos de HIPAA.
Para averiguar cómo Secureframe puede simplificar tu cumplimiento con HIPAA, solicita una demostración con nuestro equipo hoy.
Preguntas frecuentes sobre el acuerdo de asociados comerciales
¿Qué es un acuerdo de asociado comercial de HIPAA?
Un Acuerdo de Asociado Comercial (BAA, por sus siglas en inglés) de HIPAA es un contrato entre una entidad cubierta por HIPAA y un asociado comercial (o entre dos asociados comerciales) que describe las medidas de protección que deben implementarse para salvaguardar la Información de Salud Protegida (PHI, por sus siglas en inglés) según las regulaciones de HIPAA.
El BAA debe especificar los usos permitidos y requeridos de la PHI por parte del asociado comercial, asegurar que el asociado comercial no utilizará o divulgará la PHI más allá de lo permitido o requerido por el contrato o según lo exigido por la ley, y requerir al asociado comercial implementar las salvaguardas apropiadas para evitar el uso o divulgación no autorizados de la información.
¿Con qué frecuencia deben renovarse los acuerdos de asociados comerciales?
Un BAA dura mientras dure el contrato del proveedor entre la entidad cubierta y el asociado comercial. Estos acuerdos no necesitan ser firmados de forma recurrente y son, efectivamente, documentos perpetuos.
Sin embargo, se considera una buena práctica revisar los BAA regularmente para asegurarse de que la información esté actualizada y al día con cualquier cambio en las leyes de HIPAA o del estado.
Cuando se realicen ajustes en el uso o divulgación de PHI para los asociados comerciales, asegúrese de que ambas partes firmen y daten para reconocer la actualización.
Si, como asociado comercial, comparto ePHI con otras compañías, ¿necesito firmar un acuerdo con ellas?
Sí, los asociados comerciales están obligados a celebrar un acuerdo con cualquier subcontratista que cree, mantenga, transmita o reciba PHI del asociado comercial. Estos acuerdos se conocen como BAA de subcontratistas.
HIPAA requiere que los asociados comerciales aseguren que cualquier subcontratista con acceso a PHI acuerde y adhiera a las mismas restricciones y condiciones descritas en el acuerdo original entre la entidad cubierta y el asociado comercial.
¿Cuál es la diferencia entre un BAA y un NDA?
Un BAA es un acuerdo legalmente vinculante que una entidad cubierta por HIPAA y un asociado comercial deben celebrar para proteger la PHI. Está requerido por la Regla de Seguridad HIPAA. Un NDA también es un acuerdo legalmente vinculante, sin embargo, no es requerido por HIPAA y no se celebra para asegurar la protección de la PHI. Este tipo de acuerdo se puede hacer entre muchos tipos de entidades e individuos para asegurar que el firmante mantenga cierta información confidencial.
¿Quién necesita un Acuerdo de Asociado Comercial?
Se requiere un Acuerdo de Asociado Comercial entre una entidad cubierta por HIPAA (como proveedores de atención médica, planes de salud y cámaras de compensación de atención médica) y un asociado comercial. Un asociado comercial es una persona o entidad que realiza ciertas funciones o actividades en nombre de, o proporciona ciertos servicios a, una entidad cubierta que involucran el uso o divulgación de PHI.
Si un asociado comercial subcontrata con otra entidad para realizar trabajo que involucra PHI, también se requiere un BAA entre el asociado comercial y el subcontratista.