Accord de partenariat commercial (HIPAA)
Un partenaire commercial HIPAA est une personne ou une organisation qui fournit certains services ou fonctions impliquant l'accès à des informations de santé protégées (PHI) pour le compte d'une entité couverte.
Qu'est-ce qu'un accord de partenariat commercial HIPAA (BAA) ?
Un accord de partenariat commercial HIPAA (BAA) est un contrat écrit entre une entité couverte et un partenaire commercial qui régit l'utilisation et la divulgation des informations de santé protégées (PHI) en vertu des Régles de confidentialité et de sécurité de la Health Insurance Portability and Accountability Act (HIPAA) Privacy et Security Rules.
Une entité couverte est un prestataire de soins de santé, un régime de santé ou une entreprise de compensation de soins de santé soumise aux règles de confidentialité et de sécurité de HIPAA. Un partenaire commercial est une personne ou une organisation qui effectue certaines fonctions ou activités impliquant l'utilisation ou la divulgation d'informations de santé protégées pour le compte d'une entité couverte, comme une société de facturation tierce, un fournisseur de services informatiques ou une société de transcription médicale.
Le BAA spécifie les utilisations et divulgations autorisées des informations de santé protégées par le partenaire commercial, ainsi que les obligations du partenaire commercial en matière de protection de la confidentialité et de la sécurité des informations de santé protégées. Le BAA peut inclure des dispositions relatives à :
- Mesures de protection des informations de santé protégées, telles que le cryptage et les contrôles d'accès
- Rapport des incidents de sécurité et des violations
- Restrictions sur l'utilisation et la divulgation des informations de santé protégées
- Conformité aux exigences de HIPAA et aux lois et règlements applicables
- Résiliation du BAA et disposition des informations de santé protégées
En vertu des régles HIPAA, les entités couvertes sont tenues de conclure des BAA écrits avec leurs partenaires commerciaux avant que toute information de santé protégée soit partagée avec le partenaire commercial. Le BAA doit être soigneusement rédigé pour garantir que les deux parties comprennent leurs obligations en vertu de HIPAA et soient en conformité avec la loi.
Le défaut de disposer d'un BAA en place avec un partenaire commercial peut entraîner des amendes et des pénalités importantes, ainsi que des dommages à la réputation de l'organisation. Par conséquent, il est important pour les entités couvertes d'établir et de maintenir des accords de partenariat commercial efficaces avec leurs partenaires commerciaux pour protéger la confidentialité et la sécurité des informations de santé protégées.