随着HIPAA法案Omnibus Rule的全面实施,我们看到的最大变化之一是对商业伙伴的新责任。虽然涵盖实体一直被要求与服务提供商签订商业伙伴协议,但这个Omnibus Rule的不同之处在于,它扩展了政府对这些协议的监管范围。
签署BAA的服务提供商现在直接受美国卫生和人类服务(HHS)的监管。此外,涵盖实体现在需要共同承担商业伙伴行为的责任。
在本文中,我们将讨论HIPAA法案涵盖的企业应该了解的商业伙伴的角色转变,以及为遵守Omnibus Rule,企业应该如何调整其业务流程。
商业伙伴的角色转变
医院、医疗保险公司、医疗门诊以及其他HIPAA涵盖实体通常依赖外部服务提供商来协助其管理、病人护理和其他任务,其中供应商会接触受保护的医疗信息(PHI)。在这种情况下,根据HIPAA法案,供应商被视为商业伙伴,涵盖实体需要与供应商签订BAA,其中规定以书面形式概述该服务提供商将如何保护PHI,并最终支持HIPAA法案合规企业的合规工作。
随着HIPAA Omnibus Rule的发布,HHS扩大了商业伙伴的定义,其中涵盖了一些新类型的实体。首先,涉及病人安全活动(例如医疗错误报告)的企业现在被视为商业伙伴。其次,该定义现在包括健康信息组织、电子处方网关以及其他提供数据传输服务的企业。最后,也许是最重要的,商业伙伴关系现在还延伸到代表商业伙伴接触PHI的分包商。
此外,根据新的规则,HHS扩大了对这些商业伙伴和分包商的直接监管。现在,HHS可以审核商业伙伴是否符合HIPAA法案要求,并对不符合规定的商业伙伴采取执法行动。对于商业伙伴来说,这是一个重大变革,他们现在即将面临2014年的HIPAA系列审计。
涵盖实体的行动计划
对于HIPAA涵盖实体来说,这些变化意味着什么?可以说,这些涵盖实体有很多工作要做,他们需要确保所有商业伙伴协议都符合规定。
这个过程的第一步应该是对所有服务提供商进行全面审查以确保在必要的时候签署BAA。如果商业伙伴关系涉及共享受保护的健康信息,就有必要签署BAA。
接着,审查已经签署的BAA的协议内容,以确保符合HIPAA Omnibus Rule的要求。这并不属于安全专家的工作,因为这涉及法律专业知识。请咨询律师,并要求他们审阅每份协议以确保合规性。HHS在其官网提供了一个BAA模板,企业可以根据自身需求来修改这个模板。
最后,与每个商业伙伴面谈,要求他们提供HIPAA合规的保证。根据审查水平的不同,企业可以要求独立HIPAA评估的结果,执行独立的监控审核或者依赖由供应商提供的控制的描述。为什么这么麻烦?HIPAA涵盖的所有企业现在都面临商业伙伴合规问题。按照旧的规则,涵盖实体不需要对商业伙伴的行为负责任。然而,Omnibus Rule规定,涵盖实体需要为作为涵盖实体代理的商业伙伴的行为承担法律责任。换句话说,如果商业伙伴遭遇涉及PHI的数据泄露事故时,HIPAA涵盖实体可能也面临违规,惩罚和负面新闻都会随之而来。
Omnibus Rule对涵盖实体及其商业伙伴之间的关系进行了一些变更。除了扩展商业伙伴的定义外,该规则还为BAA双方制定了新的责任。毫无疑问,最大的教训是:如果你现在还没有这样做的话,现在应该开始审查这些BAA了!
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
保护个人医疗信息:遵守HIPAA是否就已足够?
想要全面保护个人医疗信息,单靠遵守HIPAA是不够的,专家Mike Chapple解释了哪些类型的数据没有受HIPAA的保护。
-
预定义DLP规则可以防止HIPAA和PCI DSS违例吗?
DLP产品通常包括预定义规则集,可以避免违反HIPAA或PCI DSS规则的数字泄露。不过,是不是真的值得花时间和精力来部署这些规则集呢?
-
企业数据库合规的最佳实践
数据库是存放数据、经常是那些高敏感度数据的宝库,因此它也毫无疑问的是合规检查程序的重点区域。为了遵守合规要求同时保证数据库安全,企业该如何做?
-
确保网络安全 对网站内容的访问进行控制
有读者提出这样的问题:从战略和技术的角度来看,最好采取什么样的方式来访问网站内容,而且在访问的同时确保环境中的网络安全?TT安全专家分析和讲解了……