10月
2018
HIPAA挑战:医疗保健的BAA违约准备困境
凯瑟琳·肯尼和格雷格·沃尔德斯特雷彻著
郑重声明
第三十卷第九页
对于今天的医疗机构来说,数据泄露和安全事件更多的是“何时”的问题,而不是“是否”的问题。黑皮书市场研究公司(Black Book Market Research)在2018年进行的一项网络安全调查发现,自2016年第三季度以来,90%的医疗机构经历过数据泄露,近50%的机构经历过5次以上的数据泄露。
2018年的数据也好不到哪里去:仅第一季度就有110起数据泄露事件,泄露了113万条记录。
当发现违规事件时,组织必须迅速响应,并满足HIPAA和州法律规定的严格通知窗口,以及业务合作协议(BAAs)中概述的合同条款。这使得管理层部署主动策略以确保违规响应准备就绪变得比以往任何时候都更加重要。
一个按部就班的行动计划,确保所需的通知时限得到满足,这是一个坚实的基础。
受保护实体(CE)必须与代表CE或为CE服务的任何个人或实体签订BAA,这些个人或实体执行涉及使用或披露受保护健康信息(PHI)的某些功能或活动。这些协议为CE和民权办公室(OCR)提供了令人满意的保证,即业务伙伴(BA)将保护其拥有的PHI,并准备在发生违规行为时采取必要措施遵守HIPAA和BAA。
对BAAs的有效监督在响应准备中起着重要作用,因为这些合同的条款通常比法规本身更严格,并驱动许多违约后流程。然而,有效管理BAAs的策略并没有跟上它们不断增加的数量。许多卫生系统已经积累了成千上万的BAAs,然而卫生保健管理人员往往对现有协议的数量、位置以及每个协议的具体条款缺乏透明的了解,直到事件发生。
从HIPAA遵从性和声誉的beplay最新备用网站角度来看,这是一个大问题。
近年来,随着ocr发起的调查优先审查这些协议,围绕BAA合规性的风险变得越来越高。beplay最新备用网站在某些情况下,调查产生了巨额罚款。因此,对BAAs的监督现在是至关重要的。BAA管理的现状必须从被动响应转变为利用自动化和技术支持的工作流程来确保准备就绪的良好策略。
BAA基础知识
HIPAA要求ce和BAs签订书面协议,以确保PHI将按照HIPAA指导方针受到保护。如上所述,如果一个组织代表CE或另一个BA“创建、接收、维护或传输”PHI,那么该组织就有资格成为BA。baa还详细说明了违规通知和响应的时间框架,或者ba将违规事件通知ce的允许时间。
识别有资格成为BAs的供应商并不总是那么容易。界线可能会变得模糊,因为并非所有与医疗保健组织合作的外部供应商或服务提供商都有资格成为HIPAA下的BAs。虽然很少,但也存在一些例外,如园林设计师、看门人和服务承包商(即纸张供应商)。典型的ba示例包括数据和分析软件提供商、计费公司和医疗软件提供商。
供应商可以从豁免服务转换为使其有资格作为BA的服务。例如,为消费电子产品提供电话会议线路的公司可能会扩展其产品,包括屏幕共享和录音服务。
根据Manatt的报告,为了确保合规性,许多医疗保健组织与所有供应商签订了BAAbeplay最新备用网站s,而不管他们是否交换PHI,这增加了整个企业中存在的合同数量。
增加了复杂性的是,一些组织同时担任ce和ba。例如,Amazon Web Services必须与在其云中存储PHI的所有客户端签署BAAs。在这种情况下,亚马逊就是BA。然而,亚马逊最近收购了在线药店PillPack,在其保护伞下创建了一个CE。现在,亚马逊必须从两个不同的HIPAA角度来管理它的协议。
由于在当今的医疗保健环境中,BAA管理主要是一项手动功能,因此从两个角度来看,这些类型的场景增加了对BAA进行分类和维护违约响应准备的复杂性。
BAA挑战
当违约发生时,考虑以下与BAAs相关的典型流程流:
一家大型卫生系统联系其律师,律师要求提供所有baa的副本,以开始大规模的数据提取过程。除了确定每个协议的违约通知条款外,律师还必须找出诸如赔偿、联系点和州法律规定等关键要素。
然后,监督违规响应的人员必须创建一个数据存储柜,并手动跟踪现有的所有baa——通常相当于分布在设施、部门和所有者之间的数千个文档。
一旦确定并上传了所有baa,项目经理将与组织律师共享数据库。由于每个BAA的条款差异很大,必须对每个协议进行人工审查,以提取所需的信息。每个协议通常需要一到两个小时。因此,在完成初始数据挖掘过程之前花费数周时间并不罕见,这使卫生系统面临更大的不合规和暴露风险。beplay最新备用网站
缺乏对BAAs的可见性是整个行业普遍存在的问题。在最基本的层面上,Manatt报告发现,大型组织在保持baa的准确计数方面面临着重大挑战。医疗保健部门快速增长的整合趋势加剧了这种情况,许多组织缺乏管理协议的集中方法,也缺乏跟上其不断增长的数量所需的资源。
在泄露事件发生后提取数据可能是乏味、昂贵且压力很大的工作。由于不断变化和发展的监管环境以及患者保护协议在整体安全战略中发挥的重要作用,BAAs中包含的语言变得更加复杂。
因此,每个协议中的义务是不同的。人工分析信息以确保合同条款在数千个baa中得到遵守的成本可能会迅速增加,尤其是考虑到仅文档审查一项的平均律师费就超过每小时250美元。此费用不包括任何战略监督或来自执行级别律师的咨询。例如,一名初级律师可能被用来进行初步审查和提取,但收费高得多的律师——每小时700美元以上——也可能审查工作,并提供监督和指导。
在技术的帮助下,医疗保健组织可以依靠法律顾问就事件和缓解步骤提供建议,并从一开始就坚定地理解组织在BAA下的义务。
此外,许多协议缺少关键的违规响应信息,例如不同组织的联系点或他们首选的外展方法。为了达到准备就绪的状态,医疗保健组织必须走在这条信息曲线的前面,然而许多管理人员发现流程成本过高,或者不愿意花费大量资源。因此,当秩序的价值主张是最重要的时候,违约响应过程是不必要的混乱。
更好的BAA违约准备策略
为了改善与BAAs相关的违约准备情况,医疗保健组织理想地实现一种经济有效的方法,以提高整个企业对这些协议的可见性。正确的基础设施与战略所有权和监督相结合,可以帮助克服分散管理与集中式管理相关的障碍、关于每个BAA所包含内容的知识差距,以及及时访问可以为违规响应策略提供动力的见解。
BAAs的自动化、集中管理是一个重要的考虑因素,它可以促进急需的流程改进。与医疗保健的许多领域一样,正确的技术框架可以提供创造效率、加快响应和填补关键知识空白所需的透明度,例如现有BAAs的准确统计和各自联络点的完整列表。
一旦在中央存储库中编译,人工智能就可以用来提取可操作的见解,例如违规通知时间框架。总之,这些技术支持的流程克服了成本障碍,并确保在违规发生时及时访问所需的信息。
此外,技术可以为主动的漏洞准备过程提供动力,例如定期的BAA审计。至少,高管可以通过回答以下关键问题来识别关键术语,从而更好地理解组织风险:
- 哪些baa缺少联系点、电话号码或邮寄地址?
- 哪些协议需要在7天内通知?
当涉及到数据泄露和安全事件时,医疗保健组织面临着一个强大的敌人。准备就绪和有效的违规响应流程对于为医疗保健客户和患者实现最佳结果至关重要,而有效的BAA管理是其中的重要组成部分。
医疗保健管理人员明智的做法是,利用技术将响应从被动转变为主动,从而优先考虑这一领域的流程改进。
- Kathleen (Katie) Kenney是Polsinelli PC公司芝加哥办事处的隐私和安全律师,专门研究HIPAA和国际隐私问题,包括通用数据保护条例。
Greg Waldstreicher是PHIflow的创始人兼首席执行官,也是DoseSpot的联合创始人兼前首席执行官,在那里他在电子处方市场的前沿工作了9年。在Waldstreicher的领导下,DoseSpot将其软件即服务电子处方解决方案授权给医疗、牙科、临终关怀和数字健康市场的175家医疗保健软件公司。
