对于任何行业中存储个人信息的组织来说,拥有适当的内部系统和程序来管理数据安全至关重要。但是,依赖外部供应商来处理,存储或以其他方式使用此类信息的医疗保健组织必须采取额外的步骤,以确保这些供应商采取适当的安全措施,因为供应商方面的失败可能归因于使用该供应商的组织。确实,仅不与供应商签订“商业伙伴协议”以获得足够的保证,即那些供应商将适当保护受保护的健康信息(“ PHI”),将被视为被涵盖实体未能遵守HIPAA –即使没有单独的数据泄露迹象。美国卫生与公众服务部(“ HHS”)最近重申了这一原则,要求医疗保健提供者支付31,000美元并遵守为期两年的纠正措施计划,因为它未与第三者签订商业伙伴协议。服务提供商。换句话说,在HHS看来,在没有此类协议的情况下将PHI提供给供应商实际上构成了违约。

2017年4月20日,HHS民权办公室(“ OCR”)宣布已与伊利诺伊州一家小型医疗保健提供者儿童消化健康中心(“该中心”)达成协议,在将包含将近11,000位患者的PHI的记录转移到Filefax进行存储之前,必须与Filefax Inc.(“ Filefax”)签署业务伙伴协议。根据OCR和中心签订的解决协议,对可能违反隐私规则(45​​ C.F.R.第160部分和164部分的A和E子部分)的调查显示,中心:

  • 无法“以书面商业伙伴协议的形式从Filefax获得令人满意的保证,即Filefax将适当保护Filefax所拥有或控制的PHI”;和
  • “在[中心]将PHI转移到Filefax时,未经书面同意,以书面形式的商业联系协议的形式获得Filefax的合理保证,即向Filefax泄露了至少10,728个人的PHI。

除了31,000美元的付款外,解决方案协议还要求中心更新和分发内部政策和程序,以符合联邦标准,包括起草商业伙伴协议和培训材料,并向HHS提交有关遵守解决方案协议的年度报告。条款。

正如HHS网站所解释的那样:“ HIPAA规则通常要求涵盖实体。 。 。与业务伙伴签订合同,以确保业务伙伴将适当保护受保护的健康信息。”1 此类合同“还用于[]根据当事人与商业伙伴所执行的活动或服务之间的关系,酌情澄清和限制商业伙伴对受保护的健康信息的允许使用和披露。”2  业务伙伴是指不属于所涵盖实体的劳动力的任何人,他们“代表所涵盖实体执行功能或活动,或者向所涵盖实体提供某些服务,涉及到该业务伙伴访问受保护的健康信息。”3  此外,HHS法规规定,出于维护数据安全的目的,即使是业务伙伴的分包商也被视为业务伙伴,而该分包商被委派了涉及PHI创建,接收,维护或传输的功能,活动或服务。4

有了这个宽泛的定义,对于公司来说,每次与第三方和个人数据打交道时,都要评估是否需要签订商业合同很重要。正如最近的《 HHS解决方案协议》所指出的那样,如果联邦医疗机构未从其业务伙伴那里获得令人满意的保证以确保PHI的安全,则将追究他们的责任。即使没有违约,也无法保证供应商会适当对待PHI,这可能会对医疗机构造成严重后果。最终,被涵盖实体应认识到,HHS将视情况视未能履行商业伙伴合同为违反该实体的HIPAA义务的行为,并可能导致重大的财务和声誉后果。

虽然$ 31,000对于较大的组织来说似乎并不重要,但以前的HHS结算金额却要大得多。例如,2016年7月,俄勒冈健康&理科大学(一家规模更大的机构)支付了270万美元,涉及向第三方服务提供商披露了3,000多名PHI,但未获得与商业伙伴的合同,笔记本电脑被盗以及该大学据称未能实施适当的数据安全政策和程序。此外,罗利骨科诊所同意在未先与该卖方取得商业联营合同的情况下向第三方卖方披露超过170000个人的X射线胶片后,于2016年4月达成了75万美元的和解协议。

 

  1. 业务联系合同美国卫生部&人类服务(2013年1月25日), //www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html.
  2. ID。
  3. ID。

4. 78美联储。 Reg。在5572。