Asumsi Kepatuhan yang Organisasi Layanan Kesehatan Dapatkan Salah
Setiap organisasi layanan kesehatan yang menggunakan alat AI cloud mendapatkan saran yang sama dari tim hukum mereka: menandatangani Business Associate Agreement dengan vendor dan Anda tercakup di bawah HIPAA.
Persyaratan BAA bersifat nyata. HIPAA Privacy Rule memerlukan entitas tertutup untuk menjalankan BAA dengan asosiasi bisnis—vendor yang membuat, menerima, mempertahankan, atau mengirimkan informasi kesehatan yang terlindungi atas nama mereka. Vendor AI yang memproses catatan klinis Anda memerlukan BAA sebelum mereka menyentuh data itu.
Namun persyaratan BAA mengatasi hubungan kontraktual antar organisasi. Itu tidak mengatasi apa yang terjadi pada PHI di infrastruktur vendor setelah kontrak ditandatangani.
Pertanyaan kritis adalah bukan apakah Anda memiliki BAA. Itu adalah apakah vendor dapat mengakses PHI Anda dalam plaintext—dan apa yang terjadi pada data itu ketika mereka mengalami pelanggaran.
Apa yang Perjanjian Asosiasi Bisnis Benar-benar Tertutup
BAA menetapkan bahwa asosiasi bisnis akan:
- Menggunakan PHI hanya untuk tujuan yang ditentukan dalam perjanjian
- Menerapkan perlindungan yang sesuai untuk melindungi PHI
- Melaporkan pelanggaran PHI apa pun ke entitas tertutup
- Kembalikan atau musnahkan PHI pada penghentian perjanjian
BAA adalah kewajiban kontraktual. Asosiasi bisnis berkomitmen untuk menangani PHI secara bertanggung jawab, menerapkan keamanan yang masuk akal, dan memberitahu entitas tertutup jika ada yang salah.
Apa yang BAA tidak lakukan:
- Cegah sistem asosiasi bisnis dari bij...