Predpoklad suládu, ktorý si zdravotné organizácie vytvárajú zle
Každá zdravotná organizácia nasadzujúca cloudové nástroje AI dostane rovnakú radu od svojho právneho tímu: podpíšte dohodu o obchodnom partnerovi s dodávateľom a máte pokryté pod HIPAA.
Požiadavka BAA je skutočná. Pravidlo ochrany súkromia HIPAA vyžaduje, aby kryté subjekty uzavrely dohody s obchodnými partnermi—dodávateľmi, ktorí vytvárajú, prijímajú, udržiavajú alebo prenášajú chránené zdravotnícke informácie ich menom. Dodávateľ AI, ktorý spracúva vaše klinické poznámky, pred tým, ako sa dotkne týchto údajov, potrebuje BAA.
Ale požiadavka BAA sa zaoberá zmluvným vzťahom medzi organizáciami. Nezaoberá sa tým, čo sa stane s PHI infraštruktúry dodávateľa po podpísaní zmluvy.
Kritická otázka nie je, či máte BAA. Ide o to, či dodávateľ môže pristupovať k vašej PHI v čistom texte—a čo sa s týmito údajmi stane, keď si podložia porušenie.