La loi HIPAA HITECH stipule deux types d’entités : Entités couvertes et associés commerciaux. Les entités couvertes sont généralement des fournisseurs de soins de santé, des régimes de soins de santé et des chambres de compensation des soins de santé. Ces entités recueillent habituellement des renseignements médicaux protégés (RMP) directement auprès des patients. Cependant, la plupart des entités couvertes font appel à des tiers « associés commerciaux » pour mener à bien leur mission.
Un associé commercial est une personne ou une entité qui exerce certaines fonctions ou activités qui impliquent l’utilisation ou la divulgation de renseignements médicaux protégés au nom d’une entité couverte ou qui fournit des services à cette dernière. Les fonctions et activités typiques des associés d’affaires comprennent : le traitement ou l’administration des réclamations; l’analyse, le traitement ou l’administration des données; l’examen de l’utilisation; l’assurance de la qualité; la facturation; la gestion des avantages sociaux; la gestion de la pratique; et la révision des prix.
Il est toujours recommandé d’avoir une entente de service avec un tiers. L’HIPAA, cependant, précise la nécessité d’un accord de partenaire commercial (BAA). Une EPA comprend un certain nombre de dispositions spécifiques qui exigent qu’un associé d’affaires prenne soin des données de soins de santé de la même manière que les entités couvertes. Le fait de ne pas avoir d’AAA avec tous les associés commerciaux constitue une violation de la HIPAA, ainsi qu’une violation supplémentaire pour un accès non autorisé.
Nous recommandons ce qui suit :
-
Effectuez une analyse des risques de tiers sur votre analyste d’affaires. Les titulaires de police peuvent communiquer avec nous pour obtenir gratuitement un questionnaire de sécurité de tiers.
-
Exécuter une entente de partenaire d’affaires avec chaque analyste d’affaires. Vous trouverez ci-dessous un exemple d’AAA du Bureau des droits civils de HHS. Nous recommandons fortement d’embaucher un conseiller juridique agréé.
Pour en savoir plus sur ce sujet, veuillez communiquer avec nous; nous sommes là pour vous aider!
---
Exemples de dispositions d’entente avec un associé d’affaires
Les mots ou les phrases contenus entre parenthèses sont destinés à être utilisés comme langage facultatif ou comme instructions aux utilisateurs de ces exemples de dispositions.
Définitions
Définition de tout attraper :
Les termes suivants utilisés dans la présente Entente ont le même sens que ceux des Règles HIPAA : Violation, regroupement de données, ensemble de dossiers désignés, divulgation, opérations de soins de santé, individuel, minimum nécessaire, avis de pratiques de confidentialité, renseignements médicaux protégés, requis par la loi, secrétaire, incident de sécurité, sous-traitant, renseignements médicaux protégés non sécurisés et utilisation.
Définitions spécifiques :
(a) Partenaire commercial. » Partenaire commercial » a généralement le même sens que le terme « Partenaire commercial » à 45 CFR 160.103, et en référence à la partie à la présente entente, signifie [Insérer le nom du Partenaire commercial].
(b) Entité visée. » Entité couverte » a généralement le même sens que le terme « entité couverte » à 45 CFR 160.103, et en référence à la partie à la présente entente, signifie [Insérer le nom de l’entité couverte].
(c) Règles HIPAA. » Règles HIPAA » désigne les règles de confidentialité, de sécurité, de notification d’atteinte et d’application de la loi 45 CFR partie 160 et partie 164.
Obligations et activités du partenaire commercial
Le partenaire commercial accepte de :
(a) ne pas utiliser ou divulguer des renseignements médicaux protégés autrement que dans la mesure permise ou requise par l’Entente ou comme l’exige la loi;
(b) utiliser les mesures de protection appropriées et se conformer à la sous-partie C de la norme 45 CFR Part 164 en ce qui concerne les renseignements médicaux électroniques protégés, afin d’empêcher l’utilisation ou la divulgation de renseignements médicaux protégés autres que ceux prévus par l’Entente;
(c) signaler à l’entité couverte toute utilisation ou divulgation de renseignements médicaux protégés non prévue par l’Entente dont elle a connaissance, y compris les violations de renseignements médicaux protégés non sécurisés comme l’exige la norme 45 CFR 164.410, et tout incident de sécurité dont elle a connaissance;
[Les parties peuvent souhaiter ajouter des précisions supplémentaires concernant les obligations de notification de violation du partenaire commercial, telles qu’un délai plus strict pour que le partenaire commercial signale une violation potentielle à l’entité couverte et/ou si le partenaire commercial traitera les notifications de violation aux personnes, au Bureau des droits civils (ROC) du HHS et potentiellement aux médias, au nom de l’entité couverte.]
(d) Conformément à 45 CFR 164.502(e)(1)(ii) et 164.308(b)(2), le cas échéant, s’assurer que tout sous-traitant qui crée, reçoit, maintient ou transmet des renseignements médicaux protégés au nom du partenaire commercial accepte les mêmes restrictions, conditions et exigences qui s’appliquent au partenaire commercial en ce qui concerne ces renseignements;
(e) Mettre à disposition des renseignements médicaux protégés dans un dossier désigné établi pour [Choisir soit « entité couverte », soit « personne ou son délégué »] au besoin pour satisfaire aux obligations de l’entité couverte en vertu de la norme 45 CFR 164.524;
[Les parties peuvent souhaiter ajouter des précisions supplémentaires sur la façon dont le partenaire commercial répondra à une demande d’accès que le partenaire commercial reçoit directement de la personne (par exemple, si et dans quelle heure et de quelle manière un partenaire commercial doit fournir l’accès demandé ou si le partenaire commercial transmettra la demande de la personne à l’entité couverte pour qu’elle la remplisse) et le délai pour que le partenaire commercial fournisse les renseignements à l’entité couverte.]
(f) apporter toute modification aux renseignements médicaux protégés dans un dossier désigné, tel qu’indiqué ou convenu par l’entité couverte en vertu de la norme 45 CFR 164.526, ou prendre d’autres mesures au besoin pour satisfaire aux obligations de l’entité couverte en vertu de la norme 45 CFR 164.526;
[Les parties peuvent souhaiter ajouter des précisions supplémentaires sur la façon dont l’associé d’affaires répondra à une demande de modification que l’associé d’affaires reçoit directement de la personne (par exemple, si et dans quelle heure et de quelle manière un associé d’affaires doit agir sur la demande de modification ou si l’associé d’affaires transmettra la demande de la personne à l’entité couverte) et le délai pour que l’associé d’affaires intègre toute modification aux renseignements dans l’ensemble de dossiers désigné.]
(g) maintenir et mettre à disposition les informations requises pour fournir une comptabilité des divulgations à [Choisir soit « entité couverte » ou « personne »] au besoin pour satisfaire aux obligations de l’entité couverte en vertu du 45 CFR 164.528;
[Les parties peuvent souhaiter ajouter des précisions supplémentaires sur la façon dont le partenaire commercial répondra à une demande de comptabilité des divulgations que le partenaire commercial reçoit directement de la personne (par exemple, si et dans quelle période et de quelle manière le partenaire commercial doit fournir la comptabilité des divulgations à la personne ou si le partenaire commercial transmettra la demande à l’entité couverte) et le délai pour que le partenaire commercial fournisse des renseignements à l’entité couverte.]
(h)dans la mesure où le partenaire commercial doit exécuter une ou plusieurs obligation(s) de l’entité couverte en vertu de la sous-partie E de la 45 CFR partie 164, se conformer aux exigences de la sous-partie E qui s’appliquent à l’entité couverte dans l’exécution de cette ou ces obligation(s); et
(i) Mettre ses pratiques internes, ses livres et ses dossiers à la disposition du secrétaire afin de déterminer la conformité aux règles HIPAA.
Utilisations et divulgations autorisées par le partenaire commercial
(a) Le partenaire commercial ne peut utiliser ou divulguer que des renseignements médicaux protégés
[Option 1 – Fournir une liste précise des objectifs autorisés.]
[Option 2 – Faire référence à une entente de service sous-jacente, comme « au besoin pour exécuter les services énoncés dans l’entente de service ».]
[En plus des autres fins autorisées, les parties doivent préciser si l’associé commercial est autorisé à utiliser des renseignements médicaux protégés pour anonymiser les renseignements conformément à la norme 45 CFR 164.514(a)-(c).Les parties peuvent également souhaiter préciser la manière dont le partenaire commercial dépersonnalisera les renseignements et les utilisations et divulgations autorisées par le partenaire commercial des renseignements anonymisés.]
(b) Le partenaire commercial peut utiliser ou divulguer des renseignements médicaux protégés comme l’exige la loi.
(c) Le partenaire commercial accepte de faire des utilisations, des divulgations et des demandes de renseignements médicaux protégés
[Option 1] conformément aux politiques et procédures minimales nécessaires de l’entité couverte.
[Option 2] sous réserve des exigences minimales nécessaires suivantes : [Inclure les dispositions minimales nécessaires spécifiques qui sont conformes aux politiques et procédures minimales nécessaires de l’entité couverte.]
(d) Le partenaire commercial ne peut pas utiliser ou divulguer des renseignements médicaux protégés d’une manière qui violerait la sous-partie E de la norme 45 CFR Part 164 si elle était effectuée par une entité couverte [si l’entente permet au partenaire commercial d’utiliser ou de divulguer des renseignements médicaux protégés pour ses propres responsabilités de gestion et d’administration et juridiques ou pour les services d’agrégation de données comme indiqué dans les dispositions facultatives (e), (f), ou (g) ci-dessous, ajoutez « , sauf pour les utilisations et divulgations spécifiques énoncées ci-dessous ».]
(e) [Facultatif] Le partenaire commercial peut utiliser des renseignements médicaux protégés pour la gestion et l’administration appropriées du partenaire commercial ou pour assumer les responsabilités légales du partenaire commercial.
(f) [Facultatif] Le partenaire commercial peut divulguer des renseignements médicaux protégés pour la gestion et l’administration appropriées du partenaire commercial ou pour assumer les responsabilités légales du partenaire commercial, à condition que les divulgations soient requises par la loi, ou le partenaire commercial obtient des assurances raisonnables de la personne à qui les renseignements sont divulgués que les renseignements resteront confidentiels et utilisés ou divulgués de façon ultérieure uniquement comme l’exige la loi ou aux fins pour lesquelles ils ont été divulgués à la personne, et la personne avise l’associé commercial de tout cas où elle a connaissance d’une violation de la confidentialité des renseignements.
(g) [Facultatif] Le partenaire commercial peut fournir des services de regroupement de données liés aux activités de soins de santé de l’entité couverte.
Dispositions pour que l’entité visée informe le partenaire commercial des pratiques et restrictions en matière de confidentialité
(a) [Facultatif] L’entité couverte doit aviser l’associé commercial de toute limitation(s) dans l’avis des pratiques de confidentialité de l’entité couverte en vertu de la norme 45 CFR 164.520, dans la mesure où cette limitation peut affecter l’utilisation ou la divulgation par l’associé commercial de renseignements médicaux protégés.
(b) [Facultatif] L’entité couverte doit aviser le partenaire commercial de tout changement ou révocation de l’autorisation d’une personne d’utiliser ou de divulguer ses renseignements médicaux protégés, dans la mesure où ces changements peuvent affecter l’utilisation ou la divulgation par le partenaire commercial de renseignements médicaux protégés.
(c) [Facultatif] L’entité couverte doit aviser le partenaire commercial de toute restriction sur l’utilisation ou la divulgation de renseignements médicaux protégés que l’entité couverte a accepté ou est tenue de respecter en vertu de la norme 45 CFR 164.522, dans la mesure où cette restriction peut affecter l’utilisation ou la divulgation de renseignements médicaux protégés par le partenaire commercial.
Demandes autorisées par entité couverte
[Facultatif] L’entité couverte ne doit pas demander à un associé commercial d’utiliser ou de divulguer des renseignements médicaux protégés d’une manière qui ne serait pas autorisée en vertu de la sous-partie E de la norme 45 CFR Part 164 si elle est effectuée par l’entité couverte. [Inclure une exception si le partenaire commercial utilisera ou divulguera des renseignements médicaux protégés pour, et l’entente comprend des dispositions pour, l’agrégation ou la gestion des données et l’administration et les responsabilités juridiques du partenaire commercial.]
Durée et résiliation
(a) Durée. La Durée de la présente Entente entrera en vigueur le [insérer la date d’entrée en vigueur] et prendra fin le [insérer la date de résiliation ou l’événement] ou à la date à laquelle l’entité couverte résilie pour motif valable, comme autorisé au paragraphe (b) de la présente Section, selon la première éventualité.
(b) Résiliation motivée. Le partenaire commercial autorise la résiliation de la présente Entente par l’entité couverte, si l’entité couverte détermine que le partenaire commercial a violé une condition importante de l’Entente [et que le partenaire commercial n’a pas corrigé la violation ou a mis fin à la violation dans le délai spécifié par l’entité couverte].[Un libellé entre crochets peut être ajouté si l’entité couverte souhaite donner à l’associé commercial l’occasion de remédier à une violation ou à une violation du contrat avant la résiliation pour motif valable.]
(c) Obligations du Partenaire commercial à la résiliation.
[Option 1 – si le partenaire commercial doit retourner ou détruire tous les renseignements médicaux protégés à la résiliation de l’entente]
Lors de la résiliation de la présente Entente pour quelque raison que ce soit, le partenaire commercial doit retourner à l’entité couverte [ou, si l’entité couverte l’accepte, détruire] tous les renseignements médicaux protégés reçus de l’entité couverte, ou créés, maintenus ou reçus par le partenaire commercial au nom de l’entité couverte, que le partenaire commercial conserve toujours sous quelque forme que ce soit.Le partenaire commercial ne doit conserver aucune copie des renseignements médicaux protégés.
[Option 2 – si l’entente autorise l’associé d’affaires à utiliser ou à divulguer des renseignements médicaux protégés pour sa propre gestion et administration ou pour s’acquitter de ses responsabilités juridiques et que l’associé d’affaires doit conserver les renseignements médicaux protégés à ces fins après la résiliation de l’entente]
À la résiliation de la présente Entente pour quelque raison que ce soit, le partenaire commercial, en ce qui concerne les renseignements médicaux protégés reçus de l’entité couverte, ou créés, maintenus ou reçus par le partenaire commercial au nom de l’entité couverte, doit :
Conserver uniquement les renseignements médicaux protégés qui sont nécessaires pour que le partenaire commercial puisse continuer à les gérer et les administrer correctement ou à assumer ses responsabilités légales;
Retourner à l’entité couverte [ou, si l’entité couverte l’accepte, détruire] les renseignements médicaux protégés restants que l’associé d’affaires conserve toujours sous quelque forme que ce soit;
continuer à utiliser les mesures de protection appropriées et à se conformer à la sous-partie C de la norme 45 CFR Part 164 en ce qui concerne les renseignements médicaux électroniques protégés afin d’empêcher l’utilisation ou la divulgation des renseignements médicaux protégés, autres que celles prévues dans la présente section, tant que l’associé d’affaires conserve les renseignements médicaux protégés;
ne pas utiliser ou divulguer les renseignements médicaux protégés conservés par un associé d’affaires autrement qu’aux fins pour lesquelles ces renseignements médicaux protégés ont été conservés et soumis aux mêmes conditions énoncées à [insérer le numéro de section lié aux paragraphes (e) et (f) ci-dessus sous « Utilisations et divulgations autorisées par le partenaire d’affaires »] qui s’appliquaient avant la résiliation; et
Retourner à l’entité couverte [ou, si l’entité couverte l’accepte, détruire] les renseignements médicaux protégés conservés par le partenaire commercial lorsqu’ils ne sont plus nécessaires par le partenaire commercial pour sa gestion et son administration appropriées ou pour s’acquitter de ses responsabilités légales.
[L’entente pourrait également prévoir que l’associé d’affaires transmettra les renseignements médicaux protégés à un autre associé d’affaires de l’entité couverte à la résiliation, ou pourrait ajouter des conditions concernant les obligations d’un associé d’affaires d’obtenir ou d’assurer la destruction des renseignements médicaux protégés créés, reçus ou conservés par des sous-traitants.]
(d) Survie.Les obligations du partenaire commercial en vertu de la présente section survivront à la résiliation de la présente entente.
Divers [facultatif]
(a) [Facultatif] Références réglementaires. Une référence dans la présente Entente à une section des Règles HIPAA signifie la section en vigueur ou modifiée.
(b) Modification [facultative]. Les Parties conviennent de prendre les mesures nécessaires pour modifier le présent Contrat de temps à autre, afin de se conformer aux exigences des Règles HIPAA et de toute autre loi applicable.
(c) Interprétation [facultative]. Toute ambiguïté dans le présent Contrat doit être interprétée de manière à permettre la conformité aux Règles HIPAA.