根据最终规则, 先前讨论过,业务伙伴必须遵守《安全规则》下的技术,行政和物理保障要求。对于违反《安全规则》的行为,业务伙伴必须遵守合同中的使用或披露限制以及《隐私规则》中规定的限制。业务伙伴是指在为HIPAA涵盖的实体执行某些功能或活动时创建,接收,维护或传输受保护的健康信息(PHI)的个人或实体。最终规则阐明,维护涵盖实体的PHI的实体(例如,数据存储公司)是业务伙伴。商业伙伴的定义明确包括健康信息组织,电子处方网关和其他提供有关PHI的数据传输服务并需要PHI的人员“routine access”致PHI(例如向涵盖实体提供服务的个人健康记录(PHR)的供应商)。此外,商业伙伴责任流向在商业伙伴的指导下或代表PHI处理的任何分包商和下游实体。

在所有医疗保健领域,新的交付模式(例如,电子健康记录(EHR),健康信息交换,负责任的护理组织,远程医疗)和不断发展的技术(例如,云计算,移动设备,交互式和社交媒体)正推动着更多的使用第三方供应商。委托第三方提供患者的个人信息和PHI。云计算是受保护实体将卖方信息委托给供应商的领域。医疗保健提供商正在实施云EHR,电子处方和IT健康服务台。医疗保健付款人将基于结果的研究和分析应用程序放置在云中。医药/药品提供商正在整合云中的系统。各种医疗保健实体的人力资源正在实施云人力资源整合系统,包括有关员工福利的信息。

具体而言,对于云服务提供商,根据最终规则,如果数据在其功能的执行过程中得到维护,则云服务提供商是业务伙伴。即使与被覆盖实体的协议没有考虑任何访问,或者仅基于随机或偶然访问,云服务提供商还是业务伙伴。根据最终规则,考验是拘留的持久性—不是访问的程度(如果有)。在最终规则发布之前,云提供商依赖管道异常。根据最终规则,管道例外仅包括运送信息的快递服务(访问PHI的持久性与暂时性机会)。因此,涵盖实体必须确保其云服务提供商正在保护患者信息。

在OCR / NIST第六届年度健康信息保护年度会议:通过HIPAA安全性建立保证中,建议以下问题供涵盖的实体与他们的云计算供应商(及一般的业务伙伴)联系:

  • PHI 在哪里?
  • 如何最小化违规风险?供应商是否有事件响应计划?
  • 如何防止违规通知?供应商是否加密静态数据和传输中的数据?
  • 供应商是否有事件响应计划?
  • 供应商如何跟踪对PHI的访问和修改?是否有审核日志记录和监视?
  • 供应商是否隔离数据以防止未经授权访问和披露PHI?
  • 合同结束后如何处置PHI?什么是供应商’关于数据保留和销毁的政策和程序?
  • 供应商如何防止知识渊博的内部人员的威胁?供应商是否具有内部安全程序(例如,员工背景检查,培训,监视物理和逻辑访问的方法)?

为了监视最终规则后的业务伙伴,医疗保健行业的趋势表明,所涵盖的实体正在添加合同前风险/控制评估,增强合同保障和业务伙伴协议并添加/增强合同后审计。随着责任向下游流动,被涵盖实体和业务伙伴必须在与可能维护PHI的供应商签订合同之前完成其尽职调查。