在最终规则下,如 以前讨论过,商业伙伴必须遵守安全规则下的技术,行政和实际保障要求。在安全规则下对违规行为负责,商业助理必须遵守其合同中的使用或披露限制,以及隐私规则中表达的限制。商业助理是一个人或实体,在满足HIPAA覆盖实体的某些功能或活动时,创建,维护或传输受保护的健康信息(PHI)。最终规则澄清了一个维护覆盖实体PHI的实体(例如,数据存储公司)是商业助理。商业助理的定义明确地包括健康信息组织,电子处方网关和其他提供数据传输服务的其他人,并要求提供数据传输服务“routine access”到PHI(例如,个人健康记录供应商(PHAR)提供给涵盖实体的服务)。此外,商业助理责任流到任何分包商和下游实体,该分包商和下游实体在商业助理和处理PHI的方向上工作。

在所有医疗领域,新的交付模式(例如,电子健康记录(EHR),健康信息交换,负责任的组织,远程医疗)和不断发展的技术(例如,云计算,移动设备,互动和社交媒体)正在推动增加的使用第三方供应商。第三方委托患者个人信息和PHI。云计算是涵盖实体委托与供应商委托患者信息的一个领域。医疗保健提供者正在实施云EHRS,电子处方和IT健康服务书桌。医疗保健付款人正在云中放置成果的研究和分析应用。制药/药品提供者正在巩固云中的系统。各种医疗实体的人力资源正在实施云人力资源综合系统,包括员工福利。

关于云服务提供商具体地,在最终规则下,云服务提供商是一个业务关联,如果数据保持在其功能的性能中。即使与所带涵盖实体的协议不考虑任何访问或访问仅在随机或附带的基础上,云服务提供商也是一个商业关联。在最终规则下,测试是持久性的拘留—不是访问的学位(如果有)。在最终规则之前,云提供者依赖于导管异常。在最终规则下,导管异常仅包括传输信息的快递服务(持久与暂行机会访问PHI)。因此,涵盖实体必须确保其云服务提供商正在保护患者信息。

在OCR / NIST第6次保障健康信息年会议:通过HIPAA安全的建筑物保证,建议涵盖实体与其云计算供应商(以及商业伙伴一般)解决以下问题:

  • Phi在哪里?
  • 违规风险如何最小化?供应商是否有事故响应计划?
  • 漏洞通知如何预防?供应商是否在休息和运输途中加密数据?
  • 供应商是否有事故响应计划?
  • 供应商如何跟踪并修改PHI?是否有审核日志记录和监控?
  • 供应商是否分离数据以防止未经授权访问和披露PHI?
  • 披 在合同结束时如何处理?什么是供应商’■数据保留和破坏的政策和程序?
  • 供应商如何防止知识渊博的内部人的威胁?供应商是否具有内部安全程序(例如,员工背景检查,培训,监控物理和逻辑访问的方法)?

为了监测业务伙伴员的最终规则,医疗保健行业趋势表明,所涵盖的实体正在增加预贡献风险/控制评估,加强合同保障和商业助理协议,并加入/加强合同后审计。凭借下游的责任,涵盖的实体和商业伙伴必须在与可能维持PHI的供应商签订合同之前完成他们的尽职调查。