HAKBANG-HAKBANG

Business Associate Decision Tree

Tutulungan ka ng decision tree na ito na matukoy kung ang isang entity ay isang "kasosyo sa negosyo" at nangangailangan ng BAA.

DPH Office of Compliance and Privacy Affairs
1

Hakbang 1: Hahawakan ba ng vendor ang PHI bilang bahagi ng trabaho?

Kabilang dito ang pagtanggap, pag-access, pagpapanatili, pagkolekta, o paglikha ng PHI.

Kung hindi, hindi kinakailangan ang BAA.

Kung oo, pumunta sa Hakbang 2.

2

Hakbang 2: Nakalista ba sa ibaba ang Departamento kinakasama ng vendor?

Kabilang sa mga departamento ang DPH, HSS, SFFD, CAT, TTX, o DOT.

Kung hindi, hindi kinakailangan ang BAA.

Kung oo, pumunta sa Hakbang 3.

3

Hakbang 3: Mayroon bang anumang eksepsiyon sa HIPAA na nalalapat?

  • Ang vendor ay isang tagapagbigay ng pangangalagang pangkalusugan na tumatanggap lamang ng PHI para sa paggamot

O

  • Ang Vendor ay isang health plan na tumatanggap lamang ng PHI para sa pagbabayad

Kung oo, hindi kinakailangan ang BAA.

Kung hindi, pumunta sa Hakbang 4.

4

Hakbang 4: Magsasagawa ba ang vendor ng anumang aktibidad na kinokontrol ng HIPAA gamit ang PHI?

Ito ang mga gawaing operasyonal na partikular na kinokontrol ng HIPAA, tulad ng:

  • Pagproseso o pangangasiwa ng mga claim
  • Pagsusuri, pagproseso, o pangangasiwa ng datos
  • Pagrepaso sa paggamit
  • Mga aktibidad sa pagtiyak ng kalidad o kaligtasan ng pasyente
  • Pagsingil, pamamahala ng benepisyo
  • Mga serbisyo sa pamamahala ng kasanayan o muling pagpepresyo

Kung hindi, pumunta sa Hakbang 5.

Kung oo, pumunta sa Hakbang 6.

5

Hakbang 5: Magbibigay ba ang vendor ng mga propesyonal o administratibong serbisyo na gumagamit ng PHI?

Ito ang mga serbisyong inuuri ng HIPAA bilang mga tungkulin ng Business Associate, kabilang ang:

  • Legal
  • Aktuwaryal
  • Accounting o auditing
  • Pagkonsulta
  • Suporta sa pamamahala o administratibo
  • Akreditasyon
  • Mga serbisyong pinansyal

Kung hindi, hindi kinakailangan ang BAA.

Kung oo, pumunta sa Hakbang 6.

6

Hakbang 6: Kakailanganin ba ng vendor ng regular o patuloy na access sa PHI?

Kabilang sa mga halimbawa ang cloud hosting, mga vendor ng imbakan ng rekord, mga HIE, mga e-prescribing gateway, o pagpapanatili ng kagamitan sa mga device na nag-iimbak ng PHI.

Kung hindi, hindi kinakailangan ang BAA.

Kung oo, kinakailangan ang BAA.