TỪNG BƯỚC MỘT

Cây quyết định của cộng sự kinh doanh

Cây quyết định này sẽ giúp bạn xác định xem một thực thể có phải là “đối tác kinh doanh” và cần có BAA hay không.

DPH Office of Compliance and Privacy Affairs
1

Bước 1: Nhà cung cấp có xử lý thông tin sức khỏe cá nhân (PHI) trong quá trình làm việc không?

Điều này bao gồm việc tiếp nhận, truy cập, duy trì, thu thập hoặc tạo ra thông tin sức khỏe cá nhân (PHI).

Nếu không, BAA không bắt buộc.

Nếu có, hãy chuyển sang Bước 2.

2

Bước 2: Nhà cung cấp có đang làm việc với bộ phận nào được liệt kê bên dưới không?

Các sở ban ngành bao gồm DPH, HSS, SFFD, CAT, TTX hoặc DOT.

Nếu không, BAA không bắt buộc.

Nếu có, hãy chuyển sang Bước 3.

3

Bước 3: Có trường hợp ngoại lệ nào của HIPAA áp dụng không?

  • Nhà cung cấp là một đơn vị chăm sóc sức khỏe chỉ nhận thông tin sức khỏe cá nhân (PHI) cho mục đích điều trị.

HOẶC

  • Nhà cung cấp là một chương trình bảo hiểm y tế chỉ nhận thông tin sức khỏe cá nhân (PHI) để thanh toán.

Nếu vậy thì không cần BAA.

Nếu không, hãy chuyển sang Bước 4.

4

Bước 4: Nhà cung cấp có thực hiện bất kỳ hoạt động nào tuân theo quy định của HIPAA bằng cách sử dụng thông tin sức khỏe cá nhân (PHI) không?

Đây là những nhiệm vụ vận hành mà HIPAA quy định cụ thể, chẳng hạn như:

  • Xử lý hoặc quản lý yêu cầu bồi thường
  • Phân tích, xử lý hoặc quản lý dữ liệu
  • Đánh giá việc sử dụng
  • Các hoạt động đảm bảo chất lượng hoặc an toàn bệnh nhân
  • Lập hóa đơn, quản lý quyền lợi
  • Dịch vụ quản lý hoạt động hoặc định giá lại

Nếu không, hãy chuyển sang Bước 5.

Nếu có, hãy chuyển sang Bước 6.

5

Bước 5: Nhà cung cấp có cung cấp các dịch vụ chuyên nghiệp hoặc hành chính sử dụng thông tin sức khỏe cá nhân (PHI) không?

Đây là các dịch vụ mà HIPAA phân loại là chức năng của Đối tác Kinh doanh, bao gồm:

  • Hợp pháp
  • Bảo hiểm
  • Kế toán hoặc kiểm toán
  • Tư vấn
  • Hỗ trợ quản lý hoặc hành chính
  • Chứng nhận
  • Dịch vụ tài chính

Nếu không, BAA không bắt buộc.

Nếu có, hãy chuyển sang Bước 6.

6

Bước 6: Nhà cung cấp có cần quyền truy cập thường xuyên hoặc liên tục vào thông tin sức khỏe cá nhân (PHI) không?

Các ví dụ bao gồm dịch vụ lưu trữ đám mây, nhà cung cấp lưu trữ hồ sơ, hệ thống trao đổi thông tin sức khỏe (HIE), cổng kê đơn điện tử hoặc bảo trì thiết bị lưu trữ thông tin sức khỏe cá nhân (PHI).

Nếu không, BAA không bắt buộc.

Nếu có, cần có BAA.