1
1
步驟 1:供應商是否會在工作中處理 PHI(受保護的健康資訊)?
這包括接收、存取、維護、收集或建立PHI。
如果沒有,則無需 BAA。
如果答案是肯定的,請前往步驟 2。
2
2
步驟 2:供應商合作的部門是否列在下方?
部門包括 DPH、HSS、SFFD、CAT、TTX 或 DOT。
如果沒有,則無需 BAA。
如果答案是肯定的,請前往步驟 3。
3
3
步驟 3:是否有任何 HIPAA 例外情況?
- 供應商是醫療保健提供者,僅出於治療接收PHI(受保護的健康資訊)。
或者
- 供應商是健康保險計劃,僅接收PHI(受保護的健康資訊)用於付款。
如果答案是肯定的,則無需 BAA。
如果沒有,請轉到步驟 4。
4
4
步驟 4:供應商是否會使用 PHI 進行任何受 HIPAA 監管的活動?
以下是 HIPAA 特別規範的各項操作任務,例如:
- 索賠處理或管理
- 數據分析、處理或管理
- 利用率審核
- 品質保證或患者安全活動
- 計費、福利管理
- 實踐管理或重新定價服務
如果沒有,請轉到步驟 5。
如果答案是肯定的,請前往步驟 6。
5
5
第五步:供應商是否會提供使用PHI的專業或行政服務?
這些服務被HIPAA歸類為業務夥伴功能,包括:
- 合法的
- 精算
- 會計或審計
- 諮詢
- 管理或行政支持
- 認證
- 金融服務
如果沒有,則無需 BAA。
如果答案是肯定的,請前往步驟 6。
6
6
步驟 6:供應商是否需要定期或持續存取 PHI?
例如雲端託管、記錄儲存供應商、HIE、電子處方閘道或儲存PHI的設備維護。
如果沒有,則無需 BAA。
如果需要,則需要 BAA。