Skip Navigation
 
   

Überarbeitete HIPAA Geschäftspartnervereinbarung jetzt verfügbar

Im Februar 2009 führte die Gesundheitsinformationstechnologie für Ökonomische und Klinische Gesundheit (engl. Health Information Technology for Economic and Clinical Health, HITECH) drastische Änderungen an der HIPAA durch. Als Ergebnis der zahlreichen Änderungen an HIPAA und HITECH, vor allem Benachrichtigungspflicht bei Verstößen, erforderte das Gesetz selbst die Überarbeitung aller HIPAA Geschäftspartnervereinbarungen (engl. Business Associate Agreements, BAA).

NAID reagierte unverzüglich mit einer überarbeiteten Vereinbarung, in der auf alle bekannten Änderungen eingegangen wurde. Um die Änderungen durchzuführen, wandte sich die Vereinigung an Kirk Nahra, die wohl angesehenste juristische Autorität bei HIPAA und HITECH.

Nach vier Jahren und vielen Verzögerungen bringt das U.S. Ministerium für Gesundheitspflege und Soziale Dienste (HHS) nun die endgültige HITECH Regelung im Februar 2013 heraus. Abermals wurde Nahra von NAID für Revisionen konsultiert. Gültig mit sofortiger Wirkung, wurden die entworfenen HIPAA BAA und Subunternehmer BAA von NAID aktualisiert, um die neuen Anforderungen der endgültigen Regelung von HITECH sichtbar zu machen.

Mitglieder, die noch die Entwurfs-BAA von NAID verwenden, sollten die überarbeitete Fassung (8. April 2013) anfordern und diese von jetzt an in der Zukunft benutzen. Mitglieder, die die im April 2009 überarbeitete Fassung verwendet haben, müssen Kundenverträge aus entsprechenden Zeiten nicht mit der neueren Fassung aktualisieren. Die Änderungen sind nicht substantiell genug und deswegen müssen sich die Mitglieder oder die betroffenen Einrichtungen keinem Risiko aussetzen.

Denken Sie daran, dass die Verpflichtung, eine BAA zu haben, bei der betroffenen Einrichtung und nicht beim Dienstanbieter liegt. Vor diesem Hintergrund bieten viele NAID-Mitglieder diesen Vertrag als Teil ihrer Dienstleistung, um ihre HIPAA Klienten zu schützen. Dienstleistungsanbieter sind jedoch rechtlich durch HITECH dazu verpflichtet, eine Subunternehmens-BAA mit jedem Downstream-Dienstleister abzuschließen.

Unter HITECH sind alle aktuellen HIPAA BAA bis September 2014 zu überarbeiten. Dies trifft natürlich nicht zu, wenn keine BAA vorliegt. In diesem Fall sollte eine BAA jedoch innerhalb eines angemessenen Zeitraumes in Kraft gesetzt werden. Um einen der beispielhaften Industrieverträge anzufordern, müssen berechtigte Mitglieder das Formular NAID Standard Contract Release Form einreichen.