Wenn Ihr Cloud-Anbieter HIPAA nicht versteht: Eine warnende Geschichte
Von JACOB REIDER & JODI DANIEL
Jacob: Ich musste kürzlich einen Business Associate Agreement (BAA) mit einem der großen Hosting-Anbieter für ein neues Gesundheits-IT-Projekt unterzeichnen. Was unkompliziert hätte sein sollen, wurde zu einer mehrwöchigen Schulungsübung zur grundlegenden HIPAA-Compliance. Und wenn ich „grundlegend“ sage, meine ich wirklich grundlegend, wie die Definitionen in der Satzung selbst.
Hier erfahren Sie, was passiert ist und warum Sie darauf achten müssen, wenn Sie Gesundheitstechnologie entwickeln.
Ich baue ein System auf, das die Extraktion klinischer Daten für Forschungsstudien automatisiert. Wie jedes verantwortungsbewusste Technologieunternehmen im Gesundheitswesen benötige ich eine HIPAA-konforme Infrastruktur. Das Unternehmen (ich nenne es Hosting Company oder HC) ist technisch gut und es hostet unsere Entwicklungsumgebung. Deshalb habe ich mich für seinen erweiterten Supportplan angemeldet (den es benötigt, bevor es überhaupt über eine BAA nachdenkt) und seinen Standardvertrag angefordert.
Das Problem
Die BAA von HC geht davon aus, dass jeder Kunde ein „abgedecktes Unternehmen“ ist. Dabei handelt es sich um einen Krankenversicherungsplan, eine Gesundheits-Clearingstelle oder einen Gesundheitsdienstleister, der Gesundheitsinformationen elektronisch übermittelt.
Aber das bin nicht ich. Ich bin kein abgedecktes Unternehmen. Ich bin Business Associate (BA). Ich verarbeite geschützte Gesundheitsinformationen im Namen der abgedeckten Unternehmen. Wenn ich eine Cloud-Infrastruktur benötige, brauche ich von meinen Anbietern die Unterzeichnung von Subunternehmer-BAAs mit mir.
Das Hin und Her
Als ich HC mitteilte, dass ich ihre BAA nicht wie schriftlich unterzeichnen konnte, eskalierten sie an ihre Rechtsabteilung. Tage später kam ein Teamleiter mit dieser Antwort zurück:
„An HC, selbst wenn Sie ein Unterauftragnehmer oder ein nachgeordneter Unterauftragnehmerverband sind. Es wäre immer noch eine Vereinbarung zwischen dem abgedeckten Unternehmen im Rahmen der Vereinbarung und HC … Selbst als Geschäftspartner würde es also immer noch als abgedecktes Unternehmen betrachtet, da es Ihr Unternehmen ist, das abgedeckt ist.“
Ich musste es zweimal lesen. Das ist einfach falsch.
Jodi: Lassen Sie mich hier die rechtliche Perspektive einbeziehen, denn diese Verwirrung kommt häufiger vor, als sie sein sollte.
Die Begriffe „Covered Entity“ und „Business Associate“ sind keine austauschbaren Marketingbegriffe. Sie haben spezifische rechtliche Definitionen in 45 CFR § 160.103. Sie können sie nicht einfach neu definieren, weil es verwaltungstechnisch praktisch ist. Im Allgemeinen sind abgedeckte Unternehmen (die meisten) Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen für das Gesundheitswesen; Geschäftspartner sind diejenigen Unternehmen, die Zugang zu geschützten Gesundheitsinformationen haben, um Dienstleistungen im Namen der abgedeckten Unternehmen zu erbringen; und Subunternehmer sind Personen, an die ein Geschäftspartner eine Funktion, Aktivität oder Dienstleistung delegiert.
Hier ist, was die Vorschriften tatsächlich sagen:
Abgedeckte Unternehmen müssen BAAs mit den Unternehmen haben, die geschützte Gesundheitsinformationen verwenden, um in ihrem Namen Dienstleistungen zu erbringen (d. h. ihren Geschäftspartnern oder BAs), gemäß 45 CFR § 164.502(e). Gemäß 45 CFR § 164.502(e)(1)(ii) und § 164.308(b)(2) ist es BAs nicht nur gestattet, sondern auch verpflichtet, Subunternehmer-BAAs mit anderen Anbietern abzuschließen, die in ihrem Namen PHI erstellen, empfangen, pflegen oder übermitteln.
In diesem Fall wird der Subunternehmer auch zum BA (manchmal auch „Geschäftspartner eines Geschäftspartners“ oder „Subunternehmer“ genannt). Die HIPAA-Verpflichtungen werden in der gesamten Kette weitergegeben. Abgedeckte Unternehmen müssen keine BAAs mit Subunternehmern haben. 45 CFR § 164.502(e)(1)(i).
Genau das passiert in Jacobs Situation:
Die abgedeckten Unternehmen (die Gesundheitsdienstleister in der Forschungsstudie) haben BAAs mit Jacobs Unternehmen (was ihn zu einem BA macht). Jacobs Unternehmen wiederum muss BAAs mit allen Subunternehmern wie HC haben, die PHI im Namen von Jacobs Unternehmen verwalten dürfen. HC wird durch dieses Subunternehmerverhältnis zum BA.
Die Unterscheidung ist für Compliance- und Prüfungszwecke wichtig. OCR-, SOC 2-Prüfer und HITRUST-Prüfer erwarten alle, dass die Vertragskette den tatsächlichen Datenfluss widerspiegelt. Eine falsche Terminologie ist nicht nur semantisch ärgerlich – sie stellt auch die Vorschriften und die Beziehung zwischen den Parteien in einem Rechtsdokument falsch dar.
Jacob: Ja … und hier ist das praktische Problem: Ich könnte ein Dokument, das besagt, dass mein Unternehmen ein abgedecktes Unternehmen ist, nicht rechtsgültig unterzeichnen, wenn dies nicht der Fall ist.
Ich habe HC dies erklärt, die spezifischen CFR-Abschnitte zitiert, die Jodi gerade erwähnt hat, und ihnen sogar Beispiele aus der BAA von Google Cloud geschickt, die sowohl Covered Entities als auch BAs im selben Dokument behandelt.
Das HC-Team sagte, dass es die Änderung der Sprache beantragen würde, und ich freue mich, Ihnen mitteilen zu können, dass wir (nach fast dreiwöchigem Hin und Her) eine ordnungsgemäße BAA durchgeführt haben.
Was das für Sie bedeutet
Jodi: Du hast recht, Jacob. Es ist nicht angebracht, ein Dokument zu unterschreiben, das besagt, dass Sie eine versicherte juristische Person sind, wenn Sie keine solche sind. Wenn Sie Gesundheitstechnologie entwickeln, müssen Sie Folgendes wissen:
Verstehen Sie Ihre Rolle im HIPAA-Framework. Sind Sie ein versichertes Unternehmen oder ein BA? Die meisten Technologieunternehmen sind BAs. Wenn Sie Dienstleistungen für Gesundheitsdienstleister, Krankenkassen oder Clearingstellen erbringen und dabei PHI verwalten, sind Sie mit ziemlicher Sicherheit ein BA (oder ein Subunternehmer-BA) und kein CE. Lesen Sie die BAA sorgfältig durch, bevor Sie unterschreiben. Die Terminologie ist wichtig. Wenn die BAA eines Anbieters nur abgedeckte Unternehmen als Kunden in Betracht zieht, ist das ein Warnsignal dafür, dass er das Subunternehmer-Szenario nicht durchdacht hat. (Und die detaillierten Anforderungen der BAA sind ebenfalls wichtig, aber das ist ein Thema für einen anderen Blog). Haben Sie keine Angst, zurückzuschlagen. Wenn ein Anbieter darauf besteht, dass Sie etwas unterschreiben, das Ihre Rolle falsch darstellt, bitten Sie ihn, den Wortlaut zu überarbeiten oder Sie einem Anwalt zu zeigen, der sich mit HIPAA auskennt.
Jacob: Und so …
Seien Sie bereit, weiterzubilden. Die Rechtsabteilungen vieler Cloud-Anbieter (und ihre Anwälte) verstehen die Kaskadenanforderungen des HIPAA nicht vollständig. Möglicherweise müssen Sie sie durch den Prozess führen. Weisen Sie sie auf Beispiele von AWS, Google Cloud oder Microsoft Azure hin, die sich alle tausende Male damit befasst haben. Planen Sie Zeit für diesen Prozess ein. Was einen Tag dauern sollte, kann eine Woche oder länger dauern, wenn Sie auf rechtliche Verwirrung stoßen. Planen Sie entsprechend, insbesondere wenn Sie eine Einführungsfrist haben.
Das größere Bild
Jacob: HC ist nicht einzigartig. Ich habe die gleiche Verwirrung bei kleineren Hosting-Anbietern, SaaS-Unternehmen und sogar einigen größeren Technologieunternehmen gesehen. Die regulatorische Komplexität der Gesundheitsbranche führt dazu, dass Anbieter häufig BAA-Vorlagen kopieren, ohne sie wirklich zu verstehen.
Die Ironie? HC verlangt von Ihnen einen Aufpreis für das „Privileg“, das BAA zu unterzeichnen. Für den erweiterten Support berechnen sie als Voraussetzung eine Gebühr. Nicht alle Cloud-Anbieter oder andere Technologieplattformen verlangen mehr.
Jodi: Aus rechtlicher Sicht verdeutlicht diese Situation ein umfassenderes Problem in der Gesundheitstechnologie. Da immer mehr Unternehmen außerhalb des Gesundheitswesens in den Bereich eintreten (Cloud-Anbieter, KI-Unternehmen, SaaS-Plattformen), stoßen viele zum ersten Mal auf die HIPAA-Anforderungen. Ihre Rechtsteams beherrschen möglicherweise hervorragende technische Transaktionen oder allgemeines Wirtschaftsrecht, sind aber mit den regulatorischen Nuancen im Gesundheitswesen nicht vertraut.
Die gute Nachricht ist, dass das Problem behoben werden kann. Die von HC vorgenommenen Änderungen an der BAA-Vorlage sind nicht komplex. Sie mussten lediglich eine Sprache hinzufügen, die beide Szenarien berücksichtigt: Kunden, die abgedeckte Unternehmen sind, und Kunden, die BAs sind.
Die BAA von Google Cloud fasst dies elegant in einem einzigen Satz zusammen: „Diese BAA gilt in dem Umfang, in dem der Kunde als abgedeckte Rechtspersönlichkeit oder Geschäftspartner handelt.“ Das ist es. Problem gelöst.
Natürlich ist es sinnvoll, dass ein Anwalt, der HIPAA versteht, einen Blick auf die BAA wirft, bevor Sie unterzeichnen, da es eine Vielzahl anderer Probleme gibt, die sich auf Ihr Geschäft und die Verwendung von PHI auswirken können.
Jacob: Fazit: Wenn Sie sich in einer ähnlichen Situation befinden, zitieren Sie die spezifischen CFR-Abschnitte (45 CFR § 160.103, § 164.502(e)(1)(ii) und § 164.308(b)(2)), zeigen Sie ihnen Arbeitsbeispiele von großen Cloud-Anbietern und seien Sie bereit, wegzugehen, wenn sie das Problem nicht beheben.
Jacob Reider MD ist CEO von Huddle Health Solutions, Chief Health Officer bei WavelyDx und ehemaliger stellvertretender nationaler Koordinator für Gesundheits-IT im Büro des Nationalen Koordinators. Jodi Daniel ist Partnerin bei Wilson Sonsini Goodrich & Rosati und war Gründungsdirektorin des Office of the National Coordinator for Health IT.
