Skip to content

Business associate agreement: HIPAA-gids

Image of Lou Van Reemst
Lou Van Reemst 27 jun 2026

Organisaties die in aanraking komen met protected health information (PHI) hebben doorgaans een business associate agreement nodig, soms meerdere. De BAA is het contract dat een relatie rond zorggegevens rechtsgeldig maakt onder HIPAA, en een ontbrekende BAA hoort bij de meest voorkomende en duurste nalevingsfouten die toezichthouders aantreffen.

Voor een Nederlandse organisatie speelt dit zodra u Amerikaanse zorgklanten bedient of zelf met Amerikaanse zorggegevens te maken krijgt. Aan de EU-kant is de tegenhanger van de BAA de verwerkersovereenkomst onder de AVG. Deze gids legt in gewone taal uit wat een BAA is, wie er een nodig heeft, wat HIPAA in het document verplicht stelt, welke clausules het waard zijn om over te onderhandelen, en geeft een checklist om langs te lopen voordat u tekent.

Dit artikel bevat algemene informatie en is geen juridisch advies. Raadpleeg een gekwalificeerde jurist over uw specifieke situatie.

Wat is een business associate agreement?

Een business associate agreement (BAA), soms een business associate contract genoemd, is een schriftelijk contract tussen een HIPAA covered entity (of een andere business associate) en een leverancier die namens die partij protected health information aanmaakt, ontvangt, bewaart of verzendt.

Het fungeert als de juridische brug tussen twee partijen:

  • De covered entity is de zorgaanbieder, zorgverzekeraar of healthcare clearinghouse die de onderliggende relatie met patiënten en hun gegevens heeft.
  • De business associate is de externe leverancier die werk verricht waarbij PHI betrokken is: het hosten, verwerken, analyseren, factureren of anderszins verwerken ervan.

HIPAA staat een covered entity alleen toe om PHI met een leverancier te delen als die leverancier contractueel toezegt de gegevens te beschermen en uitsluitend voor toegestane doeleinden te gebruiken. In de BAA staan die toezeggingen vastgelegd. De BAA legt een afgebakende set HIPAA-verplichtingen bij de leverancier en geeft de covered entity een contractueel verhaal als de leverancier verkeerd met de gegevens omgaat.

Zonder BAA is er geen rechtmatige uitwisseling van PHI met die leverancier. Dit contract staat naast de overige papierwinkel van een zorgteam, en daarom centraliseren veel teams het in software voor contractbeheer in de zorg in plaats van het in spreadsheets bij te houden.

Wie heeft een BAA nodig?

De eenvoudigste manier om dit te beantwoorden is vaststellen welke rol elke partij speelt.

Covered entities

Een covered entity is onder HIPAA een van de volgende drie:

  • Een zorgaanbieder die gezondheidsinformatie elektronisch verzendt in verband met gedekte transacties (de meeste klinieken, ziekenhuizen, tandartsen, therapeuten, laboratoria).
  • Een health plan (verzekeraars, HMO's, collectieve zorgverzekeringen van werkgevers, overheidsprogramma's).
  • Een healthcare clearinghouse (organisaties die zorggegevens tussen formaten verwerken).

Covered entities moeten met elke business associate een BAA sluiten voordat er PHI van eigenaar wisselt.

Business associates

Een business associate is iedere persoon of organisatie, anders dan een lid van het personeel van de covered entity, die namens de covered entity functies of diensten uitvoert waarbij PHI betrokken is. Veelvoorkomende voorbeelden:

  • Cloudhosting en opslag die PHI opslaan (bijvoorbeeld een HIPAA-geschikt cloudplatform).
  • Medische facturatie en codering en revenue-cycle-leveranciers.
  • Medische transcriptiediensten.
  • Analytics- en rapportageleveranciers die PHI verwerken om inzichten te produceren.
  • E-signing-platforms die worden gebruikt om documenten met PHI te ondertekenen.
  • Software voor contractbeheer en contractanalyse die overeenkomsten of dossiers met PHI inleest.
  • IT-ondersteuning, EPD-leveranciers, praktijkmanagementsoftware, archiefvernietigers en accountants of advocaten die PHI verwerken.

Artsenpraktijken en collectieve werkgevers hebben dezelfde verplichting tegenover hun eigen leveranciers, wat verder aan bod komt in onze gids over software voor contractbeheer voor artsen.

Subcontractors

Een business associate die PHI doorgeeft aan zijn eigen onderliggende leverancier moet met die subcontractor een BAA sluiten. De subcontractor is onder HIPAA zelf een business associate, en de keten van verplichtingen moet helemaal doorlopen tot onderaan. Een cloud-analyticsleverancier die een aparte datawarehouse-aanbieder inzet, heeft bijvoorbeeld een BAA met die datawarehouse-aanbieder nodig. Deze doorwerking lijkt op hoe de AVG met verwerkers omgaat, wat we behandelen in subverwerkersbeheer onder de AVG.

De conduit-uitzondering

Niet elke leverancier die met PHI in aanraking komt, heeft een BAA nodig. De conduit-uitzondering geldt voor organisaties die gegevens slechts transporteren zonder ze routinematig in te zien, zoals een postdienst, koeriers of een internetprovider die louter als doorgeefkanaal fungeert. De toets is tijdelijk transport versus blijvende toegang of opslag. Een koerier die verzegelde dossiers bezorgt, is een conduit. Een cloudprovider die diezelfde dossiers opslaat, is een business associate, ook al leest hij ze nooit, omdat hij de gegevens bewaart.

Bij twijfel: ga ervan uit dat u een BAA nodig hebt. De uitzondering is smal.

Wat HIPAA in een BAA verplicht stelt

De HIPAA Privacy Rule onder 45 CFR §164.504(e) legt de bepalingen vast die een conforme BAA moet bevatten. De Security Rule en de HITECH Act voegen verplichtingen toe voor elektronische PHI (ePHI) en datalekmelding. Hier is wat elk verplicht element in de praktijk betekent.

Verplichte bepalingWat het feitelijk betekent
Toegestaan en vereist gebruik & verstrekkingHet contract moet exact bepalen hoe de business associate PHI mag gebruiken of verstrekken, en dit beperken tot wat de overeenkomst en de wet toestaan.
Geen verder gebruik of verstrekkingDe business associate mag PHI niet gebruiken buiten de contractvoorwaarden of op een manier die de Privacy Rule zou schenden als de covered entity het zou doen.
Passende waarborgenDe business associate moet waarborgen treffen om onbevoegd gebruik of verstrekking te voorkomen, inclusief de administratieve, fysieke en technische waarborgen van de Security Rule voor ePHI.
Melding van datalekken en incidentenDe business associate moet beveiligingsincidenten, datalekken van onbeveiligde PHI en elk onbevoegd gebruik of verstrekking binnen vastgestelde termijnen aan de covered entity melden.
Doorwerking naar subcontractorsDe business associate moet zorgen dat elke subcontractor die PHI verwerkt, via een eigen BAA met dezelfde beperkingen en voorwaarden instemt.
Rechten van betrokkenenDe business associate moet de covered entity ondersteunen bij haar verplichtingen om betrokkenen inzage in hun PHI te geven, wijzigingen door te voeren en een overzicht van verstrekkingen te leveren.
Retourneren of vernietigen bij beëindigingBij beëindiging moet de business associate alle PHI retourneren of vernietigen waar haalbaar, en de bescherming voortzetten voor PHI die niet kan worden geretourneerd of vernietigd.
Beschikbaarheid van dossiers voor HHSDe business associate moet zijn interne praktijken, boeken en dossiers beschikbaar stellen aan het Department of Health and Human Services voor nalevingsonderzoek.
Beëindiging bij schendingDe covered entity moet het contract kunnen beëindigen als de business associate het wezenlijk schendt.

Een paar hiervan verdienen extra aandacht.

Waarborgen en de Security Rule. Voor ePHI is "passende waarborgen" niet vaag. De business associate is rechtstreeks verplicht te voldoen aan de administratieve, fysieke en technische waarborgvereisten van de Security Rule. De BAA moet hiernaar verwijzen in plaats van het impliciet te laten.

Datalekmelding. Onder HITECH activeren datalekken van onbeveiligde PHI meldplichten. De business associate moet de covered entity informeren zodat die haar eigen termijnen kan halen (melding aan betrokken individuen zonder onredelijke vertraging en uiterlijk 60 dagen na ontdekking). De BAA moet vastleggen hoe snel de business associate de covered entity moet inlichten, want die klok zet de klok van de covered entity in gang.

Retourneren of vernietigen. Dit ontbreekt vaak of is afgezwakt. Het contract moet expliciet zijn over wat er met PHI gebeurt als de relatie eindigt, inclusief back-ups en archieven.

Een compliance-verantwoordelijke aan de receptie van een kliniek bekijkt samen met een collega een ondertekende business associate agreement

Belangrijke clausules om kritisch te bekijken voordat u tekent

De vereisten van §164.504(e) zijn de ondergrens. De zakelijke voorwaarden eromheen bepalen hoeveel risico u daadwerkelijk draagt. Lees deze aandachtig.

  • Termijn voor datalekmelding. Een conforme BAA moet melding verplichten, maar "zonder onredelijke vertraging" is geen deadline. Dring aan op een concreet getal. Veel goed opgestelde BAA's vereisen melding binnen 24 tot 72 uur na ontdekking voor bevestigde datalekken. Hoe ruimer het venster, hoe minder tijd er overblijft om de 60-dagenverplichting te halen.
  • Vrijwaring. Vrijwaart de leverancier u voor schade veroorzaakt door zijn schending, inclusief boetes van toezichthouders, meldingskosten en kredietmonitoring? Eenzijdige of ontbrekende vrijwaring verschuift de financiële gevolgen naar de covered entity.
  • Aansprakelijkheidsplafonds versus HIPAA-risico. Let op een aansprakelijkheidsplafond dat bijvoorbeeld op de laatste 12 maanden aan vergoedingen is gezet. Eén datalek met meerdere dossiers kan veel meer kosten aan boetes, meldingen en herstel. Het plafond moet worden afgestemd op het datarisico, niet alleen op de contractwaarde, en aansprakelijkheid rond datalekken wordt vaak volledig buiten het plafond gehouden.
  • Audit- en beoordelingsrechten. Kunt u het SOC 2-rapport van de leverancier, antwoorden op een beveiligingsvragenlijst of bewijs van waarborgen opvragen? Sterke BAA's verlenen audit- of beoordelingsrechten, zodat vertrouwen verifieerbaar is en niet aangenomen.
  • Datalocatie en subverwerkers. Waar wordt PHI opgeslagen en verwerkt, en welke onderliggende subverwerkers komen ermee in aanraking? Grensoverschrijdende opslag en een niet bekendgemaakte lijst van subverwerkers zijn reële risico's. Eis kennisgeving en goedkeuringsrechten voor nieuwe subverwerkers.
  • Verzekering. Heeft de leverancier een cyberaansprakelijkheidsverzekering met toereikende dekking? Een stevige vrijwaring is alleen zoveel waard als het vermogen van de leverancier om deze te betalen.

Deze clausules overlappen met de verwerkingsvoorwaarden die veel leveranciers al hanteren. Onze clausulebibliotheek voor gegevensverwerking laat zien hoe dezelfde bescherming aan de AVG-kant wordt opgesteld.

Veelgemaakte BAA-fouten en waarschuwingssignalen

  • Geen BAA met subcontractors. Een business associate die PHI verder deelt zonder BAA breekt de keten en is rechtstreeks blootgesteld.
  • Vage of ontbrekende meldtermijnen. "Direct" of "zo spoedig als praktisch mogelijk" zonder getal maakt het beide partijen onmogelijk om rond hun eigen termijnen te plannen.
  • Geen retourneer-of-vernietigclausule. PHI die voor onbepaalde tijd in de systemen van een voormalige leverancier blijft hangen, is een doorlopende aansprakelijkheid.
  • Een conduit als business associate behandelen, of omgekeerd. Een BAA opdringen aan een zuivere conduit verspilt moeite. De gevaarlijkere fout is het omgekeerde: aannemen dat een cloudopslag- of softwareleverancier een conduit is terwijl die in werkelijkheid PHI bewaart en een BAA nodig heeft.
  • Vertrouwen op een click-through zonder ondertekende BAA. Sommige leveranciers verwerken PHI onder standaardvoorwaarden zonder enige ondertekende BAA. Als ze PHI verwerken, is dat een gat.
  • Verouderde BAA's. Overeenkomsten die jaren geleden zijn ondertekend, kunnen van vóór HITECH en de Omnibus Rule dateren. Oude templates kunnen verplichte bepalingen missen. Een herinnering voor zorgcontracten op de beoordelingsdatum van elke BAA voorkomt dat dit onopgemerkt blijft.
  • Aannemen dat de BAA voldoende is. Een ondertekende BAA is noodzakelijk, maar maakt op zichzelf geen van beide partijen HIPAA-conform. De waarborgen moeten nog steeds echt zijn.

BAA-checklist

Bevestig vóór ondertekening dat de overeenkomst elk van deze punten dekt. U kunt uw BAA ook door onze gratis AI-tool voor BAA-beoordeling halen om ontbrekende bepalingen en zwakke clausules automatisch te signaleren.

  • Partijen en rollen zijn correct vastgesteld (covered entity, business associate, subcontractor).
  • Toegestaan en vereist gebruik en verstrekking van PHI zijn duidelijk gedefinieerd en beperkt.
  • Een beperking "geen verder gebruik of verstrekking" is aanwezig.
  • Passende waarborgen zijn vereist, met een expliciete verwijzing naar naleving van de Security Rule voor ePHI.
  • Melding van datalekken en beveiligingsincidenten is vereist, met een concrete termijn (idealiter 24 tot 72 uur).
  • Doorwerkingsverplichtingen naar subcontractors vereisen onderliggende BAA's.
  • Ondersteuning van de rechten van betrokkenen op inzage, wijziging en overzicht van verstrekkingen is geregeld.
  • Retournering of vernietiging van PHI bij beëindiging is gespecificeerd, inclusief back-ups.
  • Dossiers worden beschikbaar gesteld aan HHS voor nalevingsonderzoek.
  • Beëindiging bij wezenlijke schending staat de covered entity ter beschikking.
  • Vrijwaring dekt de schendingen van de leverancier, inclusief boetes en meldingskosten.
  • Aansprakelijkheidsplafonds zijn afgestemd op het datarisico, met aansprakelijkheid rond datalekken waar passend buiten het plafond gehouden.
  • Audit- of beoordelingsrechten zijn verleend (SOC 2, beveiligingsbewijs).
  • Bekendmaking van datalocatie en subverwerkers, met goedkeuringsrechten voor nieuwe subverwerkers.
  • Eisen aan een cyberaansprakelijkheidsverzekering zijn vastgelegd.
  • Er is een verlengings- of beoordelingsherinnering ingesteld zodat de BAA niet veroudert.

Veelgestelde vragen

Is een BAA wettelijk verplicht?

Ja. Als een covered entity PHI deelt met een leverancier die als business associate kwalificeert, vereist HIPAA een schriftelijke BAA voordat er PHI wordt verstrekt. Hetzelfde geldt tussen een business associate en zijn subcontractors.

Wat gebeurt er zonder BAA?

PHI delen zonder vereiste BAA is op zichzelf al een HIPAA-overtreding, los van een eventueel datalek. The Office for Civil Rights heeft zaken geschikt voor honderdduizenden tot miljoenen dollars waar het kernverzuim een ontbrekende of ontoereikende BAA was. Beide partijen kunnen met handhaving te maken krijgen.

Maakt een BAA ons HIPAA-conform?

Nee. Een ondertekende BAA is een verplicht onderdeel van naleving, maar het is een contract, geen beheersmaatregel. De waarborgen moeten nog steeds worden geïmplementeerd, het personeel getraind, een risicoanalyse uitgevoerd en de toezeggingen in de overeenkomst daadwerkelijk nagekomen. De BAA is de toezegging; het beveiligingsprogramma is wat haar overeind houdt.

BAA versus verwerkersovereenkomst: wat is het verschil?

Een BAA is specifiek voor HIPAA en PHI in de Verenigde Staten. Een verwerkersovereenkomst (data processing agreement, DPA) is het equivalente instrument onder de AVG (en de Britse UK GDPR) en regelt hoe een verwerker persoonsgegevens namens een verwerkingsverantwoordelijke behandelt. Ze vervullen een vergelijkbare bruggenfunctie, maar vallen onder verschillende wetten, definiëren verschillende rollen (covered entity en business associate versus verwerkingsverantwoordelijke en verwerker) en kennen verschillende verplichte voorwaarden. Voor de zorgsector in Nederland komt daar de norm NEN 7510 voor informatiebeveiliging bij, en houdt de Autoriteit Persoonsgegevens toezicht op de AVG-kant. Een organisatie die in beide regimes opereert, kan beide nodig hebben. Voor de AVG-kant, zie wat een verwerkersovereenkomst is, en stel herinneringen voor verlenging van de verwerkersovereenkomst in zodat ook de tegenhanger niet verloopt.

Hebben we een BAA nodig met onze cloud- of softwareleverancier?

Als de leverancier namens u PHI aanmaakt, ontvangt, bewaart of verzendt, ja, ook al ziet die de gegevens nooit in. Een HIPAA-geschikte cloudprovider, EPD, facturatiesysteem, e-signing-tool of contractplatform dat PHI opslaat, is een business associate. Een zuiver doorgeefkanaal dat de gegevens nooit blijvend opslaat, kan onder de conduit-uitzondering vallen, maar behandel dat als het zeldzame geval.

Hoe vaak moeten we onze BAA's beoordelen?

Beoordeel BAA's bij verlenging, telkens wanneer een leverancier de manier waarop hij PHI verwerkt wezenlijk wijzigt, en na elke wijziging in regelgeving. Een actueel overzicht bijhouden van elke BAA, met verlengingsdata en herinneringen, is een van de meest effectieve manieren om een verouderde of ontbrekende overeenkomst te voorkomen.

Laat uw BAA's beoordelen

Een business associate agreement biedt alleen bescherming als deze daadwerkelijk de verplichte bepalingen bevat en de zakelijke voorwaarden standhouden. Ontbrekende clausules, vage meldtermijnen en aansprakelijkheidsplafonds die de werkelijke kosten van een datalek negeren, zijn in een drukke beoordelingscyclus gemakkelijk over het hoofd te zien.

Contracko helpt zorgteams deze gaten op te sporen. Haal elke overeenkomst door onze gratis AI-tool voor BAA-beoordeling om ontbrekende §164.504(e)-bepalingen en zwakke clausules naar boven te halen, gebruik de bredere tool voor beoordeling van zorgcontracten voor leveranciers- en klinische overeenkomsten, en stel herinneringen voor verlenging en de verwerkersovereenkomst in zodat er niets ongemerkt verloopt. Bekijk hoe het in de rest van uw stack past op onze pagina voor de zorgsector.

Ter herinnering: deze gids bevat algemene informatie en is geen juridisch advies. Raadpleeg een gekwalificeerde jurist voor uw specifieke omstandigheden.

De afbeeldingen in dit artikel zijn gegenereerd met behulp van AI.

Ga aan de slag met Contracko

Verban het gedoe rondom contract- en abonnementsbeheer. Contracko helpt je georganiseerd, op tijd en in controle te blijven. Begin vandaag nog met vereenvoudigen.

ennldefresitpt