Acordo de associado comercial: guia HIPAA
As organizações que lidam com informação de saúde protegida (PHI) precisam normalmente de um acordo de associado comercial, por vezes de vários. O BAA é o contrato que torna uma relação de dados de saúde lícita ao abrigo da HIPAA, e a sua ausência está entre as lacunas de conformidade mais comuns e mais dispendiosas encontradas pelos reguladores.
Este guia explica, em linguagem simples, o que é um BAA, quem precisa de um, o que a HIPAA exige no documento, as cláusulas que merecem negociação e uma lista de verificação a usar antes da assinatura.
Este artigo contém informação geral, não aconselhamento jurídico. Consulte um advogado qualificado sobre a sua situação específica.
O que é um acordo de associado comercial?
Um acordo de associado comercial (BAA), por vezes designado contrato de associado comercial, é um contrato escrito entre uma entidade abrangida pela HIPAA (ou outro associado comercial) e um fornecedor que irá criar, receber, manter ou transmitir informação de saúde protegida em seu nome.
Funciona como a ponte jurídica entre duas partes:
- A entidade abrangida é o prestador de cuidados de saúde, plano de saúde ou câmara de compensação de saúde que detém a relação subjacente com os pacientes e os seus dados.
- O associado comercial é o fornecedor externo que realiza trabalho que envolve PHI: alojando-a, processando-a, analisando-a, faturando com base nela ou tratando-a de outra forma.
A HIPAA permite que uma entidade abrangida partilhe PHI com um fornecedor apenas se esse fornecedor aceitar contratualmente proteger os dados e utilizá-los apenas para fins permitidos. O BAA é o local onde essas promessas ficam registadas. Transfere um conjunto definido de obrigações HIPAA para o fornecedor e dá à entidade abrangida um recurso contratual se o fornecedor tratar indevidamente os dados.
Sem um BAA, não há partilha lícita de PHI com esse fornecedor. Este contrato fica ao lado do restante arquivo documental de uma equipa de saúde, razão pela qual muitas equipas o centralizam em software de gestão de contratos de saúde, em vez de o acompanharem em folhas de cálculo.
Quem precisa de um BAA?
A forma mais simples de responder é identificar o papel de cada parte.
Entidades abrangidas
Uma entidade abrangida é uma de três coisas ao abrigo da HIPAA:
- Um prestador de cuidados de saúde que transmite informação de saúde eletronicamente em ligação com transações abrangidas (a maioria das clínicas, hospitais, dentistas, terapeutas, laboratórios).
- Um plano de saúde (seguradoras, HMO, planos de saúde de grupo de empregadores, programas públicos).
- Uma câmara de compensação de saúde (entidades que processam dados de saúde entre formatos).
As entidades abrangidas devem estabelecer um BAA com todos os associados comerciais antes de qualquer PHI mudar de mãos.
Associados comerciais
Um associado comercial é qualquer pessoa ou organização, que não seja membro da força de trabalho da entidade abrangida, que execute funções ou serviços que envolvam PHI em nome da entidade abrangida. Exemplos comuns:
- Fornecedores de alojamento e armazenamento na cloud que armazenam PHI (por exemplo, uma plataforma cloud elegível para HIPAA).
- Empresas de faturação e codificação médica e fornecedores de ciclo de receita.
- Serviços de transcrição médica.
- Fornecedores de análise e relatórios que processam PHI para produzir informação.
- Plataformas de assinatura eletrónica usadas para assinar documentos que contêm PHI.
- Software de gestão e revisão de contratos que ingere acordos ou registos que contêm PHI.
- Apoio informático, fornecedores de EHR, software de gestão de consultórios, empresas de destruição segura de documentos, contabilistas ou advogados que tratam PHI.
Consultórios médicos e empregadores de grupo enfrentam a mesma obrigação com os seus próprios fornecedores, tema desenvolvido com mais detalhe no nosso guia sobre software de gestão de contratos para médicos.
Subcontratantes
Um associado comercial que entrega PHI ao seu próprio fornecedor a jusante deve assinar um BAA com esse subcontratante. O subcontratante é ele próprio um associado comercial ao abrigo da HIPAA, e a cadeia de obrigações deve fluir até ao fim. Um fornecedor de análise cloud que usa um fornecedor separado de data warehouse, por exemplo, precisa de um BAA com esse fornecedor de data warehouse. Esta transferência a jusante espelha a forma como o RGPD trata os subcontratantes, que abordamos em gestão de subprocessadores ao abrigo do RGPD.
A exceção de mero condutor
Nem todos os fornecedores que se aproximam de PHI precisam de um BAA. A exceção de mero condutor cobre organizações que apenas transportam dados sem lhes aceder rotineiramente, como os serviços postais, estafetas ou um fornecedor de serviços de internet que atua apenas como canal de transmissão. O teste é transmissão transitória versus acesso ou armazenamento persistente. Um estafeta que entrega registos selados é um mero condutor. Um fornecedor cloud que armazena esses registos é um associado comercial, mesmo que nunca os leia, porque mantém os dados.
Em caso de dúvida, assuma que precisa de um BAA. A exceção é restrita.
O que a HIPAA exige num BAA
A Regra de Privacidade da HIPAA, em 45 CFR §164.504(e), define as disposições que um BAA conforme deve conter. A Regra de Segurança e a lei HITECH acrescentam obrigações relativas a PHI eletrónica (ePHI) e notificação de violações. Eis o que cada elemento obrigatório significa na prática.
| Disposição obrigatória | O que significa na prática |
|---|---|
| Utilizações e divulgações permitidas e obrigatórias | O contrato deve definir exatamente como o associado comercial pode usar ou divulgar PHI, e limitar essa utilização ao que o acordo e a lei permitem. |
| Proibição de utilização ou divulgação adicional | O associado comercial não pode usar PHI para além dos termos do contrato nem de qualquer forma que violasse a Regra de Privacidade se fosse a entidade abrangida a fazê-lo. |
| Salvaguardas adequadas | O associado comercial deve implementar salvaguardas para prevenir a utilização ou divulgação não autorizada, incluindo salvaguardas administrativas, físicas e técnicas da Regra de Segurança para ePHI. |
| Notificação de violações e incidentes | O associado comercial deve comunicar incidentes de segurança, violações de PHI não protegida e qualquer utilização ou divulgação não autorizada à entidade abrangida, dentro de prazos definidos. |
| Transferência para subcontratantes | O associado comercial deve assegurar que qualquer subcontratante que trate PHI aceita as mesmas restrições e condições, através do seu próprio BAA. |
| Direitos dos titulares | O associado comercial deve apoiar as obrigações da entidade abrangida de facultar aos indivíduos acesso à sua PHI, fazer alterações e fornecer um registo das divulgações. |
| Devolução ou destruição no termo | No termo, o associado comercial deve devolver ou destruir toda a PHI sempre que viável, e prolongar as proteções a qualquer PHI que não possa devolver ou destruir. |
| Disponibilização de registos ao HHS | O associado comercial deve disponibilizar as suas práticas internas, livros e registos ao Department of Health and Human Services para análise de conformidade. |
| Rescisão por incumprimento | A entidade abrangida deve poder rescindir o contrato se o associado comercial o violar materialmente. |
Alguns destes pontos merecem atenção adicional.
Salvaguardas e a Regra de Segurança. Para ePHI, "salvaguardas adequadas" não é vago. O associado comercial tem a obrigação direta de cumprir os requisitos de salvaguardas administrativas, físicas e técnicas da Regra de Segurança. O BAA deve referir isto expressamente, em vez de o deixar implícito.
Notificação de violação. Ao abrigo da HITECH, violações de PHI não protegida desencadeiam deveres de notificação. O associado comercial deve notificar a entidade abrangida para que esta cumpra os seus próprios prazos (notificação aos indivíduos afetados sem atraso injustificado e, no máximo, 60 dias após a descoberta). O BAA deve fixar a rapidez com que o associado comercial deve informar a entidade abrangida, porque esse relógio inicia o relógio da entidade abrangida.
Devolução ou destruição. Isto falta frequentemente ou é enfraquecido. O contrato deve ser explícito quanto ao que acontece à PHI quando a relação termina, incluindo cópias de segurança e arquivos.
Cláusulas essenciais a analisar antes de assinar
Os requisitos do §164.504(e) são o mínimo. Os termos comerciais em torno deles determinam quanto risco suporta na prática. Leia estes pontos com atenção.
- Relógio de notificação de violação. Um BAA conforme deve exigir comunicação, mas "sem atraso injustificado" não é um prazo. Procure obter um número concreto. Muitos BAA bem redigidos exigem notificação no prazo de 24 a 72 horas após a descoberta de violações confirmadas. Quanto maior a janela, menos tempo resta para cumprir a obrigação de 60 dias.
- Indemnização. O fornecedor indemniza-o por perdas causadas pela sua violação, incluindo sanções regulatórias, custos de notificação e monitorização de crédito? Uma indemnização unilateral ou inexistente transfere as consequências financeiras para a entidade abrangida.
- Limites de responsabilidade versus risco HIPAA. Atenção a um limite de responsabilidade fixado, por exemplo, nas taxas dos últimos 12 meses. Uma única violação com múltiplos registos pode custar muito mais do que isso em coimas, notificações e remediação. O limite deve ser dimensionado em função do risco dos dados, não apenas do valor do contrato, e a responsabilidade relacionada com violações é muitas vezes excluída do limite.
- Direitos de auditoria e avaliação. Pode solicitar o relatório SOC 2 do fornecedor, respostas a questionários de segurança ou prova das salvaguardas? BAA fortes concedem direitos de auditoria ou avaliação para que a confiança seja verificável, não presumida.
- Localização dos dados e subprocessadores. Onde é armazenada e processada a PHI, e que subprocessadores a jusante lhe tocam? Armazenamento transfronteiriço e uma lista de subprocessadores não divulgada são riscos reais. Exija direitos de notificação e aprovação para novos subprocessadores.
- Seguro. O fornecedor tem seguro de responsabilidade cibernética com limites adequados? Uma indemnização robusta só é tão boa quanto a capacidade do fornecedor para a pagar.
Estas cláusulas sobrepõem-se aos termos de tratamento de dados que muitos fornecedores já mantêm. A nossa biblioteca de cláusulas de tratamento de dados mostra como as mesmas proteções são redigidas do lado do RGPD.
Erros comuns em BAA e sinais de alerta
- Nenhum BAA com subcontratantes. Um associado comercial que partilha PHI a jusante sem um BAA quebra a cadeia e fica diretamente exposto.
- Prazos de violação vagos ou ausentes. "Prontamente" ou "logo que praticável" sem um número deixa ambas as partes sem capacidade para planear em torno dos seus próprios prazos.
- Nenhuma cláusula de devolução ou destruição. PHI que permanece indefinidamente nos sistemas de um antigo fornecedor é uma responsabilidade permanente.
- Tratar um mero condutor como associado comercial, ou o inverso. Impor um BAA a um mero condutor desperdiça esforço. O erro mais perigoso é o inverso: presumir que um fornecedor de armazenamento cloud ou software é um mero condutor quando, na verdade, mantém PHI e precisa de um BAA.
- Depender de termos click-through sem BAA assinado. Alguns fornecedores processam PHI ao abrigo de termos padrão sem qualquer BAA executado. Se tratam PHI, isso é uma lacuna.
- BAA desatualizados. Acordos assinados há anos podem ser anteriores à HITECH e à Omnibus Rule. Modelos antigos podem não ter disposições obrigatórias. Um lembrete de contrato de saúde em cada data de revisão do BAA evita que isto passe despercebido.
- Assumir que o BAA é suficiente. Um BAA assinado é necessário, mas não torna por si só nenhuma das partes conforme com a HIPAA. As salvaguardas continuam a ter de ser reais.
Lista de verificação para revisão de BAA
Antes de assinar, confirme que o acordo cobre cada um destes pontos. Também pode passar o seu BAA pela nossa ferramenta gratuita de revisão de BAA com IA para assinalar automaticamente disposições em falta e cláusulas fracas.
- As partes e funções estão corretamente identificadas (entidade abrangida, associado comercial, subcontratante).
- As utilizações e divulgações permitidas e obrigatórias de PHI estão claramente definidas e limitadas.
- Existe uma restrição de proibição de utilização ou divulgação adicional.
- São exigidas salvaguardas adequadas, com uma referência explícita ao cumprimento da Regra de Segurança para ePHI.
- É exigida a comunicação de violações e incidentes de segurança, com um prazo concreto (idealmente 24 a 72 horas).
- As obrigações de transferência para subcontratantes exigem BAA a jusante.
- Está contemplado o apoio aos direitos dos indivíduos de acesso, alteração e registo de divulgações.
- Está especificada a devolução ou destruição de PHI no termo, incluindo cópias de segurança.
- Os registos são disponibilizados ao HHS para análise de conformidade.
- A entidade abrangida pode rescindir por incumprimento material.
- A indemnização cobre as violações do fornecedor, incluindo sanções e custos de notificação.
- Os limites de responsabilidade são dimensionados ao risco dos dados, com exclusão da responsabilidade por violações quando adequado.
- São concedidos direitos de auditoria ou avaliação (SOC 2, prova de segurança).
- Há divulgação da localização dos dados e dos subprocessadores, com direitos de aprovação para novos subprocessadores.
- Estão definidos requisitos de seguro de responsabilidade cibernética.
- Foi definido um lembrete de renovação ou revisão para que o BAA não fique desatualizado.
Perguntas frequentes
Um BAA é legalmente obrigatório?
Sim. Se uma entidade abrangida partilha PHI com um fornecedor que se qualifica como associado comercial, a HIPAA exige um BAA escrito antes de qualquer PHI ser divulgada. O mesmo se aplica entre um associado comercial e os seus subcontratantes.
O que acontece sem um BAA?
Partilhar PHI sem um BAA obrigatório é, por si só, uma violação da HIPAA, separada de qualquer violação de dados. O Office for Civil Rights celebrou acordos em casos de centenas de milhares a milhões de dólares quando a falha central era um BAA inexistente ou inadequado. Ambas as partes podem enfrentar medidas de aplicação.
Um BAA torna-nos conformes com a HIPAA?
Não. Um BAA assinado é uma parte obrigatória da conformidade, mas é um contrato, não um controlo. As salvaguardas continuam a ter de ser implementadas, a equipa formada, uma análise de risco realizada e as promessas do acordo efetivamente cumpridas. O BAA é o compromisso; o programa de segurança é o que o mantém.
BAA versus DPA: qual é a diferença?
Um BAA é específico da HIPAA e da PHI nos Estados Unidos. Um acordo de tratamento de dados (DPA) é o instrumento equivalente ao abrigo do RGPD da UE e do Reino Unido, regulando como um subcontratante trata dados pessoais em nome de um responsável pelo tratamento. Desempenham uma função de ponte semelhante, mas respondem a leis diferentes, definem papéis diferentes (entidade abrangida e associado comercial versus responsável pelo tratamento e subcontratante) e têm termos obrigatórios diferentes. Uma organização que opere nos dois regimes pode precisar de ambos. Do lado do RGPD, consulte o que é um acordo de tratamento de dados, e defina lembretes de renovação de DPA para que o acordo correspondente também não caduque.
Precisamos de um BAA com o nosso fornecedor cloud ou de software?
Se o fornecedor cria, recebe, mantém ou transmite PHI em seu nome, sim, mesmo que nunca veja os dados. Um fornecedor cloud elegível para HIPAA, EHR, sistema de faturação, ferramenta de assinatura eletrónica ou plataforma de contratos que armazena PHI é um associado comercial. Um mero condutor de transmissão que nunca armazena persistentemente os dados pode cair na exceção de mero condutor, mas trate isso como um caso raro.
Com que frequência devemos rever os nossos BAA?
Reveja os BAA na renovação, sempre que um fornecedor altere materialmente a forma como trata PHI e após qualquer atualização regulatória. Manter um inventário atualizado de todos os BAA, com datas de renovação e lembretes, é uma das formas mais eficazes de evitar um acordo desatualizado ou em falta.
Faça rever os seus BAA
Um acordo de associado comercial só protege se contiver efetivamente as disposições obrigatórias e se os termos comerciais resistirem. Cláusulas em falta, prazos vagos de violação e limites de responsabilidade que ignoram o custo real de uma violação são fáceis de deixar passar num ciclo de revisão ocupado.
A Contracko ajuda equipas de saúde a detetar estas lacunas. Passe qualquer acordo pela nossa ferramenta gratuita de revisão de BAA com IA para identificar disposições em falta do §164.504(e) e cláusulas fracas, use a ferramenta mais ampla de revisão de contratos de saúde para acordos com fornecedores e acordos clínicos, e defina lembretes de renovação e DPA para que nada expire sem ser notado. Veja como se integra no resto da sua stack na nossa página da indústria da saúde.
Lembrete: este guia contém informação geral, não aconselhamento jurídico. Consulte um advogado qualificado para as suas circunstâncias específicas.
As imagens neste artigo foram geradas com a assistência de IA.
Comece com o Contracko
Elimine as complicações da gestão de contratos e subscrições. O Contracko permite-lhe manter-se organizado, dentro dos prazos e no controlo. Comece a simplificar hoje.