契約作業にHIPAA関連のWebサイトを作成していますが、すべてのiに点在していることを確認したいと思います。
私はインターネットでビジネスアソシエイトの契約を見続けていますが、これまでのところ、ビジネスアソシエイト以外の契約に相当するものは見ていません。そのようなものは存在しますか?そうでない場合は、基本的にそれを述べて1つを構成する必要があります
1)私は認定HIPAAセキュリティプロフェッショナル(CHSP)ではないため、HIPAAセキュリティルール(164.312技術的保護手段)の定義外でHIPAAセキュリティに関するアドバイスを提供することは期待できません。
2)私が作成したコードは、私の能力と理解の及ぶ限りHIPAAセキュリティルール(164.312技術的保護手段)に準拠しますが、HIPAAセキュリティの専門家がその合法性に従って必要に応じてそのようなコードを検証および変更するのは、クライアントの責任です。 HIPAA法に準拠しています。
3)私はPHI情報に個人的にアクセスすることはできず、公開後にWebサイトにアクセスすることもできません。
それは正しいですか?そのどれかが持ちこたえますか?
ここで重要なことは、あなたの会社がHIPAAに準拠する義務があるかどうかを確認することです。この場合、あなたは単に彼らのためにウェブサイトを作っているので、あなたが請負業者としてではなく、この義務を負っているのはあなたの顧客(サービスを必要とする)でしょう。彼らは、あなたではなく、HIPAAに準拠していることを確認するために監査を行う必要がある人です。
注目すべきもう1つの項目は、ビジネスアソシエイトとビジネスアソシエイト契約(BAA)の定義を確認することです。これらは通常、対象となるエンティティに代わってPHIを作成、受信、維持、または送信することに関与します。 PHIを送信していないため、HIPAAコンプライアンスは関係ありません。 PHIを処理していないときに、クライアントからHIPAAに準拠するように求められた場合、クライアントは何について話しているのかわかりません。
また、存在しないもの(「ビジネスアソシエイト以外の契約」)を探すべきではありません。