HIPAA · Hub

Business Associate Agreement (BAA): Khi Nào Cần Và Viết Gì

BAA Là Gì Và Tại Sao Nó Quan Trọng Trong HIPAA

Khi một tổ chức y tế, hay bất kỳ Covered Entity nào theo HIPAA, thuê ngoài dịch vụ có liên quan đến Protected Health Information (PHI), họ không thể chỉ dựa vào hợp đồng dịch vụ thông thường. HIPAA yêu cầu một loại thoả thuận riêng biệt gọi là Business Associate Agreement (BAA). Đây là văn bản pháp lý xác định trách nhiệm bảo vệ PHI của bên thứ ba, Business Associate, và là điều kiện bắt buộc để việc chia sẻ PHI hợp pháp xảy ra. Thiếu BAA không chỉ là sơ suất hành chính; đây là vi phạm HIPAA có thể dẫn đến điều tra và xử phạt.

Khi Nào Bắt Buộc Phải Ký BAA

Không phải mọi vendor đều cần BAA. Điều kiện phát sinh nghĩa vụ ký BAA là khi bên thứ ba tạo ra, nhận, duy trì hoặc truyền tải PHI thay mặt cho Covered Entity hoặc một Business Associate khác.

Một số tình huống phổ biến:

  • Cloud storage và SaaS: Nếu bạn lưu trữ hồ sơ bệnh nhân trên nền tảng đám mây, nhà cung cấp đó là Business Associate và cần ký BAA.
  • Billing và coding services: Các đơn vị xử lý hoá đơn y tế có tiếp cận PHI để thực hiện dịch vụ, BAA là bắt buộc.
  • IT support và managed services: Nếu đội ngũ kỹ thuật có khả năng truy cập hệ thống chứa PHI, dù chỉ gián tiếp, BAA vẫn cần thiết.
  • Dịch vụ dịch thuật và transcription: Khi tài liệu y tế được chuyển cho bên ngoài để xử lý ngôn ngữ.

Ngược lại, các nhà cung cấp như dịch vụ điện, internet, hay courier thông thường không cần BAA, trừ khi họ có quyền truy cập PHI như một phần của dịch vụ.

Các Điều Khoản Cốt Lõi Một BAA Phải Có

Một BAA hợp lệ theo HIPAA không được viết tùy tiện. Regulations tại 45 CFR §164.504(e) quy định rõ những nội dung tối thiểu:

1. Giới hạn mục đích sử dụng PHI Business Associate chỉ được dùng PHI cho mục đích đã thoả thuận trong hợp đồng dịch vụ, không được dùng cho mục đích marketing, bán dữ liệu, hay bất kỳ hoạt động nào ngoài phạm vi.

2. Nghĩa vụ bảo mật BAA phải yêu cầu Business Associate áp dụng các biện pháp bảo vệ phù hợp, bao gồm cả administrative, physical, và technical safeguards theo HIPAA Security Rule.

3. Báo cáo vi phạm (Breach Notification) Khi xảy ra breach, Business Associate phải thông báo cho Covered Entity trong thời gian quy định để Covered Entity thực hiện nghĩa vụ báo cáo với cơ quan quản lý và bệnh nhân.

4. Quyền của cá nhân BAA phải đảm bảo Business Associate hỗ trợ Covered Entity thực hiện quyền của bệnh nhân, như quyền truy cập, chỉnh sửa hồ sơ, hoặc nhận accounting of disclosures.

5. Điều khoản chấm dứt Covered Entity phải có quyền chấm dứt BAA nếu Business Associate vi phạm các điều khoản bảo vệ PHI, và Business Associate phải trả lại hoặc huỷ PHI sau khi hợp đồng kết thúc.

Hậu Quả Khi Thiếu BAA

Vắng mặt của BAA là một trong những lý do phổ biến nhất dẫn đến phát hiện vi phạm HIPAA trong các cuộc audit. Khi HHS Office for Civil Rights (OCR) điều tra, họ không chỉ xem xét liệu có breach xảy ra hay không, họ còn kiểm tra liệu toàn bộ chuỗi vendor relationship có được bảo vệ đúng cách.

Covered Entity có thể bị xử phạt ngay cả khi không có breach thực sự, chỉ vì thiếu BAA với vendor có tiếp cận PHI. Ngoài ra, trong trường hợp tranh chấp hoặc kiện tụng, không có BAA đồng nghĩa với việc trách nhiệm pháp lý dồn toàn bộ về phía Covered Entity, Business Associate không có nghĩa vụ hợp đồng nào để chia sẻ gánh nặng đó.


Câu Hỏi Thường Gặp

BAA có cần ký lại khi hợp đồng dịch vụ gia hạn không? Không nhất thiết, nếu BAA hiện tại không có điều khoản hết hạn theo thời gian. Tuy nhiên, nên rà soát BAA định kỳ, đặc biệt khi phạm vi dịch vụ thay đổi hoặc vendor cập nhật chính sách bảo mật.

Vendor ở nước ngoài có cần BAA không? Có. HIPAA áp dụng theo bản chất của dữ liệu và mối quan hệ với Covered Entity, không theo địa lý của vendor. Nếu vendor nước ngoài tiếp cận PHI của bệnh nhân Mỹ, BAA vẫn là yêu cầu bắt buộc.

Subcontractor của Business Associate có cần BAA không? Có. Theo HIPAA Omnibus Rule, subcontractor xử lý PHI thay mặt Business Associate cũng phải ký BAA, lần này với chính Business Associate đó.


Quản lý danh sách Business Associates và theo dõi trạng thái BAA thủ công trên spreadsheet dễ dẫn đến thiếu sót, nhất là khi danh sách vendor mở rộng. pTrackly hỗ trợ doanh nghiệp lưu trữ, theo dõi và nhắc nhở rà soát BAA như một phần của quy trình HIPAA compliance, giúp đội ngũ không bỏ sót nghĩa vụ pháp lý quan trọng này.

pTrackly giúp bạn triển khai HIPAA nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo