随着HIPAA法案Omnibus Rule的全面实施，我们看到的最大变化之一是对商业伙伴的新责任。虽然涵盖实体一直被要求与服务提供商签订商业伙伴协议，但这个Omnibus Rule的不同之处在于，它扩展了政府对这些协议的监管范围。

签署BAA的服务提供商现在直接受美国卫生和人类服务（HHS）的监管。此外，涵盖实体现在需要共同承担商业伙伴行为的责任。

在本文中，我们将讨论HIPAA法案涵盖的企业应该了解的商业伙伴的角色转变，以及为遵守Omnibus Rule，企业应该如何调整其业务流程。

商业伙伴的角色转变

医院、医疗保险公司、医疗门诊以及其他HIPAA涵盖实体通常依赖外部服务提供商来协助其管理、病人护理和其他任务，其中供应商会接触受保护的医疗信息（PHI）。在这种情况下，根据HIPAA法案，供应商被视为商业伙伴，涵盖实体需要与供应商签订BAA，其中规定以书面形式概述该服务提供商将如何保护PHI，并最终支持HIPAA法案合规企业的合规工作。

随着HIPAA Omnibus Rule的发布，HHS扩大了商业伙伴的定义，其中涵盖了一些新类型的实体。首先，涉及病人安全活动（例如医疗错误报告）的企业现在被视为商业伙伴。其次，该定义现在包括健康信息组织、电子处方网关以及其他提供数据传输服务的企业。最后，也许是最重要的，商业伙伴关系现在还延伸到代表商业伙伴接触PHI的分包商。

此外，根据新的规则，HHS扩大了对这些商业伙伴和分包商的直接监管。现在，HHS可以审核商业伙伴是否符合HIPAA法案要求，并对不符合规定的商业伙伴采取执法行动。对于商业伙伴来说，这是一个重大变革，他们现在即将面临2014年的HIPAA系列审计。

涵盖实体的行动计划

对于HIPAA涵盖实体来说，这些变化意味着什么？可以说，这些涵盖实体有很多工作要做，他们需要确保所有商业伙伴协议都符合规定。

这个过程的第一步应该是对所有服务提供商进行全面审查以确保在必要的时候签署BAA。如果商业伙伴关系涉及共享受保护的健康信息，就有必要签署BAA。

接着，审查已经签署的BAA的协议内容，以确保符合HIPAA Omnibus Rule的要求。这并不属于安全专家的工作，因为这涉及法律专业知识。请咨询律师，并要求他们审阅每份协议以确保合规性。HHS在其官网提供了一个BAA模板，企业可以根据自身需求来修改这个模板。

最后，与每个商业伙伴面谈，要求他们提供HIPAA合规的保证。根据审查水平的不同，企业可以要求独立HIPAA评估的结果，执行独立的监控审核或者依赖由供应商提供的控制的描述。为什么这么麻烦？HIPAA涵盖的所有企业现在都面临商业伙伴合规问题。按照旧的规则，涵盖实体不需要对商业伙伴的行为负责任。然而，Omnibus Rule规定，涵盖实体需要为作为涵盖实体代理的商业伙伴的行为承担法律责任。换句话说，如果商业伙伴遭遇涉及PHI的数据泄露事故时，HIPAA涵盖实体可能也面临违规，惩罚和负面新闻都会随之而来。

Omnibus Rule对涵盖实体及其商业伙伴之间的关系进行了一些变更。除了扩展商业伙伴的定义外，该规则还为BAA双方制定了新的责任。毫无疑问，最大的教训是：如果你现在还没有这样做的话，现在应该开始审查这些BAA了！