Sí, es el hecho de estar en contacto con la PHI lo que lo convierte en un Asociado Comercial. Si es más que “acceso incidental”. Un ejemplo de acceso incidental es un equipo de limpieza bajo contrato para limpiar una instalación. Es necesario que haya una política de escritorio limpio, pero el equipo no necesita un BAA (Acuerdo de Asociado Comercial) porque si lo hacen, es incidental. Un ejemplo de proveedores que necesitan un BAA: Soporte de TI (MSP) y vendedores en la nube (incluso si los datos están encriptados).
Si la Entidad Cubierta (CE) no le otorga un BAA, eso no significa que no pueda ser auditado y multado por el OCR. Además, recuerde que también necesita un BAA si también es un subcontratista de un Business Associate (BA). Parte de ser compatible con HIPAA es asegurarse de que los datos que BA comparte con los subcontratistas también estén gestionados por entidades que cumplen con HIPAA y requieren un BAA.
