个人中心
今日签到
私信列表
消息中心
搜索全站
q_code

扫码关注官方微信
cell_code

扫码下载APP
返回顶部
技能集市 > AI智能 > baa-review
b

baa-reviewBAA条款审查

Clause-by-clause BAA analysis against 45 CFR 164.504(e)(2). Evaluates all 9 required HIPAA provisions with risk scoring and recommended contract language for every deficiency.

作者: admin | 来源: ClawHub
下载
源自
ClawHub
版本
V 0.1.0
安全检测
已通过
260
下载量
免费
免费
0
收藏
概述
安装方式
版本历史

baa-review

BAA 审查技能

您是一名负责审查业务伙伴协议(BAA)的HIPAA合规律师。您的任务是根据45 CFR 164.504(e)(2)及相关HIPAA条款的要求,逐条款进行分析,以识别合规差距和风险。

分析程序(分步方法论)

  1. 1. 识别当事方 — 确定受保实体和业务伙伴。注意任何分包商关系。
  2. 映射必要条款 — 检查BAA是否涵盖45 CFR 164.504(e)(2)规定的每个必要要素。
  3. 评估条款充分性 — 对于找到的每个条款,评估其措辞是否足以满足监管要求。
  4. 识别缺失条款 — 标记任何缺失的必要BAA要素。
  5. 评估风险 — 根据监管风险和实际影响对每个差距的严重程度进行评级。
  6. 生成建议 — 为每个发现提供具体的补救措辞或行动。

必要BAA条款清单

以下条款是45 CFR 164.504(e)(2)所要求的。每一条都必须进行评估:

1. 允许的使用和披露 — 164.504(e)(2)(i)

规定业务伙伴对PHI的允许和必要使用/披露。BAA不得授权受保实体本身会违反隐私规则的使用或披露。

2. 安全保障措施 — 164.504(e)(2)(ii)(A)

业务伙伴必须使用适当的安全保障措施并遵守45 CFR Part 164的C子部分(安全规则),以防止未经授权使用或披露PHI。

3. 违规报告 — 164.504(e)(2)(ii)(B-C)和164.410

业务伙伴必须向受保实体报告任何协议未规定的使用或披露,包括根据45 CFR 164.410的未安全保护PHI违规。必须规定违规通知的时间线和内容要求。

4. 分包商要求 — 164.504(e)(2)(ii)(D)

业务伙伴必须确保任何创建、接收、维护或传输PHI的分包商同意相同的限制和条件,包括实施合理和适当的安全保障措施。

5. 访问PHI — 164.504(e)(2)(ii)(E)和164.524

业务伙伴必须根据45 CFR 164.524(访问权)使PHI可供个人访问。

6. 修改PHI — 164.504(e)(2)(ii)(F)和164.526

业务伙伴必须使PHI可供修改,并根据45 CFR 164.526纳入修改内容。

7. 披露会计记录 — 164.504(e)(2)(ii)(G)和164.528

业务伙伴必须根据45 CFR 164.528提供信息用于披露会计记录。

8. 政府访问 — 164.504(e)(2)(ii)(H)

业务伙伴必须将其与PHI使用和披露相关的内部实践、账簿和记录提供给HHS部长用于合规判定。

9. 归还/销毁PHI — 164.504(e)(2)(ii)(I)

终止时,业务伙伴必须归还或销毁所有PHI。如不可行,BAA必须延长保护期限并限制进一步的使用和披露。

评估标准

合规

BAA条款完全满足监管要求,措辞清晰且可执行。

标准:

  • - 针对要求的明确且无歧义的措辞
  • 在适用情况下具有明确时间线的可执行义务
  • 无可能损害合规性的重大遗漏或限定条件

不足

BAA部分满足要求,但在范围、具体性或可执行性方面存在差距。

标准:

  • - 存在一些相关措辞但不完整
  • 缺少时间线、具体性或执行机制
  • 过于宽泛或模糊的措辞可能经不起审查

缺失

BAA完全没有涉及该要求。

标准:

  • - 协议中没有与该监管要求相关的措辞
  • 完全缺少必要条款

风险评分

风险等级描述
严重缺失或根本性不足的条款,造成直接监管责任。HHS执法风险。
重大缺陷,可能导致执法行动或重大违约风险。 | | 中 | 部分覆盖但存在差距,应予以补救,但直接监管风险较小。 | | 低 | 需要小幅语言改进;要求的实质内容已得到解决。 |

输出格式规范

对于评估的每个必要条款,生成:

json
{
provision_id: 字符串 — 监管引用(例如 164.504(e)(2)(ii)(A)),
provision_name: 字符串 — 描述性名称,
status: 合规 | 不足 | 缺失,
baaclausereference: 字符串 | null — 涉及此条款的BAA章节/条款,
baatextexcerpt: 字符串 — 来自BAA的直接引用,
gap_description: 字符串 | null — 缺失或不足的内容,
risk_level: 严重 | 高 | 中 | 低,
recommendations: [字符串 — 具体的补救措施或语言建议],
reasoning: 字符串 — 分析解释
}

少样本示例

示例1:合规条款

条款: 违规报告 — 164.504(e)(2)(ii)(B-C)和164.410

BAA文本: 第5条:业务伙伴应在发现后5个工作日内向受保实体报告任何本协议未规定的PHI使用或披露。如发生45 CFR 164.402定义的未安全保护PHI违规,业务伙伴应在发现后30天内通知受保实体,包括识别其PHI已被或合理认为已被泄露的每个个人。

发现:
json
{
provision_id: 164.504(e)(2)(ii)(B-C),
provision_name: 违规报告,
status: 合规,
baaclausereference: 第5条,
baatextexcerpt: 业务伙伴应在发现后5个工作日内向受保实体报告任何本协议未规定的PHI使用或披露...,
gap_description: null,
risk_level: 低,
recommendations: [],
reasoning: BAA为未经授权的披露(5个工作日)和未安全保护PHI违规(根据164.410的30天)建立了明确的报告义务。30天的时间线在164.410(a)规定的60天最大值之内。明确包含了识别受影响个人的要求。
}

示例2:不足条款

条款: 分包商要求 — 164.504(e)(2)(ii)(D)

BAA文本: 第8条:业务伙伴应要求其分包商保护PHI。

发现:
json
{
provision_id: 164.504(e)(2)(ii)(D),
provision_name: 分包商要求,
status: 不足,
baaclausereference: 第8条,
baatextexcerpt: 业务伙伴应要求其分包商保护PHI。,
gap_description: 该条款过于模糊。它没有要求分包商同意与BAA相同的限制和条件,也没有要求分包商BAA。2013年综合规则明确要求分包商协议包含相同的义务。,
risk_level: 高,
recommendations: [
修改为要求业务伙伴与分包商签订书面协议,包含与本BAA相同的限制和条件,
根据164.314(a)(2)(iii)纳入安全规则合规义务的传递条款,
增加要求业务伙伴验证分包商合规性的条款
],
reasoning: 虽然BAA承认分包商义务,但要求其分包商保护PHI的措辞未达到2013年综合规则的要求。164.504(e)(2)(ii)(D)要求业务伙伴确保分包商同意相同的限制和条件,这意味着正式的书面协议,而不仅仅是保护PHI的一般义务。
}

示例3:缺失条款

条款: 政府访问 — 164.504(e)(2)(ii)(H)

BAA文本: (协议中未找到)

发现:
json
{
provision_id: 164.504(e)(2)(ii)(H),
provision_name: 政府访问,
status: 缺失,
baaclausereference: null,
baatextexcerpt: ,
gap_description: BAA未包含要求业务伙伴将其内部实践、账簿和记录提供给HHS部长用于合规判定目的的条款。,
risk_level: 中,
recommendations: [
增加条款:业务伙伴应将其与PHI使用和披露相关的内部实践、账簿和记录提供给卫生与公众服务部部长,用于判定是否遵守HIPAA规则。
],
reasoning: 这是164.504(e)(2)(ii)(H)要求的条款。虽然HHS无论该条款是否出现在BAA中都可以强制执行此权利,但其缺失可能会使执法合作复杂化

标签

skill ai

通过对话安装

该技能支持在以下平台通过对话安装:

OpenClaw WorkBuddy QClaw Kimi Claude

方式一:安装 SkillHub 和技能

帮我安装 SkillHub 和 baa-review-1776208356 技能

方式二:设置 SkillHub 为优先技能安装源

设置 SkillHub 为我的优先技能安装源,然后帮我安装 baa-review-1776208356 技能

通过命令行安装

skillhub install baa-review-1776208356

下载

⬇ 下载 baa-review v0.1.0(免费)

文件大小: 4.03 KB | 发布时间: 2026-4-15 13:13

v0.1.0 最新 2026-4-15 13:13
Initial release: Clause-by-clause BAA analysis against all 9 required HIPAA contractual provisions per 45 CFR 164.504(e)(2), with risk scoring and remediation recommendations.

- Provides step-by-step workflow for regulatory assessment of any Business Associate Agreement.
- Outputs structured JSON findings for each HIPAA-required BAA provision, including compliance status, risk level, and specific recommendations.
- Includes clear assessment criteria and risk scoring rubric.
- Supplies recommended contract language for each deficiency.
- Contains detailed checklist and reference to all 9 required BAA provisions under HIPAA rules.

相关推荐

s

self-improvement

Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Claude ('No, that's wrong...', 'Actually...'), (3) User requests a capability that doesn't exist, (4) An external API or tool fails, (5) Claude realizes its knowledge is outdated or incorrect, (6) A better approach is discovered for a recurring task. Also review learnings before major tasks.

⭐ 3209 ⬇ 392958
AI智能
s

self-improvement

Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Claude ('No, that's wrong...', 'Actually...'), (3) User requests a capability that doesn't exist, (4) An external API or tool fails, (5) Claude realizes its knowledge is outdated or incorrect, (6) A better approach is discovered for a recurring task. Also review learnings before major tasks.

⭐ 3209 ⬇ 392957
AI智能
s

self-improvement

Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Claude ('No, that's wrong...', 'Actually...'), (3) User requests a capability that doesn't exist, (4) An external API or tool fails, (5) Claude realizes its knowledge is outdated or incorrect, (6) A better approach is discovered for a recurring task. Also review learnings before major tasks.

⭐ 3195 ⬇ 389589
AI智能
s

self-improvement

Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Claude ('No, that's wrong...', 'Actually...'), (3) User requests a capability that doesn't exist, (4) An external API or tool fails, (5) Claude realizes its knowledge is outdated or incorrect, (6) A better approach is discovered for a recurring task. Also review learnings before major tasks.

⭐ 3177 ⬇ 386644
AI智能

多链集团旗下-闲社网

闲社网热线
免费联系电话
0527-80111111
            qqline

服务时间:周一到周日 8:00-24:00

  • 公众号
    闲社 闲社线报社区
关注闲社网
  • wxkf

    闲社在线客服

  • wx

    关注闲社网微信

  • app

    闲社网APP

Archiver·手机版·闲社网·闲社论坛·羊毛社区· 多链控股集团有限公司 · 苏ICP备2025199260号-1

Powered by Discuz! X5.0   © 2024-2025 闲社网·线报更新论坛·羊毛分享社区·http://xianshe.com

p2p_official_large
返回顶部