Les accords de partenariat commercial entre les fournisseurs de technologie et leurs partenaires payeurs, fournisseurs et centres de compensation établissent la manière dont un BAA travaille avec ces entités réglementées par la HIPAA. Le contrat souligne également comment un BAA peut – et ne peut pas – utiliser les informations de santé protégées (PHI) d’une entité au cours de son travail.
En tant que partenaire commercial fréquent des entités couvertes, Google est lié par les termes du BAA pour sa Google Cloud Platform. « La BAA déclare que Google est tenu au même niveau de responsabilité que moi en tant qu’entité couverte et fournisseur de soins de santé lorsqu’il s’agit de gérer les PHI », déclare Spencer Cuffe, architecte en chef chez CDW qui a défini la stratégie Google Cloud de l’entreprise. « Cela dit également que toute personne amenée à traiter ces informations est tenue à la même responsabilité. »
Comme c’est le cas pour d’autres entreprises, les termes du BAA de Google s’appliquent à tous les produits, services ou fonctionnalités considérés comme un « service couvert » par l’accord. Cela inclut de plus en plus l’utilisation d’outils d’intelligence artificielle (IA) générative.