متطلبات ضمانات BAA المرضية
تتطلب قاعدة الخصوصية في HIPAA من الكيانات المغطاة (المستشفيات، خطط الصحة، مراكز معالجة الرعاية الصحية) تنفيذ اتفاقيات الشركاء التجاريين مع جميع البائعين الذين يصلون إلى المعلومات الصحية المحمية أو يستخدمونها أو ينشئونها نيابة عنهم. يجب أن تتضمن BAA "ضمانات مرضية" بأن الشريك التجاري سيقوم بتنفيذ تدابير مناسبة لحماية المعلومات الصحية المحمية — وبشكل محدد متطلبات التدابير الإدارية والفيزيائية والتقنية وفقًا لـ 45 CFR 164.308 و164.310 و164.312.
لم يتم تعريف معيار "الضمانات المرضية" بشكل محدد في اللائحة. تشير إرشادات تنفيذ OCR إلى أن الضمانات يجب أن تستند إلى أدلة موثقة، وليس مجرد بيانات تعاقدية. لا يمكن للكيان المغطى الذي يوقع BAA دون الحصول على أدلة على أن الشريك التجاري ينفذ فعليًا التدابير المطلوبة أن يظهر العناية الواجبة إذا خرق الشريك التجاري لاحقًا BAA.
وجد تحليل ISACA لعام 2024 لإطار التحكم الموحد أن شهادة ISO 27001 تقلل من تكرار تدقيق الرعاية الصحية بنسبة 60% — مما يعكس الدرجة التي تتوافق بها ضوابط ISO 27001 مع متطلبات الأمان في HIPAA. لا يكون التوافق مثاليًا (تتضمن HIPAA متطلبات محددة للرعاية الصحية لا تتناولها ISO 27001)، لكنها تغطي الغالبية العظمى من التدابير التقنية والتنظيمية التي تتطلبها العناية الواجبة في BAA.
رسم خرائط التحكم
تتوافق ضوابط ISO 27001 الملحق A مع متطلبات قاعدة أمان HIPAA عبر ثلاث فئات من التدابير:
التدابير الإدارية (164.308): تعالج ضوابط ISO A.5 (سياسات أمان المعلومات)، A.6 (تنظيم أمان المعلومات)، A.7 (أمان الموارد البشرية)، A.8 (إدارة الأصول) بشكل جماعي متطلبات HIPAA لعملية إدارة الأمان، وتعيين المسؤولية الأمنية، وأمان القوى العاملة، وإدارة وصول المعلومات، ووعي الأمان، والتخطيط للطوارئ.
التدابير الفيزيائية (164.310): تعالج ضوابط ISO A.11 (الأمان الفيزيائي والبيئي) ضوابط وصول المنشأة، وأمان محطات العمل، وضوابط الأجهزة والوسائط.
التدابير التقنية (164.312): تعالج ضوابط ISO A.9 (التحكم في الوصول)، A.10 (التشفير)، A.12 (أمان العمليات)، A.13 (أمان الاتصالات) بشكل جماعي ضوابط الوصول، وضوابط التدقيق، وضوابط النزاهة، وأمان النقل.
حالة استخدام نظام الصحة الإقليمي
تطلب مكتب الامتثال في نظام صحي إقليمي كبير تجديد تقييمات البائعين أدلة على "التدابير المناسبة" وفقًا لـ BAA الحالي من شريك تجاري يقدم خدمات إزالة الهوية عن المعلومات الصحية المحمية. يطلب موظف الامتثال شهادة ISO 27001 وملخص التحكم. يتم رسم الشهادة على متطلبات HIPAA 164.308 و164.310 و164.312 في وثيقة رسم خرائط التحكم. يوثق موظف الامتثال الضمانات المرضية في ملف BAA — مما يوفر الأدلة التي تلبي متطلبات تدقيق OCR دون الحاجة إلى تقييم أمان مخصص مكون من 150 سؤالًا.
المصادر: