Изискването за задоволителни гаранции на BAA
Правилото за поверителност на HIPAA изисква обхванатите субекти (болници, здравни планове, клирингови къщи за здравеопазване) да изпълняват споразумения за бизнес партньори с всички доставчици, които имат достъп, използват или създават защитена здравна информация от тяхно име. BAA трябва да включва „задоволителни гаранции“, че бизнес сътрудникът ще приложи подходящи предпазни мерки за защита на PHI — по-специално административните, физически и технически предпазни изисквания на 45 CFR 164.308, 164.310 и 164.312.
Стандартът „задоволителни гаранции“ не е определен конкретно в регламента. Насоките за прилагане на OCR показват, че уверенията трябва да се основават на документирани доказателства, а не просто на договорни изявления. Обхванато лице, което подписва BAA, без да получи доказателство, че бизнес сътрудникът действително прилага изискваните предпазни мерки, не може да демонстрира надлежна проверка, ако бизнес съдружникът впоследствие наруши BAA.
Анализът на унифицираната рамка за контрол на ISACA от 2024 г. установи, че сертифицирането по ISO 27001 намалява дублирането на здравни одити с 60% — отразявайки степента, до която контролите на ISO 27001 се съпоставят с изискванията за сигурност на HIPAA. Картографирането не е перфектно (HIPAA включва специфични за здравеопазването изисквания, които ISO 27001 не разглежда), но покрива по-голямата част от техническите и организационни предпазни мерки, които BAA изисква комплексна проверка.
Контролното картографиране
Контролите на ISO 27001 Анекс A се съпоставят с HIPAA изискванията на правилата за сигурност в трите категории на защита:
Административни предпазни мерки (164.308): Контролите на ISO A.5 (политики за информационна сигурност), A.6 (организация на информационната сигурност), A.7 (сигурност на човешките ресурси), A.8 (управление на активи) общо се отнасят до изискванията на HIPAA за процес на управление на сигурността, възложена отговорност за сигурност, сигурност на работната сила, управление на достъпа до информация, осведоменост за сигурността и планиране при извънредни ситуации.
Физически предпазни мерки (164.310): Контролите на ISO A.11 (физическа сигурност и сигурност на околната среда) се отнасят до контролите за достъп до съоръженията, сигурността на работната станция, контролите на устройството и медиите.
Технически предпазни мерки (164.312): ISO контролите A.9 (контрол на достъпа), A.10 (криптография), A.12 (сигурност на операциите), A.13 (сигурност на комуникациите) общо се отнасят до контролите за достъп, контролите за одит, контролите за интегритет и сигурността на предаването.
Случаят на използване на регионалната здравна система
Голяма регионална служба за съответствие на здравната система, която подновява оценките на доставчиците, изисква доказателства за „подходящи предпазни мерки“ съгласно съществуващите BAA от бизнес партньор, предоставящ услуги за деидентификация на PHI. Отговорникът по съответствието изисква сертификат ISO 27001 и резюме на контрола. Сертификатът е съпоставен с изискванията на HIPAA 164.308, 164.310 и 164.312 в контролен документ за пешеходна пътека. Служителят по съответствието документира задоволителното уверение във файла BAA — предоставяйки доказателства, които отговарят на изискванията за одит на OCR, без да изисква персонализирана оценка на сигурността от 150 въпроса.
Източници:
- [ISACA 2024: Унифицирана рамка за контрол намалява дублирането на одит на HIPAA с 60%] (https://www.isaca.org)
- [HHS: HIPAA Правило за сигурност 45 CFR 164.308, 164.310, 164.312 изисквания] (https://www.hhs.gov/hipaa/for-professionals/security/index.html)
- [Censinet: Оценка на сигурността на доставчика на здравни услуги и оценка по ISO 27001] (https://censinet.com/perspectives/2025-benchmark-de-identification-tools)