De vereiste voor bevredigende garanties in de BAA
De Privacy Rule van HIPAA vereist dat gedekte entiteiten (ziekenhuizen, zorgplannen, zorgclearinghouses) Business Associate Agreements sluiten met alle leveranciers die toegang hebben tot, gebruik maken van of beschermde gezondheidsinformatie creëren namens hen. De BAA moet "bevredigende garanties" bevatten dat de zakelijke partner passende waarborgen zal implementeren om PHI te beschermen — specifiek de administratieve, fysieke en technische waarborgvereisten van 45 CFR 164.308, 164.310 en 164.312.
De standaard voor "bevredigende garanties" is niet specifiek gedefinieerd in de regelgeving. De handhavingsrichtlijnen van OCR geven aan dat de garanties gebaseerd moeten zijn op gedocumenteerd bewijs, niet slechts op contractuele verklaringen. Een gedekte entiteit die een BAA ondertekent zonder bewijs te verkrijgen dat de zakelijke partner daadwerkelijk de vereiste waarborgen implementeert, kan geen zorgvuldigheid aantonen als de zakelijke partner vervolgens de BAA schendt.
De analyse van ISACA's geünificeerde controlekader van 2024 heeft aangetoond dat ISO 27001-certificering de duplicatie van zorgaudits met 60% vermindert — wat de mate weerspiegelt waarin ISO 27001-controles aansluiten bij de beveiligingseisen van HIPAA. De mapping is niet perfect (HIPAA bevat zorgspecifieke vereisten die ISO 27001 niet behandelt), maar het dekt de meerderheid van de technische en organisatorische waarborgen die de zorgvuldigheid van de BAA vereist.
De controle mapping
ISO 27001 Annex A-controles sluiten aan bij de eisen van de HIPAA Security Rule in de drie waarborgcategorieën:
Administratieve waarborgen (164.308): ISO-controles A.5 (informatiebeveiligingsbeleid), A.6 (organisatie van informatiebeveiliging), A.7 (beveiliging van menselijke middelen), A.8 (beheer van activa) behandelen gezamenlijk de HIPAA-eisen voor beveiligingsbeheerprocessen, toegewezen beveiligingsverantwoordelijkheid, beveiliging van het personeel, informatie-toegangsbeheer, beveiligingsbewustzijn en noodplanning.
Fysieke waarborgen (164.310): ISO-controles A.11 (fysieke en milieuveiligheid) behandelen faciliteitstoegangscontroles, werkstationbeveiliging, apparaat- en media-controles.
Technische waarborgen (164.312): ISO-controles A.9 (toegangscontrole), A.10 (cryptografie), A.12 (operationele beveiliging), A.13 (communicatiebeveiliging) behandelen gezamenlijk toegangscontroles, auditcontroles, integriteitscontroles en transmissiebeveiliging.
Het gebruiksgeval van het regionale gezondheidssysteem
Een compliance kantoor van een groot regionaal gezondheidssysteem dat leveranciersbeoordelingen vernieuwt, vraagt om bewijs van "passende waarborgen" volgens de bestaande BAA van een zakelijke partner die PHI-de-identificatiediensten levert. De compliance officer vraagt om het ISO 27001-certificaat en de controle samenvatting. Het certificaat is in een controle crosswalk-document in kaart gebracht met de eisen van HIPAA 164.308, 164.310 en 164.312. De compliance officer documenteert de bevredigende garanties in het BAA-dossier — wat het bewijs levert dat voldoet aan de auditvereisten van OCR zonder dat een aangepaste beveiligingsbeoordeling van 150 vragen nodig is.
Bronnen: