BAA-তে সন্তোষজনক নিশ্চয়তার শর্ত
HIPAA-র প্রাইভেসি রুলে একটি স্পষ্ট বিধান রয়েছে। কভার্ড এন্টিটিগুলিকে অবশ্যই বিজনেস অ্যাসোসিয়েট অ্যাগ্রিমেন্ট (BAA) স্বাক্ষর করতে হবে। সুরক্ষিত স্বাস্থ্য তথ্য (PHI) পরিচালনা করে এমন প্রতিটি অংশীদারের সাথে BAA বাধ্যতামূলক। প্রতিটি BAA-তে অবশ্যই "সন্তোষজনক নিশ্চয়তা" থাকতে হবে। এই নিশ্চয়তা প্রমাণ করে যে অংশীদারের কাছে সঠিক নিয়ন্ত্রণ ব্যবস্থা রয়েছে। মূল বিধানগুলি 45 CFR 164.308, 164.310, এবং 164.312-এ রয়েছে।
"সন্তোষজনক নিশ্চয়তা" শব্দটি আইনে নির্ভুলভাবে সংজ্ঞায়িত করা হয়নি। তবে OCR নির্দেশিকা একটি বিষয় স্পষ্ট করে। নিশ্চয়তা অবশ্যই বাস্তব, নথিভুক্ত প্রমাণের উপর নির্ভর করতে হবে। একটি হাসপাতাল যদি অংশীদারের প্রকৃত নিয়ন্ত্রণ যাচাই না করে BAA স্বাক্ষর করে, তাহলে তা যথাযথ সতর্কতা প্রদর্শন করে না। যদি সেই অংশীদারের পরে কোনো লঙ্ঘন হয়, হাসপাতাল গুরুতর সমস্যার মুখোমুখি হবে।
সুতরাং, ISO 27001 এখানে সহায়ক। সার্টিফিকেশনটি HIPAA-র বেশিরভাগ নিয়ন্ত্রণ প্রয়োজনীয়তার সাথে মিলে যায়। মিলটি নিখুঁত নয়। HIPAA-তে কিছু স্বাস্থ্য-নির্দিষ্ট বিধি রয়েছে যা ISO 27001 কভার করে না। তবে বেশিরভাগ BAA যথাযথ পরিশ্রম যাচাইয়ের জন্য ওভারল্যাপ যথেষ্ট বিস্তৃত।
নিয়ন্ত্রণ ম্যাপিং
ISO 27001 অ্যানেক্স A নিয়ন্ত্রণগুলি HIPAA-র তিনটি সুরক্ষা গোষ্ঠীর সাথে সংগতিপূর্ণ।
প্রশাসনিক সুরক্ষা (164.308): A.5 থেকে A.8 নিয়ন্ত্রণগুলি নীতিমালা, ভূমিকা, কর্মী বিধি এবং সম্পদ ট্র্যাকিং কভার করে। এগুলি আনুষ্ঠানিক প্রোগ্রাম, নির্ধারিত ভূমিকা, কর্মশক্তি নিয়ম এবং ব্যাকআপ পরিকল্পনার জন্য HIPAA-র প্রয়োজনীয়তা পূরণ করে।
শারীরিক সুরক্ষা (164.310): A.11 নিয়ন্ত্রণ শারীরিক এবং সাইট সুরক্ষা কভার করে। এটি সুবিধা অ্যাক্সেস, ওয়ার্কস্টেশন ব্যবহার এবং ডিভাইস নিয়ন্ত্রণের সাথে মিলে যায়।
প্রযুক্তিগত সুরক্ষা (164.312): A.9, A.10, A.12, এবং A.13 নিয়ন্ত্রণগুলি অ্যাক্সেস, এনক্রিপশন এবং অপারেশন কভার করে। এগুলি HIPAA-র অডিট, অখণ্ডতা এবং ডেটা ট্রান্সফার প্রয়োজনীয়তার সাথে মিলে যায়।
স্বাস্থ্যসেবা সম্মতির একটি ব্যবহারিক উদাহরণ
একটি আঞ্চলিক স্বাস্থ্য সিস্টেম তার অংশীদার যাচাই নবায়ন করছে। এর কমপ্লায়েন্স টিম একটি ডি-আইডেন্টিফিকেশন ফার্মকে "উপযুক্ত সুরক্ষার" প্রমাণ চেয়েছে। ফার্মটি তার ISO 27001 সার্টিফিকেট এবং একটি নিয়ন্ত্রণ ক্রসওয়াক পাঠায়। ক্রসওয়াকটি প্রতিটি ISO নিয়ন্ত্রণকে সঠিক HIPAA বিভাগের সাথে লিঙ্ক করে — 164.308, 164.310, এবং 164.312।
কমপ্লায়েন্স অফিসার এটি BAA ফাইলে লগ করেন। সেই রেকর্ড OCR অডিটের প্রয়োজনীয়তা পূরণ করে। কোনো কাস্টম ১৫০-প্রশ্নের যাচাই প্রয়োজন হয় না।
সংক্ষেপে, ISO 27001 কভার্ড এন্টিটিগুলিকে BAA যথাযথ পরিশ্রমের জন্য একটি শক্তিশালী, প্রস্তুত-তৈরি প্রমাণ ভিত্তি দেয়। নিরাপত্তা ও সম্মতি পাতায় এবং আইনি সামঞ্জস্য ডকুমেন্টে দেখুন anonym.legal এই চাহিদা কীভাবে পূরণ করে।