Požadavek HIPAA na uspokojivé záruky BAA
Pravidlo o ochraně soukromí HIPAA vyžaduje, aby kryté subjekty (nemocnice, zdravotní plány, clearinghouses) uzavřely smlouvy o obchodním partnerství (BAA) se všemi prodejci, kteří přistupují, používají nebo vytváří chráněné zdravotní informace (PHI) jejich jménem. BAA musí zahrnovat „uspokojivé záruky", že obchodní partner implementuje odpovídající záruky pro ochranu PHI — zejména administrativní, fyzické a technické bezpečnostní požadavky 45 CFR 164.308, 164.310 a 164.312.
Standard „uspokojivých záruk" není definován s přesností — kryté subjekty musí svým uvážením posoudit, zda prodejci implementace skutečně splňuje HIPAA požadavky.
Proč ISO 27001 mapuje na HIPAA
ISO 27001 pokrývá 93 kontrol v příloze A. Mapování na specifické HIPAA záruky:
| HIPAA záruky (45 CFR) | ISO 27001 kontroly |
|---|---|
| 164.308(a)(1) — Politiky bezpečnosti | A.5.1 Politiky bezpečnosti informací |
| 164.308(a)(3) — Řízení přístupu | A.9.1–9.4 Řízení přístupu |
| 164.308(a)(5) — Vzdělávání a školení | A.6.3 Povědomí, vzdělávání a školení |
| 164.308(a)(6) — Správa incidentů | A.5.26–5.28 Správa incidentů |
| 164.310(a)(1) — Fyzická kontrola přístupu | A.7.1–7.13 Fyzická bezpečnost |
| 164.312(a)(1) — Řízení přístupu | A.9.4 Řízení přístupu k systémům |
| 164.312(b) — Auditní kontroly | A.8.15–8.17 Protokolování |
| 164.312(c) — Integrita | A.8.20 Bezpečnost sítě |
| 164.312(e)(2)(ii) — Šifrování | A.8.24 Kryptografie |
Toto překrytí znamená, že organizace certifikovaná ISO 27001 může demonstrovat pokrytí 80 %+ HIPAA bezpečnostních záruk dokumentací již existující pro audit ISO 27001.
Balíček důkazů BAA: Praktický přístup
Pro zdravotnické prodejce, kteří uzavírají BAA, se efektivní balíček důkazů skládá z:
Vrstva 1: Certifikace ISO 27001
- Certifikát ISO 27001 od akreditovaného certifikačního orgánu
- Rozsah certifikace (musí zahrnovat PII/PHI zpracování)
- Datum posledního auditu (průběžné dozorčí audity)
Vrstva 2: Mapování na HIPAA
- Dokumentované mapování 45 CFR 164.308-312 na ISO 27001 kontroly
- Prohlášení o aplikovatelnosti pro HIPAA specifické kontroly
- Jakékoli mezery v ISO 27001 pokrytí a kompenzující kontroly
Vrstva 3: HIPAA-specifická dokumentace
- Politika klasifikace PHI
- Záznamy o školení zaměstnanců (HIPAA specifické)
- Zpráva o hodnocení rizik (HIPAA 164.308(a)(1))
- Šifrování v klidu a při přenosu pro PHI (64.312(e))
Vrstva 4: Operační důkazy
- Protokoly auditního záznamu přístupu k PHI
- Záznamy reakce na incidenty
- Výsledky hodnocení zranitelnosti / penetračního testování
- Záznamy školení zaměstnanců (poslední 12 měsíců)
Jak anonym.legal zjednodušuje BAA pro zákaznické zdravotnictví
Pro zdravotnické organizace zvažující anonym.legal:
- ISO 27001 certifikace — platná pro zpracování zákaznických dat
- HIPAA BAA — dostupné standardní BAA pro US zdravotnické zákazníky
- Protokolování přístupu k PHI — každá operace anonymizace zaznamenána
- Šifrování v klidu a při přenosu — AES-256 pro uloženou PHI (Desktop App), TLS 1.3 pro přenosy
- Zprávy o hodnocení zranitelnosti — k dispozici na vyžádání pro zákazníky
Zdroje: Průvodce HIPAA Business Associate · Zpráva ISACA Duplication of Audit 2024 · ISO 27001 HIPAA mapování HITRUST