Kravet om tilfredsstillende garantier i BAA
HIPAA's privatlivsregel kræver, at dækkede enheder (hospitaler, sundhedsplaner, sundhedsklaringshuse) indgår Business Associate Agreements med alle leverandører, der får adgang til, bruger eller opretter beskyttede sundhedsoplysninger på deres vegne. BAA'en skal indeholde "tilfredsstillende garantier" for, at forretningspartneren vil implementere passende sikkerhedsforanstaltninger for at beskytte PHI — specifikt de administrative, fysiske og tekniske sikkerhedsforanstaltninger i 45 CFR 164.308, 164.310 og 164.312.
Standarden for "tilfredsstillende garantier" er ikke defineret med specifikhed i reguleringen. OCR's håndhævelsesvejledning indikerer, at garantierne skal være baseret på dokumenteret bevis, ikke blot kontraktlige udsagn. En dækket enhed, der underskriver en BAA uden at indhente bevis for, at forretningspartneren faktisk implementerer de krævede sikkerhedsforanstaltninger, kan ikke demonstrere due diligence, hvis forretningspartneren efterfølgende overtræder BAA'en.
ISACA's analyse af den fælles kontrolramme fra 2024 fandt, at ISO 27001-certificering reducerer auditduplikering i sundhedssektoren med 60% — hvilket afspejler, i hvilken grad ISO 27001-kontroller kortlægger til HIPAA's sikkerhedskrav. Kortlægningen er ikke perfekt (HIPAA inkluderer sundhedsspecifikke krav, som ISO 27001 ikke adresserer), men den dækker størstedelen af de tekniske og organisatoriske sikkerhedsforanstaltninger, som BAA's due diligence kræver.
Kontrolkortlægningen
ISO 27001 Bilag A-kontroller kortlægger til HIPAA Sikkerhedsregelkravene på tværs af de tre sikkerhedskategorier:
Administrative sikkerhedsforanstaltninger (164.308): ISO-kontroller A.5 (informationssikkerhedspolitikker), A.6 (organisation af informationssikkerhed), A.7 (sikkerhed for menneskelige ressourcer), A.8 (aktivstyring) adresserer samlet HIPAA-kravene for sikkerhedsledelsesprocessen, tildelt sikkerhedsansvar, arbejdsstyrkesikkerhed, informationsadgangsstyring, sikkerhedsbevidsthed og beredskabsplanlægning.
Fysiske sikkerhedsforanstaltninger (164.310): ISO-kontroller A.11 (fysisk og miljømæssig sikkerhed) adresserer adgangskontroller til faciliteter, sikkerhed for arbejdsstationer, enheds- og mediekontroller.
Tekniske sikkerhedsforanstaltninger (164.312): ISO-kontroller A.9 (adgangskontrol), A.10 (kryptografi), A.12 (driftssikkerhed), A.13 (kommunikationssikkerhed) adresserer samlet adgangskontroller, revisionskontroller, integritetskontroller og transmissionssikkerhed.
Brugssagen for det regionale sundhedssystem
Et stort regionalt sundhedssystems compliance-kontor, der fornyer leverandørvurderinger, anmoder om bevis for "passende sikkerhedsforanstaltninger" i henhold til den eksisterende BAA fra en forretningspartner, der leverer PHI-de-identifikationstjenester. Compliance-officeren anmoder om ISO 27001-certifikatet og kontroloversigten. Certifikatet er kortlagt til HIPAA 164.308, 164.310 og 164.312 kravene i et kontrolkrydsdokument. Compliance-officeren dokumenterer de tilfredsstillende garantier i BAA-filen — hvilket giver beviset, der opfylder OCR's revisionskrav uden at kræve en tilpasset sikkerhedsvurdering med 150 spørgsmål.
Kilder: