Die Anforderung an die zufriedenstellenden Zusicherungen im BAA
Die Datenschutzregel von HIPAA verlangt, dass gedeckte Einrichtungen (Krankenhäuser, Gesundheitspläne, Gesundheitsabrechnungsstellen) Business Associate Agreements mit allen Anbietern abschließen, die geschützte Gesundheitsinformationen in ihrem Auftrag zugreifen, verwenden oder erstellen. Das BAA muss "zufriedenstellende Zusicherungen" enthalten, dass der Geschäftspartner angemessene Schutzmaßnahmen zum Schutz von PHI umsetzt – insbesondere die Anforderungen an administrative, physische und technische Schutzmaßnahmen gemäß 45 CFR 164.308, 164.310 und 164.312.
Der Standard der "zufriedenstellenden Zusicherungen" ist in der Verordnung nicht spezifisch definiert. Die Durchsetzungsrichtlinien der OCR weisen darauf hin, dass die Zusicherungen auf dokumentierten Beweisen basieren müssen, nicht nur auf vertraglichen Erklärungen. Eine gedeckte Einrichtung, die ein BAA unterzeichnet, ohne Beweise dafür zu erhalten, dass der Geschäftspartner die erforderlichen Schutzmaßnahmen tatsächlich umsetzt, kann keine Sorgfaltspflicht nachweisen, wenn der Geschäftspartner das BAA später verletzt.
Die Analyse des einheitlichen Kontrollrahmens von ISACA 2024 hat ergeben, dass die ISO 27001-Zertifizierung die Duplikation von Gesundheitsaudits um 60 % reduziert – was den Grad widerspiegelt, in dem die ISO 27001-Kontrollen mit den Sicherheitsanforderungen von HIPAA übereinstimmen. Die Zuordnung ist nicht perfekt (HIPAA enthält spezifische Anforderungen für das Gesundheitswesen, die ISO 27001 nicht behandelt), aber sie deckt die Mehrheit der technischen und organisatorischen Schutzmaßnahmen ab, die die Sorgfaltspflicht des BAA erfordert.
Die Kontrollzuordnung
Die ISO 27001-Anhang A-Kontrollen entsprechen den Anforderungen der HIPAA-Sicherheitsregel in den drei Kategorien von Schutzmaßnahmen:
Administrative Schutzmaßnahmen (164.308): Die ISO-Kontrollen A.5 (Informationssicherheitsrichtlinien), A.6 (Organisation der Informationssicherheit), A.7 (Sicherheit der Humanressourcen), A.8 (Vermögensverwaltung) adressieren gemeinsam die Anforderungen von HIPAA an den Sicherheitsmanagementprozess, zugewiesene Sicherheitsverantwortung, Sicherheit der Belegschaft, Informationszugangsmanagement, Sicherheitsbewusstsein und Notfallplanung.
Physische Schutzmaßnahmen (164.310): Die ISO-Kontrollen A.11 (physische und umweltbezogene Sicherheit) adressieren Zugangskontrollen für Einrichtungen, Arbeitsplatzsicherheit, Geräte- und Medienkontrollen.
Technische Schutzmaßnahmen (164.312): Die ISO-Kontrollen A.9 (Zugangskontrolle), A.10 (Kryptografie), A.12 (Betriebssicherheit), A.13 (Kommunikationssicherheit) adressieren gemeinsam Zugangskontrollen, Auditkontrollen, Integritätskontrollen und Übertragungssicherheit.
Der Anwendungsfall des regionalen Gesundheitssystems
Das Compliance-Büro eines großen regionalen Gesundheitssystems, das die Bewertungen von Anbietern erneuert, fordert Beweise für "angemessene Schutzmaßnahmen" gemäß dem bestehenden BAA von einem Geschäftspartner, der PHI-Deidentifizierungsdienste anbietet. Der Compliance-Beauftragte fordert das ISO 27001-Zertifikat und die Kontrollübersicht an. Das Zertifikat wird in einem Dokument zur Kontrollzuordnung den Anforderungen von HIPAA 164.308, 164.310 und 164.312 zugeordnet. Der Compliance-Beauftragte dokumentiert die zufriedenstellenden Zusicherungen in der BAA-Akte – und liefert die Beweise, die die Anforderungen der OCR-Audits erfüllen, ohne eine maßgeschneiderte Sicherheitsbewertung mit 150 Fragen zu verlangen.
Quellen: