El requisito de garantías suficientes del BAA
La Regla de Privacidad de HIPAA es clara. Las entidades cubiertas deben firmar Acuerdos de Socio Comercial (BAAs). Se requiere un BAA para cada socio que maneje información de salud protegida (PHI). Cada BAA debe incluir "garantías suficientes". Estas garantías confirman que el socio cuenta con los controles adecuados. Las reglas clave se encuentran en 45 CFR 164.308, 164.310 y 164.312.
El término "garantías suficientes" no está definido con precisión en la ley. Sin embargo, las directrices de la OCR son claras en un punto. Las garantías deben basarse en pruebas reales y documentadas. Un hospital que firma un BAA sin verificar los controles reales de un socio no puede demostrar la debida diligencia. Si ese socio sufre una brecha de datos más tarde, el hospital enfrenta un problema real.
Por ello, la certificación ISO 27001 es útil aquí. Cubre la mayoría de los requisitos de control de HIPAA. El ajuste no es perfecto. HIPAA tiene reglas específicas del sector salud que ISO 27001 no aborda. Pero la superposición es suficientemente amplia para la mayoría de las verificaciones de diligencia debida de BAA.
La correlación de controles
Los controles del Anexo A de ISO 27001 se alinean con las tres categorías de salvaguardas de HIPAA.
Salvaguardas administrativas (164.308): Los controles A.5 a A.8 cubren políticas, roles, reglas de personal y gestión de activos. Cumplen los requisitos de HIPAA para un programa formal, roles asignados, reglas de personal y planes de contingencia.
Salvaguardas físicas (164.310): El control A.11 cubre protecciones físicas y del sitio. Se corresponde con el acceso a instalaciones, el uso de estaciones de trabajo y los controles de dispositivos.
Salvaguardas técnicas (164.312): Los controles A.9, A.10, A.12 y A.13 cubren acceso, cifrado y operaciones. Se corresponden con los requisitos de HIPAA de auditoría, integridad y transmisión de datos.
Un caso de uso en el sector de la salud
Un sistema de salud regional renueva sus evaluaciones de socios. Su equipo de cumplimiento solicita a una empresa de de-identificación pruebas de "salvaguardas apropiadas". La empresa entrega su certificado ISO 27001 y una tabla de correspondencia de controles. Esta tabla vincula cada control ISO con la sección HIPAA correspondiente — 164.308, 164.310 y 164.312.
El responsable de cumplimiento documenta esto en el expediente del BAA. Ese registro satisface los requisitos de auditoría de la OCR. No se necesita una evaluación personalizada de 150 preguntas.
En resumen, ISO 27001 ofrece a las entidades cubiertas una base de evidencias sólida para la diligencia debida de BAA. Vea cómo anonym.legal cumple con estos requisitos en la página de seguridad y cumplimiento y en los documentos de conformidad legal.