El Requisito de Aseguranzas Satisfactorias del BAA
La Regla de Privacidad de HIPAA requiere que las entidades cubiertas (hospitales, planes de salud, casas de compensación de salud) ejecuten Acuerdos de Asociados Comerciales con todos los proveedores que acceden, utilizan o crean información de salud protegida en su nombre. El BAA debe incluir "aseguranzas satisfactorias" de que el asociado comercial implementará salvaguardias apropiadas para proteger la PHI — específicamente los requisitos de salvaguardias administrativas, físicas y técnicas de 45 CFR 164.308, 164.310 y 164.312.
El estándar de "aseguranzas satisfactorias" no está definido con especificidad en la regulación. La guía de aplicación de OCR indica que las aseguranzas deben basarse en evidencia documentada, no meramente en declaraciones contractuales. Una entidad cubierta que firma un BAA sin obtener evidencia de que el asociado comercial realmente implementa las salvaguardias requeridas no puede demostrar la debida diligencia si el asociado comercial posteriormente incumple el BAA.
El análisis del marco de control unificado de ISACA 2024 encontró que la certificación ISO 27001 reduce la duplicación de auditorías en el sector salud en un 60% — reflejando el grado en que los controles de ISO 27001 se mapean a los requisitos de seguridad de HIPAA. El mapeo no es perfecto (HIPAA incluye requisitos específicos del sector salud que ISO 27001 no aborda), pero cubre la mayoría de las salvaguardias técnicas y organizativas que requiere la debida diligencia del BAA.
El Mapeo de Controles
Los controles del Anexo A de ISO 27001 se mapean a los requisitos de la Regla de Seguridad de HIPAA a través de las tres categorías de salvaguardias:
Salvaguardias administrativas (164.308): Los controles ISO A.5 (políticas de seguridad de la información), A.6 (organización de la seguridad de la información), A.7 (seguridad de recursos humanos), A.8 (gestión de activos) abordan colectivamente los requisitos de HIPAA para el proceso de gestión de seguridad, responsabilidad de seguridad asignada, seguridad de la fuerza laboral, gestión de acceso a la información, concienciación sobre seguridad y planificación de contingencias.
Salvaguardias físicas (164.310): Los controles ISO A.11 (seguridad física y ambiental) abordan los controles de acceso a las instalaciones, seguridad de estaciones de trabajo, controles de dispositivos y medios.
Salvaguardias técnicas (164.312): Los controles ISO A.9 (control de acceso), A.10 (criptografía), A.12 (seguridad de operaciones), A.13 (seguridad de comunicaciones) abordan colectivamente controles de acceso, controles de auditoría, controles de integridad y seguridad de transmisión.
El Caso de Uso del Sistema de Salud Regional
La oficina de cumplimiento de un gran sistema de salud regional que renueva evaluaciones de proveedores solicita evidencia de "salvaguardias apropiadas" según el BAA existente de un asociado comercial que proporciona servicios de desidentificación de PHI. El oficial de cumplimiento solicita el certificado ISO 27001 y el resumen de controles. El certificado está mapeado a los requisitos de HIPAA 164.308, 164.310 y 164.312 en un documento de cruce de controles. El oficial de cumplimiento documenta las aseguranzas satisfactorias en el archivo del BAA — proporcionando la evidencia que satisface los requisitos de auditoría de OCR sin requerir una evaluación de seguridad personalizada de 150 preguntas.
Fuentes: