BAA:n tyydyttävien takeiden vaatimus
HIPAA:n tietosuojalakien mukaan kattavien toimijoiden (sairaalat, terveysplanit, terveydenhuollon selvitystoimistot) on solmittava liiketoimintakumppanisopimukset kaikkien toimittajien kanssa, jotka pääsevät käsiksi, käyttävät tai luovat suojattua terveystietoa heidän puolestaan. BAA:n on sisällettävä "tyydyttäviä takeita" siitä, että liiketoimintakumppani toteuttaa asianmukaisia suojatoimia suojatun terveystiedon (PHI) suojaamiseksi — erityisesti 45 CFR 164.308, 164.310 ja 164.312 hallinnollisten, fyysisten ja teknisten suojatoimien vaatimukset.
"Tyydyttävien takeiden" standardia ei ole määritelty tarkasti säädöksessä. OCR:n valvontakäytännöt osoittavat, että takeiden on perustuttava dokumentoituun todistusaineistoon, ei pelkästään sopimuslausumiin. Kattava toimija, joka allekirjoittaa BAA:n ilman todisteita siitä, että liiketoimintakumppani todella toteuttaa vaaditut suojatoimet, ei voi osoittaa huolellisuutta, jos liiketoimintakumppani myöhemmin rikkoo BAA:ta.
ISACA:n 2024 yhdistetyn hallintakehyksen analyysi havaitsi, että ISO 27001 -sertifiointi vähentää terveydenhuollon auditointien päällekkäisyyksiä 60 % — mikä heijastaa sitä, kuinka hyvin ISO 27001:n hallintakeinot vastaavat HIPAA:n turvallisuusvaatimuksia. Kartoitus ei ole täydellinen (HIPAA sisältää terveydenhuoltoon liittyviä vaatimuksia, joita ISO 27001 ei käsittele), mutta se kattaa suurimman osan teknisistä ja organisatorisista suojatoimista, joita BAA:n huolellisuus vaatii.
Hallintakeinojen kartoitus
ISO 27001:n liitteen A hallintakeinot vastaavat HIPAA:n turvallisuusmääräysten vaatimuksia kolmen suojatoimiluokan osalta:
Hallinnolliset suojatoimet (164.308): ISO:n hallintakeinot A.5 (tietoturvapolitiikat), A.6 (tietoturvan organisointi), A.7 (henkilöstöturvallisuus), A.8 (varallisuuden hallinta) käsittelevät yhdessä HIPAA:n vaatimuksia turvallisuuden hallintaprosessista, määrätyistä turvallisuusvastuista, työvoiman turvallisuudesta, tietojen pääsyn hallinnasta, turvallisuustietoisuudesta ja varautumissuunnittelusta.
Fyysiset suojatoimet (164.310): ISO:n hallintakeinot A.11 (fyysinen ja ympäristöturvallisuus) käsittelevät tilojen pääsynhallintaa, työpisteen turvallisuutta, laitteiden ja medioiden hallintaa.
Tekniset suojatoimet (164.312): ISO:n hallintakeinot A.9 (pääsynhallinta), A.10 (salakirjoitus), A.12 (toimintaturvallisuus), A.13 (viestintäturvallisuus) käsittelevät yhdessä pääsynhallintaa, auditointihallintaa, eheysvalvontaa ja siirtoturvallisuutta.
Alueellisen terveydenhuoltojärjestelmän käyttötapaus
Suuren alueellisen terveydenhuoltojärjestelmän vaatimustenmukaisuusvirasto, joka uusii toimittaja-arviointeja, pyytää todisteita "asianmukaisista suojatoimista" olemassa olevan BAA:n mukaisesti liiketoimintakumppanilta, joka tarjoaa PHI:n anonymisointipalveluja. Vaatimustenmukaisuusviranomainen pyytää ISO 27001 -sertifikaattia ja hallintakeinojen yhteenvetoa. Sertifikaatti on kartoitettu HIPAA 164.308, 164.310 ja 164.312 vaatimuksiin hallintakeinojen ristiinviittausasiakirjassa. Vaatimustenmukaisuusviranomainen dokumentoi tyydyttävät takeet BAA-tiedostoon — tarjoten todisteet, jotka täyttävät OCR:n auditointivaatimukset ilman, että tarvitaan räätälöityä 150 kysymyksen turvallisuusarviointia.
Lähteet: