L'exigence d'assurances satisfaisantes du BAA
La règle de confidentialité HIPAA exige que les entités couvertes (hôpitaux, plans de santé, centres de traitement des données de santé) exécutent des accords de partenariat commercial avec tous les fournisseurs qui accèdent, utilisent ou créent des informations de santé protégées en leur nom. Le BAA doit inclure des "assurances satisfaisantes" que le partenaire commercial mettra en œuvre des mesures de protection appropriées pour protéger les PHI — spécifiquement les exigences de protection administrative, physique et technique des 45 CFR 164.308, 164.310 et 164.312.
La norme des "assurances satisfaisantes" n'est pas définie avec précision dans la réglementation. Les directives d'application de l'OCR indiquent que les assurances doivent être basées sur des preuves documentées, et non simplement sur des déclarations contractuelles. Une entité couverte qui signe un BAA sans obtenir de preuves que le partenaire commercial met effectivement en œuvre les mesures de protection requises ne peut pas démontrer sa diligence raisonnable si le partenaire commercial enfreint ensuite le BAA.
L'analyse du cadre de contrôle unifié d'ISACA de 2024 a révélé que la certification ISO 27001 réduit la duplication des audits de soins de santé de 60 % — reflétant le degré auquel les contrôles ISO 27001 correspondent aux exigences de sécurité HIPAA. La correspondance n'est pas parfaite (HIPAA inclut des exigences spécifiques aux soins de santé que l'ISO 27001 ne traite pas), mais elle couvre la majorité des mesures de protection techniques et organisationnelles requises par la diligence raisonnable du BAA.
La cartographie des contrôles
Les contrôles de l'Annexe A de l'ISO 27001 correspondent aux exigences de la règle de sécurité HIPAA à travers les trois catégories de mesures de protection :
Mesures de protection administratives (164.308) : Les contrôles ISO A.5 (politiques de sécurité de l'information), A.6 (organisation de la sécurité de l'information), A.7 (sécurité des ressources humaines), A.8 (gestion des actifs) traitent collectivement des exigences HIPAA pour le processus de gestion de la sécurité, la responsabilité de sécurité assignée, la sécurité de la main-d'œuvre, la gestion de l'accès à l'information, la sensibilisation à la sécurité et la planification de la continuité.
Mesures de protection physiques (164.310) : Les contrôles ISO A.11 (sécurité physique et environnementale) traitent des contrôles d'accès aux installations, de la sécurité des postes de travail, des contrôles des dispositifs et des médias.
Mesures de protection techniques (164.312) : Les contrôles ISO A.9 (contrôle d'accès), A.10 (cryptographie), A.12 (sécurité des opérations), A.13 (sécurité des communications) traitent collectivement des contrôles d'accès, des contrôles d'audit, des contrôles d'intégrité et de la sécurité des transmissions.
Le cas d'utilisation du système de santé régional
Le bureau de conformité d'un grand système de santé régional renouvelant les évaluations des fournisseurs demande des preuves de "mesures de protection appropriées" conformément au BAA existant d'un partenaire commercial fournissant des services de dé-identification des PHI. L'agent de conformité demande le certificat ISO 27001 et le résumé des contrôles. Le certificat est cartographié aux exigences HIPAA 164.308, 164.310 et 164.312 dans un document de correspondance des contrôles. L'agent de conformité documente les assurances satisfaisantes dans le dossier BAA — fournissant la preuve qui satisfait aux exigences d'audit de l'OCR sans nécessiter une évaluation de sécurité personnalisée de 150 questions.
Sources :