BAA संतोषजनक आश्वासन आवश्यकताएँ
HIPAA का गोपनीयता नियम आवश्यक करता है कि कवर की गई संस्थाएँ (अस्पताल, स्वास्थ्य योजनाएँ, स्वास्थ्य सेवा क्लियरिंगहाउस) सभी विक्रेताओं के साथ व्यवसाय सहयोगी समझौतों पर हस्ताक्षर करें जो उनकी ओर से संरक्षित स्वास्थ्य जानकारी तक पहुँच, उपयोग, या निर्माण करते हैं। BAA में "संतोषजनक आश्वासन" शामिल होना चाहिए कि व्यवसाय सहयोगी PHI की सुरक्षा के लिए उचित सुरक्षा उपाय लागू करेगा — विशेष रूप से 45 CFR 164.308, 164.310, और 164.312 के प्रशासनिक, भौतिक, और तकनीकी सुरक्षा आवश्यकताएँ।
"संतोषजनक आश्वासन" मानक को विनियमन में विशिष्टता के साथ परिभाषित नहीं किया गया है। OCR प्रवर्तन मार्गदर्शन इंगित करता है कि आश्वासन को प्रलेखित साक्ष्य पर आधारित होना चाहिए, केवल संविदात्मक बयानों पर नहीं। एक कवर की गई संस्था जो बिना यह प्रमाण प्राप्त किए BAA पर हस्ताक्षर करती है कि व्यवसाय सहयोगी वास्तव में आवश्यक सुरक्षा उपाय लागू करता है, वह उचित परिश्रम प्रदर्शित नहीं कर सकती यदि व्यवसाय सहयोगी बाद में BAA का उल्लंघन करता है।
ISACA के 2024 एकीकृत नियंत्रण ढांचे के विश्लेषण ने पाया कि ISO 27001 प्रमाणन स्वास्थ्य सेवा ऑडिट डुप्लिकेशन को 60% तक कम करता है — यह दर्शाता है कि ISO 27001 नियंत्रण HIPAA की सुरक्षा आवश्यकताओं से कितनी अच्छी तरह मेल खाते हैं। यह मानचित्रण पूर्ण नहीं है (HIPAA में स्वास्थ्य सेवा-विशिष्ट आवश्यकताएँ शामिल हैं जिन्हें ISO 27001 संबोधित नहीं करता), लेकिन यह अधिकांश तकनीकी और संगठनात्मक सुरक्षा उपायों को कवर करता है जो BAA उचित परिश्रम की आवश्यकता होती है।
नियंत्रण मानचित्रण
ISO 27001 अनुबंध A के नियंत्रण HIPAA सुरक्षा नियम आवश्यकताओं के तीन सुरक्षा श्रेणियों में मानचित्रित होते हैं:
प्रशासनिक सुरक्षा उपाय (164.308): ISO नियंत्रण A.5 (सूचना सुरक्षा नीतियाँ), A.6 (सूचना सुरक्षा का संगठन), A.7 (मानव संसाधन सुरक्षा), A.8 (संपत्ति प्रबंधन) सामूहिक रूप से HIPAA की सुरक्षा प्रबंधन प्रक्रिया, निर्धारित सुरक्षा जिम्मेदारी, कार्यबल सुरक्षा, सूचना पहुँच प्रबंधन, सुरक्षा जागरूकता, और आकस्मिक योजना की आवश्यकताओं को संबोधित करते हैं।
भौतिक सुरक्षा उपाय (164.310): ISO नियंत्रण A.11 (भौतिक और पर्यावरणीय सुरक्षा) सुविधा पहुँच नियंत्रण, कार्यस्थल सुरक्षा, उपकरण और मीडिया नियंत्रण को संबोधित करते हैं।
तकनीकी सुरक्षा उपाय (164.312): ISO नियंत्रण A.9 (पहुँच नियंत्रण), A.10 (क्रिप्टोग्राफी), A.12 (ऑपरेशंस सुरक्षा), A.13 (संचार सुरक्षा) सामूहिक रूप से पहुँच नियंत्रण, ऑडिट नियंत्रण, अखंडता नियंत्रण, और संचरण सुरक्षा को संबोधित करते हैं।
क्षेत्रीय स्वास्थ्य प्रणाली उपयोग मामला
एक बड़े क्षेत्रीय स्वास्थ्य प्रणाली के अनुपालन कार्यालय ने PHI डि-आईडेंटिफिकेशन सेवाएँ प्रदान करने वाले व्यवसाय सहयोगी से मौजूदा BAA के अनुसार "उचित सुरक्षा उपायों" का प्रमाण मांगते हुए विक्रेता आकलनों को नवीनीकरण किया। अनुपालन अधिकारी ISO 27001 प्रमाणपत्र और नियंत्रण सारांश की मांग करता है। प्रमाणपत्र को HIPAA 164.308, 164.310, और 164.312 आवश्यकताओं के साथ एक नियंत्रण क्रॉसवाक दस्तावेज़ में मानचित्रित किया गया है। अनुपालन अधिकारी BAA फ़ाइल में संतोषजनक आश्वासन का दस्तावेज़ बनाता है — ऐसा प्रमाण प्रदान करता है जो OCR ऑडिट आवश्यकताओं को पूरा करता है बिना किसी कस्टम 150-प्रश्न सुरक्षा आकलन की आवश्यकता के।
स्रोत: