BAA की संतोषजनक गारंटी की आवश्यकता
HIPAA के प्राइवेसी नियम में एक स्पष्ट प्रावधान है। कवर्ड एंटिटी को बिज़नेस एसोसिएट एग्रीमेंट (BAA) पर हस्ताक्षर करने होते हैं। प्रत्येक उस साझेदार के साथ BAA आवश्यक है जो संरक्षित स्वास्थ्य जानकारी (PHI) को संभालता है। प्रत्येक BAA में "संतोषजनक गारंटी" शामिल होनी चाहिए। ये गारंटियाँ पुष्टि करती हैं कि साझेदार के पास सही नियंत्रण उपाय मौजूद हैं। मुख्य नियम 45 CFR 164.308, 164.310 और 164.312 में दिए गए हैं।
"संतोषजनक गारंटी" शब्द को कानून में सटीक रूप से परिभाषित नहीं किया गया है। लेकिन OCR के मार्गदर्शन से एक बात स्पष्ट होती है। इन गारंटियों का आधार वास्तविक, दस्तावेज़ीकृत प्रमाण पर होना चाहिए। एक अस्पताल जो किसी साझेदार के वास्तविक नियंत्रणों की जाँच किए बिना BAA पर हस्ताक्षर करता है, वह उचित सावधानी नहीं दिखा सकता। यदि बाद में उस साझेदार के यहाँ उल्लंघन होता है, तो अस्पताल को गंभीर समस्या का सामना करना पड़ता है।
इसलिए, ISO 27001 यहाँ सहायक है। यह प्रमाणन HIPAA की अधिकांश नियंत्रण आवश्यकताओं से मेल खाता है। यह मेल पूर्णतः सटीक नहीं है। HIPAA में कुछ स्वास्थ्य-विशिष्ट नियम हैं जो ISO 27001 में शामिल नहीं हैं। लेकिन ओवरलैप इतना व्यापक है कि अधिकांश BAA उचित सावधानी जाँचों के लिए पर्याप्त है।
नियंत्रण मानचित्रण
ISO 27001 अनुलग्नक A के नियंत्रण HIPAA के तीनों सुरक्षा समूहों से मेल खाते हैं।
प्रशासनिक सुरक्षा उपाय (164.308): नियंत्रण A.5 से A.8 नीतियों, भूमिकाओं, कर्मचारी नियमों और संपत्ति ट्रैकिंग को कवर करते हैं। ये HIPAA की औपचारिक कार्यक्रम, सौंपी गई भूमिकाओं, कार्यबल नियमों और बैकअप योजनाओं की आवश्यकताओं को पूरा करते हैं।
भौतिक सुरक्षा उपाय (164.310): नियंत्रण A.11 भौतिक और साइट सुरक्षाओं को कवर करता है। यह सुविधा पहुँच, कार्यस्थान उपयोग और उपकरण नियंत्रणों से मेल खाता है।
तकनीकी सुरक्षा उपाय (164.312): नियंत्रण A.9, A.10, A.12 और A.13 पहुँच, एन्क्रिप्शन और संचालन को कवर करते हैं। ये HIPAA की ऑडिट, अखंडता और डेटा स्थानांतरण आवश्यकताओं से मेल खाते हैं।
स्वास्थ्य सेवा अनुपालन का एक व्यावहारिक उदाहरण
एक क्षेत्रीय स्वास्थ्य प्रणाली अपनी साझेदार जाँचों को नवीनीकृत करती है। उसकी अनुपालन टीम एक डी-आइडेंटिफिकेशन फर्म से "उचित सुरक्षा उपायों" का प्रमाण माँगती है। फर्म अपना ISO 27001 प्रमाण पत्र और एक नियंत्रण क्रॉसवॉक भेजती है। क्रॉसवॉक प्रत्येक ISO नियंत्रण को उचित HIPAA अनुभाग — 164.308, 164.310 और 164.312 से जोड़ता है।
अनुपालन अधिकारी इसे BAA फ़ाइल में दर्ज करता है। वह रिकॉर्ड OCR ऑडिट आवश्यकताओं को पूरा करता है। 150-प्रश्नों की कस्टम जाँच की आवश्यकता नहीं पड़ती।
संक्षेप में, ISO 27001 कवर्ड एंटिटी को BAA उचित सावधानी के लिए एक ठोस, तैयार साक्ष्य आधार प्रदान करता है। देखें कि anonym.legal सुरक्षा और अनुपालन पृष्ठ पर और कानूनी अनुरूपता दस्तावेज़ों में इन आवश्यकताओं को कैसे पूरा करता है।