Zahtjev za zadovoljavajucim jamstvima u sporazumima poslovnih suradnika
HIPAA-in Pravilnik o privatnosti ima jasno pravilo. Subjekti koji podlijezu propisu moraju potpisati Sporazume poslovnih suradnika (BAA). BAA je obavezan za svakog partnera koji rukuje zasticenim zdravstvenim podacima (PHI). Svaki BAA mora sadrzavati "zadovoljavajuca jamstva". Ta jamstva potvrdjuju da partner ima uspostavljene odgovarajuce kontrole. Kljucna pravila nalaze se u 45 CFR 164.308, 164.310 i 164.312.
Izraz "zadovoljavajuca jamstva" nije precizno definiran u zakonu. Medjutim, smjernice OCR-a jasno upucuju na jedno. Jamstva moraju pocivati na stvarnim, dokumentiranim dokazima. Bolnica koja potpisuje BAA bez provjere stvarnih kontrola partnera ne moze dokazati duznu paznju. Ako taj partner naknadno dodjive povredu podataka, bolnica se suocava s ozbiljnim problemom.
Stoga ISO 27001 ovdje pomazе. Certifikacija se preslikava na vecinu HIPAA-inih zahtjeva za kontrolama. Podudaranje nije savrseno. HIPAA ima neka zdravstveno specificna pravila koja ISO 27001 ne pokriva. No preklapanje je dovoljno siroko za vecinu provjera duzne paznje u sklopu BAA-a.
Preslikavanje kontrola
Kontrole ISO 27001 Annexa A uskladjene su sa sve tri grupe zastita prema HIPAA-i.
Administrativne zastite (164.308): Kontrole A.5 do A.8 obuhvacaju pravila, uloge, propise za osoblje i pracenje imovine. One ispunjavaju HIPAA-ine zahtjeve za formalnim programom, dodijeljenim ulogama, pravilima za zaposlenike i planovima sigurnosnih kopija.
Fizicke zastite (164.310): Kontrola A.11 pokriva fizicke zastite i zastite lokacije. Preslikava se na pristup objektima, koristenje radnih stanica i kontrole uredjaja.
Tehnicke zastite (164.312): Kontrole A.9, A.10, A.12 i A.13 obuhvacaju pristup, sifriranje i operacije. Preslikavaju se na HIPAA-ine zahtjeve za revizijom, integritetom i prijenosom podataka.
Primjer primjene u zdravstvenoj sukladnosti
Regionalni zdravstveni sustav obnavlja provjere partnera. Njegov tim za sukladnost trazi od tvrtke za de-identifikaciju dokaz o "odgovarajucim zastitama". Tvrtka salje svoj ISO 27001 certifikat i kriznu tablicu kontrola. Krizna tablica povezuje svaku ISO kontrolu s odgovarajucim odjelkom HIPAA-e - 164.308, 164.310 i 164.312.
Sluzbenik za sukladnost evidentira to u datoteci BAA-a. Taj zapis ispunjava zahtjeve revizije OCR-a. Nije potrebna prilagoddjena provjera s 150 pitanja.
Ukratko, ISO 27001 pruza subjektima koji podlijezu propisu solidnu, gotovu bazu dokaza za duznu paznju u sklopu BAA-a. Pogledajte kako anonym.legal ispunjava te zahtjeve na stranici sigurnosti i sukladnosti i u dokumentaciji o pravnoj sukladnosti.