BAA Fullnægjandi áskilyrða krafan
HIPAA persónuverndarregla krefst þess að tryggðar stofnanir (sjúkrahús, heilsutryggingaáætlanir, heilsugæsluútskýringar) geri Business Associate Samkomulag við alla söluaðila sem fá aðgang að, nota eða búa til verndaða heilbrigðisupplýsingar fyrir þeirra hönd. BAA-samningur verður að fela í sér "fullnægjandi áskilyrði" um að viðskiptafélagi muni innleiða viðeigandi öryggisráðstafanir til að vernda PHI — sérstaklega stjórnsýslu-, efnis- og tæknilegar öryggisráðstafanir 45 CFR 164.308, 164.310 og 164.312.
"Fullnægjandi áskilyrði" staðallinn er ekki skilgreindur með sérstöku í reglugerðinni. Leiðbeiningar OCR um framfylgd benda til þess að trygging verði að byggjast á skjalfestum sönnunargögnum, ekki eingöngu samningsbundinni yfirlýsingum. Tryggð stofnun sem undirritar BAA án þess að fá sönnunargögn um að viðskiptafélagi innleiði í raun tilskilin öryggisráðstafanir getur ekki sýnt fram á að hún hafi farist með aðgát ef viðskiptafélagi brjótir síðar gegn BAA.
Greining ISACA 2024 á sameinuðum eftirlitsramma leiddi í ljós að ISO 27001 vottun dregur úr endurteknum endurskoðunum heilbrigðisvísindalýsingarinnar um 60% — sem endurspeglar þá gráðu sem ISO 27001 eftirlitsaðilar kortlegga með HIPAA öryggisotkum. Kortleggingin er ekki fullkomin (HIPAA inniheldur heilbrigðissérstök kröfur sem ISO 27001 tekur ekki til), en það nær meirihluta tæknilegra og skipulagslegra öryggisráðstafana sem BAA áreiðanleikakönnun krefst.
Eftirlits kortleggingin
ISO 27001 Annex A eftirlitsaðilar kortlegga