Krafa BAA um fullnægjandi tryggingar
Personuverndarreglugerð HIPAA er skýr. Umfangsstofnanir verða að gera samstarfssamninga (BAA). BAA er krafist fyrir hvern samstarfsaðila sem meðhöndlar verndaðar heilsuupplýsingar (PHI). Sérhver BAA verður að innihalda "fullnægjandi tryggingar." Þessar tryggingar staðfesta að samstarfsaðilinn hafi réttar eftirlitsráðstafanir á sínum stað. Lykilreglurnar eru í 45 CFR 164.308, 164.310 og 164.312.
Hugtakið "fullnægjandi tryggingar" er ekki skilgreint nákvæmlega í lögum. En leiðbeiningar OCR gera eitt ljóst. Tryggingar verða að byggjast á raunverulegum, skjalfestum sönnunargögnum. Sjúkrahús sem undirritar BAA án þess að kanna raunveruleg eftirlitsatriði samstarfsaðilans getur ekki sýnt fram á dyggilega umönnun. Ef sá samstarfsaðili verður síðar fyrir gagnabrot stendur sjúkrahúsið frammi fyrir raunverulegu vandamáli.
ISO 27001 hjálpar hér. Vottunin samsvara flestum eftirlitsþörfum HIPAA. Samsvörunin er ekki fullkomin. HIPAA hefur nokkrar heilbrigðissértækar reglur sem ISO 27001 nær ekki yfir. En skarið er nógu vítt fyrir flestar BAA-könnunar dyggilegrar umönnunar.
Kortlagning eftirlitsatriða
Eftirlitsatriði ISO 27001 viðauka A samsvara öllum þremur verndarflokkum HIPAA.
Stjórnunarlegar verndarráðstafanir (164.308): Eftirlitsatriði A.5 til A.8 ná yfir stefnur, hlutverk, starfsmannareglur og eignaspornun. Þau uppfylla þarfir HIPAA fyrir formlegt forrit, úthlutað hlutverk, vinnuaflreglur og varaáætlanir.
Líkamlegar verndarráðstafanir (164.310): Eftirlitsatriði A.11 nær yfir líklegar og staðarbundnar verndarráðstafanir. Það samsvara aðgangi að aðstöðu, notkun vinnustöðvar og tækjastjórnun.
Tæknilegar verndarráðstafanir (164.312): Eftirlitsatriði A.9, A.10, A.12 og A.13 ná yfir aðgang, dulkóðun og rekstur. Þau samsvara endurskoðunar-, heilleika- og gagnaflutningsþörfum HIPAA.
Notkunardæmi úr heilbrigðisþjónustu
Heilbrigðiskerfi á svæðisbundnum grunni endurnýjar samstarfskannanir sínar. Fylgnisteymi þess biður afnámunarfyrirtæki um sönnun "viðeigandi verndarráðstafana." Fyrirtækið sendir ISO 27001 vottorðið sitt og þverstiklu eftirlitsatriða. Þverstiklan tengir hvert ISO-eftirlitsatriði við réttan HIPAA-hluta - 164.308, 164.310 og 164.312.
Fylgnistjórinn skráir þetta í BAA-skrána. Sú skrá uppfyllir endurskoðunarþarfir OCR. Engin sérsniðin 150-spurningakannun er nauðsynleg.
Í stuttu máli veitir ISO 27001 umfangsstofnunum traustan, tilbúinn sönnunargrunnsgrunn fyrir dyggilega umönnun BAA. Sjá hvernig anonym.legal uppfyllir þessar þarfir á öryggi og fylgnisíðunni og í lögformlegum fylgniskjölum.