Il Requisito delle Garanzie Adeguate nei BAA
La Privacy Rule HIPAA stabilisce una regola chiara. Gli enti coperti devono firmare Business Associate Agreement (BAA). Un BAA è obbligatorio per ogni partner che tratta informazioni sanitarie protette (PHI). Ogni BAA deve includere "garanzie adeguate". Tali garanzie confermano che il partner dispone dei controlli appropriati. Le norme di riferimento sono il 45 CFR 164.308, 164.310 e 164.312.
Il termine "garanzie adeguate" non è definito con precisione dalla legge. Le linee guida dell'OCR chiariscono però un aspetto fondamentale: le garanzie devono fondarsi su prove reali e documentate. Un ospedale che firma un BAA senza verificare i controlli effettivi del partner non può dimostrare di aver agito con la dovuta diligenza. Se quel partner subisce successivamente una violazione, l'ospedale si trova in una posizione assai difficile.
ISO 27001 è di grande aiuto in questo contesto. La certificazione si allinea alla maggior parte dei requisiti di controllo HIPAA. La corrispondenza non è perfetta: HIPAA prevede alcune norme specifiche per il settore sanitario non coperte da ISO 27001. Ma la sovrapposizione è sufficientemente ampia da soddisfare la maggior parte dei controlli di due diligence per i BAA.
La Mappatura dei Controlli
I controlli dell'Annesso A di ISO 27001 si allineano a tutti e tre i gruppi di garanzie HIPAA.
Garanzie amministrative (164.308): I controlli da A.5 ad A.8 riguardano politiche, ruoli, regole per il personale e tracciamento degli asset. Soddisfano le esigenze HIPAA relative a un programma formale, ruoli assegnati, regole per la forza lavoro e piani di continuità.
Garanzie fisiche (164.310): Il controllo A.11 copre le protezioni fisiche e delle strutture. Si allinea ai requisiti HIPAA per l'accesso ai locali, l'uso delle postazioni di lavoro e i controlli sui dispositivi.
Garanzie tecniche (164.312): I controlli A.9, A.10, A.12 e A.13 coprono accesso, crittografia e operazioni. Si allineano alle esigenze HIPAA in materia di audit, integrità e trasferimento dei dati.
Un Caso d'Uso nel Settore della Conformità Sanitaria
Un sistema sanitario regionale rinnova i propri controlli sui partner. Il team di compliance chiede a una società di de-identificazione la prova di "adeguate garanzie". La società invia il proprio certificato ISO 27001 e una mappatura dei controlli. La mappatura collega ogni controllo ISO alla sezione HIPAA corrispondente: 164.308, 164.310 e 164.312.
Il responsabile della conformità inserisce questa documentazione nel fascicolo BAA. Tale registro soddisfa i requisiti di audit dell'OCR. Non è necessario alcun questionario personalizzato da 150 domande.
In sintesi, ISO 27001 fornisce agli enti coperti una solida base di prove, già pronta, per la due diligence nei BAA. Scopri come anonym.legal soddisfa questi requisiti nella pagina sulla sicurezza e conformità e nella documentazione di conformità legale.