Il requisito delle garanzie soddisfacenti del BAA
La Regola sulla Privacy HIPAA richiede che le entità coperte (ospedali, piani sanitari, centri di elaborazione sanitaria) stipulino accordi di associazione commerciale con tutti i fornitori che accedono, utilizzano o creano informazioni sanitarie protette per loro conto. Il BAA deve includere "garanzie soddisfacenti" che l'associato commerciale implementerà salvaguardie appropriate per proteggere le PHI — specificamente i requisiti di salvaguardia amministrativa, fisica e tecnica di 45 CFR 164.308, 164.310 e 164.312.
Lo standard delle "garanzie soddisfacenti" non è definito con specificità nel regolamento. Le linee guida di enforcement dell'OCR indicano che le garanzie devono basarsi su prove documentate, non semplicemente su dichiarazioni contrattuali. Un'entità coperta che firma un BAA senza ottenere prove che l'associato commerciale implementi effettivamente le salvaguardie richieste non può dimostrare la dovuta diligenza se l'associato commerciale successivamente viola il BAA.
L'analisi del framework di controllo unificato ISACA 2024 ha rilevato che la certificazione ISO 27001 riduce la duplicazione degli audit nel settore sanitario del 60% — riflettendo il grado in cui i controlli ISO 27001 si mappano ai requisiti di sicurezza HIPAA. La mappatura non è perfetta (HIPAA include requisiti specifici per il settore sanitario che ISO 27001 non affronta), ma copre la maggior parte delle salvaguardie tecniche e organizzative richieste dalla dovuta diligenza del BAA.
La mappatura dei controlli
I controlli dell'Allegato A di ISO 27001 si mappano ai requisiti della Regola di Sicurezza HIPAA attraverso le tre categorie di salvaguardie:
Salvaguardie amministrative (164.308): I controlli ISO A.5 (politiche di sicurezza delle informazioni), A.6 (organizzazione della sicurezza delle informazioni), A.7 (sicurezza delle risorse umane), A.8 (gestione degli asset) affrontano collettivamente i requisiti HIPAA per il processo di gestione della sicurezza, la responsabilità di sicurezza assegnata, la sicurezza della forza lavoro, la gestione dell'accesso alle informazioni, la consapevolezza della sicurezza e la pianificazione delle emergenze.
Salvaguardie fisiche (164.310): I controlli ISO A.11 (sicurezza fisica e ambientale) affrontano i controlli di accesso alle strutture, la sicurezza delle postazioni di lavoro, i controlli sui dispositivi e sui media.
Salvaguardie tecniche (164.312): I controlli ISO A.9 (controllo degli accessi), A.10 (crittografia), A.12 (sicurezza delle operazioni), A.13 (sicurezza delle comunicazioni) affrontano collettivamente i controlli di accesso, i controlli di audit, i controlli di integrità e la sicurezza della trasmissione.
Il caso d'uso del sistema sanitario regionale
L'ufficio di conformità di un grande sistema sanitario regionale che rinnova le valutazioni dei fornitori richiede prove di "salvaguardie appropriate" secondo il BAA esistente da un associato commerciale che fornisce servizi di de-identificazione delle PHI. L'ufficiale di conformità richiede il certificato ISO 27001 e il riepilogo dei controlli. Il certificato è mappato ai requisiti HIPAA 164.308, 164.310 e 164.312 in un documento di mappatura dei controlli. L'ufficiale di conformità documenta le garanzie soddisfacenti nel file BAA — fornendo le prove che soddisfano i requisiti di audit dell'OCR senza richiedere una valutazione della sicurezza personalizzata di 150 domande.
Fonti: