BAA "Atbilstošo garantiju" prasība
HIPAA Privātuma noteikums ir skaidrs. Segto vienību pienākums ir parakstīt Uzņēmuma partneru līgumus (BAA). BAA nepieciešams katram partnerim, kas apstrādā aizsargātu veselības informāciju (PHI). Katrā BAA jāiekļauj "atbilstošas garantijas". Šīs garantijas apliecina, ka partnerim ir ieviesti nepieciešamie kontroles mehānismi. Galvenās prasības ir noteiktas 45 CFR 164.308, 164.310 un 164.312.
Jēdziens "atbilstošas garantijas" likumā nav precīzi definēts. Taču OCR norādījumi skaidri norāda vienu lietu. Garantijām jābalstās uz reāliem, dokumentētiem pierādījumiem. Slimnīca, kas paraksta BAA, nepārbaudot partnera faktiskos kontroles mehānismus, nevar pierādīt pienācīgu rūpību. Ja šis partneris vēlāk piedzīvo datu pārkāpumu, slimnīca nonāks nopietnās grūtībās.
Tāpēc ISO 27001 šeit palīdz. Sertifikācija atbilst lielākajai daļai HIPAA kontroles prasību. Atbilstība nav pilnīga. HIPAA satur dažas veselības nozarei specifiskas prasības, ko ISO 27001 neaptver. Taču pārklājums ir pietiekami plašs lielākajai daļai BAA pienācīgas rūpības pārbaužu.
Kontroles mehānismu kartējums
ISO 27001 A pielikuma kontroles mehānismi sakrīt ar visām trim HIPAA aizsardzības grupām.
Administratīvie aizsardzības pasākumi (164.308): Kontroles A.5 līdz A.8 aptver politikas, lomas, personāla noteikumus un aktīvu uzskaiti. Tās atbilst HIPAA prasībām par formālu programmu, piešķirtām lomām, darbaspēka noteikumiem un rezerves plāniem.
Fiziskie aizsardzības pasākumi (164.310): Kontrole A.11 aptver fizisko un teritorijas aizsardzību. Tā atbilst iekārtu piekļuves, darbstacijas lietošanas un ierīču kontroles prasībām.
Tehniskie aizsardzības pasākumi (164.312): Kontroles A.9, A.10, A.12 un A.13 aptver piekļuvi, šifrēšanu un operācijas. Tās atbilst HIPAA revīzijas, integritātes un datu pārsūtīšanas prasībām.
Veselības aprūpes atbilstības lietošanas gadījums
Reģionāla veselības sistēma atjauno partneru pārbaudes. Tās atbilstības komanda lūdz de-identifikācijas uzņēmumam pierādījumus par "atbilstošiem aizsardzības pasākumiem". Uzņēmums iesniedz savu ISO 27001 sertifikātu un kontroles savstarpējo atbilstību. Šajā atbilstībā katra ISO kontrole ir saistīta ar atbilstošo HIPAA sadaļu — 164.308, 164.310 un 164.312.
Atbilstības speciālists šo ieraksta BAA failā. Šis ieraksts atbilst OCR revīzijas prasībām. Nav nepieciešams pielāgots 150 jautājumu pārbaudes saraksts.
Īsumā, ISO 27001 nodrošina segtajām vienībām stabilu, gatavu pierādījumu bāzi BAA pienācīgas rūpības nodrošināšanai. Skatiet, kā anonym.legal atbilst šīm prasībām drošības un atbilstības lapā un juridiskās atbilstības dokumentos.