Keperluan Jaminan Memuaskan dalam BAA
Peraturan Privasi HIPAA mempunyai peraturan yang jelas. Entiti yang dilindungi mesti menandatangani Perjanjian Rakan Niaga (BAA). BAA diperlukan bagi setiap rakan yang mengendalikan maklumat kesihatan yang dilindungi (PHI). Setiap BAA mesti mengandungi "jaminan memuaskan." Jaminan ini mengesahkan bahawa rakan mempunyai kawalan yang betul. Peraturan utama terdapat dalam 45 CFR 164.308, 164.310, dan 164.312.
Istilah "jaminan memuaskan" tidak ditakrifkan dengan tepat dalam undang-undang. Tetapi panduan OCR menjelaskan satu perkara. Jaminan tersebut mesti disokong oleh bukti nyata yang didokumentasikan. Hospital yang menandatangani BAA tanpa menyemak kawalan sebenar rakan tidak dapat menunjukkan kewaspadaan yang sewajarnya. Jika rakan itu kemudian mengalami pelanggaran data, hospital tersebut menghadapi masalah nyata.
Oleh itu, ISO 27001 membantu di sini. Pensijilan ini memetakan kepada kebanyakan keperluan kawalan HIPAA. Pemetaan ini tidak sempurna. HIPAA mempunyai beberapa peraturan khusus kesihatan yang tidak diliputi ISO 27001. Tetapi pertindihan adalah cukup luas untuk kebanyakan pemeriksaan kewaspadaan BAA.
Pemetaan Kawalan
Kawalan Annex A ISO 27001 sejajar dengan ketiga-tiga kumpulan perlindungan HIPAA.
Perlindungan pentadbiran (164.308): Kawalan A.5 hingga A.8 meliputi polisi, peranan, peraturan kakitangan, dan penjejakan aset. Ia memenuhi keperluan HIPAA untuk program formal, peranan yang ditetapkan, peraturan tenaga kerja, dan pelan sandaran.
Perlindungan fizikal (164.310): Kawalan A.11 meliputi perlindungan fizikal dan tapak. Ia memetakan kepada akses kemudahan, penggunaan stesen kerja, dan kawalan peranti.
Perlindungan teknikal (164.312): Kawalan A.9, A.10, A.12, dan A.13 meliputi akses, penyulitan, dan operasi. Ia memetakan kepada keperluan audit, integriti, dan pemindahan data HIPAA.
Kes Guna Pematuhan Penjagaan Kesihatan
Sistem kesihatan wilayah memperbarui semakan rakan niaganya. Pasukan pematuhan meminta firma penyahtanaman untuk bukti "perlindungan yang sesuai." Firma itu menghantar sijil ISO 27001 dan peta silang kawalan. Peta silang menghubungkan setiap kawalan ISO kepada bahagian HIPAA yang betul - 164.308, 164.310, dan 164.312.
Pegawai pematuhan merekodkan ini dalam fail BAA. Rekod itu memenuhi keperluan audit OCR. Tiada semakan 150 soalan khusus diperlukan.
Ringkasnya, ISO 27001 memberikan entiti yang dilindungi asas bukti yang kukuh dan sedia pakai untuk kewaspadaan BAA. Lihat cara anonym.legal memenuhi keperluan ini di halaman keselamatan dan pematuhan dan dalam dokumen kepatuhan undang-undang.