BAA: Business Associate Agreement Dalam HIPAA
Business Associate Agreement (BAA) adalah perjanjian hukum yang dipersyaratkan di bawah HIPAA (Health Insurance Portability and Accountability Act) ketika vendor memproses Health Information (PHI) atas nama organisasi perawatan kesehatan.
HIPAA didefinisikan:
- Covered Entity (CE): Rumah sakit, klinik, praktik dokter, organisasi asuransi kesehatan
- Business Associate (BA): Vendor yang memproses atau menyimpan PHI atas nama CE (contohnya, penyedia cloud, penyedia penanoniman data, vendor IT)
- Business Associate Agreement: Kontrak hukum yang menguraikan tanggung jawab masing-masing pihak untuk melindungi PHI
Jika vendor Anda menyentuh PHI dengan cara apa pun (bahkan hanya untuk penanoniman), vendor Anda adalah BA dan harus ditandatangani oleh BAA.
Persyaratan BAA
BAA harus menentukan:
- Batasan Penggunaan dan Pengungkapan — Vendor hanya dapat menggunakan PHI untuk tujuan yang ditetapkan; tidak ada penggunaan sekunder
- Standar Keamanan (HIPAA Bagian 164.308-312):
- Administrasi keamanan: kebijakan keamanan dokumen
- Keamanan fisik: kontrol akses ke fasilitas
- Keamanan teknis: enkripsi data, kontrol akses, jejak audit
- Keamanan jaringan: firewall, pemantauan intrusi
- Notifikasi Pelanggaran — Vendor harus memberitahu CE dalam 60 hari jika ada akses tidak sah atau pengungkapan PHI
- Audit dan Akuntabilitas — CE dapat mengaudit vendor; vendor harus menjaga catatan akses yang komprehensif
- Penghapusan atau Pengembalian Data — Pada akhir kontrak, vendor harus menghapus atau mengembalikan semua PHI (atau membuktikan penghapusan yang aman)
- Subkontraktor — Jika vendor menggunakan subkontraktor untuk memproses PHI, subkontraktor juga harus di bawah BAA (atau vendor bertanggung jawab atas pelanggaran subkontraktor)
Peran ISO 27001 dalam BAA
ISO 27001 adalah standar keamanan informasi internasional yang mencakup:
- Manajemen risiko keamanan
- Kontrol teknis dan administrasi
- Manajemen insiden
- Perencanaan kontinuitas bisnis
HIPAA adalah persyaratan hukum AS yang mencakup:
- Perlindungan privasi pasien
- Keamanan data medis
- Hak pasien (akses, perbaikan, penghapusan)
Keduanya terpisah secara hukum. Organisasi dapat memiliki ISO 27001 tanpa HIPAA BAA, dan sebaliknya. Namun, untuk vendor perawatan kesehatan, keduanya diperlukan secara bersamaan:
- ISO 27001 menunjukkan standar keamanan industri global
- HIPAA BAA menunjukkan kepatuhan terhadap hukum AS yang mengatur perlindungan pasien
Permintaan Audit Vendor Perawatan Kesehatan pada 2025
Rumah sakit besar sekarang memberlakukan "vendor security scorecard" yang memerlukan:
- Bukti ISO 27001 — salinan sertifikat (tidak kedaluwarsa)
- Laporan Audit Keamanan Independen — penetration test atau security assessment dari pihak ketiga dalam 12 bulan terakhir
- BAA Tertandatangani — salinan exekutif dari Business Associate Agreement dengan semua lampiran
- Laporan Kepatuhan HIPAA — self-assessment HIPAA atau audit HIPAA pihak ketiga
- Riwayat Insiden Keamanan — pernyataan apakah vendor mengalami pelanggaran data dalam 3 tahun terakhir
- Jaminan dan Asuransi Cyber — bukti cyber liability insurance dengan minimal USD 2 juta pertanggungan
Vendor yang tidak dapat menyediakan semua bukti ini tidak akan pernah disetujui untuk memproses PHI.
Implikasi untuk Vendor Penanoniman
Vendor penanoniman yang ingin melayani sektor perawatan kesehatan harus mempersiapkan:
- Sertifikat ISO 27001 (6-12 bulan untuk mencapai)
- Laporan Penetration Test dari pihak ketiga (setiap tahun)
- Templat BAA Siap (disetujui oleh konsultan hukum HIPAA)
- Dokumentasi Kepatuhan GDPR (vendor internasional juga harus GDPR-compliant, terutama untuk organisasi kesehatan dengan pasien EU)
Tanpa ini, vendor tidak dapat memenangkan kesepakatan di sektor perawatan kesehatan di AS pada 2025.