Kravet om tilfredsstillende garantier i BAA
HIPAAs personvernlov krever at dekkede enheter (sykehus, helseplaner, helseklargjøringshus) inngår Business Associate Agreements med alle leverandører som får tilgang til, bruker eller oppretter beskyttet helseinformasjon på deres vegne. BAAen må inkludere "tilfredsstillende garantier" for at forretningspartneren vil implementere passende sikkerhetstiltak for å beskytte PHI — spesifikt de administrative, fysiske og tekniske sikkerhetstiltakene i 45 CFR 164.308, 164.310, og 164.312.
Standarden for "tilfredsstillende garantier" er ikke definert med spesifisitet i forskriften. OCRs håndhevelsesveiledning indikerer at garantiene må være basert på dokumentert bevis, ikke bare kontraktsmessige uttalelser. En dekket enhet som signerer en BAA uten å skaffe bevis for at forretningspartneren faktisk implementerer de nødvendige sikkerhetstiltakene, kan ikke demonstrere aktsomhet hvis forretningspartneren senere bryter BAAen.
ISACAs 2024-analyse av samordnede kontrollrammer fant at ISO 27001-sertifisering reduserer revisjonsduplisering i helsevesenet med 60% — noe som gjenspeiler graden av hvilken ISO 27001-kontroller kartlegger til HIPAA-sikkerhetskravene. Kartleggingen er ikke perfekt (HIPAA inkluderer helse-spesifikke krav som ISO 27001 ikke adresserer), men den dekker flertallet av de tekniske og organisatoriske sikkerhetstiltakene som BAA aktsomhet krever.
Kontrollkartleggingen
ISO 27001 Vedlegg A-kontroller kartlegger til HIPAA Sikkerhetsregel kravene på tvers av de tre sikkerhetskategoriene:
Administrative sikkerhetstiltak (164.308): ISO-kontroller A.5 (informasjonssikkerhetspolicyer), A.6 (organisering av informasjonssikkerhet), A.7 (sikkerhet for menneskelige ressurser), A.8 (eiendomsforvaltning) adresserer samlet HIPAA-kravene for sikkerhetsledelsesprosess, tildelt sikkerhetsansvar, arbeidsstyrkesikkerhet, informasjonstilgangsforvaltning, sikkerhetsbevissthet, og beredskapsplanlegging.
Fysiske sikkerhetstiltak (164.310): ISO-kontroller A.11 (fysisk og miljømessig sikkerhet) adresserer tilgangskontroller for fasiliteter, sikkerhet for arbeidsstasjoner, enhets- og mediekontroller.
Tekniske sikkerhetstiltak (164.312): ISO-kontroller A.9 (tilgangskontroll), A.10 (kryptografi), A.12 (driftssikkerhet), A.13 (kommunikasjonssikkerhet) adresserer samlet tilgangskontroller, revisjonskontroller, integritetskontroller, og overføringssikkerhet.
Brukstilfellet for det regionale helsevesenet
Et stort regionalt helsevesens overholdelseskontor som fornyer leverandørvurderinger ber om bevis på "passende sikkerhetstiltak" i henhold til den eksisterende BAA fra en forretningspartner som tilbyr tjenester for avidentifisering av PHI. Overholdelsesoffiseren ber om ISO 27001-sertifikatet og kontrolloppsummeringen. Sertifikatet er kartlagt til HIPAA 164.308, 164.310, og 164.312 kravene i et kontrollkryssdokument. Overholdelsesoffiseren dokumenterer de tilfredsstillende garantiene i BAA-filen — og gir beviset som tilfredsstiller OCR-revisjonskravene uten å kreve en tilpasset sikkerhetsvurdering med 150 spørsmål.
Kilder: