Wymóg satysfakcjonujących zapewnień BAA
Zasada prywatności HIPAA wymaga, aby podmioty objęte regulacjami (szpitale, plany zdrowotne, centra przetwarzania danych zdrowotnych) zawierały umowy z partnerami biznesowymi ze wszystkimi dostawcami, którzy uzyskują dostęp do, używają lub tworzą chronione informacje zdrowotne w ich imieniu. BAA musi zawierać "satysfakcjonujące zapewnienia", że partner biznesowy wdroży odpowiednie zabezpieczenia w celu ochrony PHI — w szczególności wymagania dotyczące zabezpieczeń administracyjnych, fizycznych i technicznych zgodnie z 45 CFR 164.308, 164.310 i 164.312.
Standard "satysfakcjonujących zapewnień" nie jest zdefiniowany w sposób szczegółowy w regulacji. Wytyczne dotyczące egzekwowania OCR wskazują, że zapewnienia muszą być oparte na udokumentowanych dowodach, a nie tylko na oświadczeniach umownych. Podmiot objęty regulacjami, który podpisuje BAA bez uzyskania dowodów, że partner biznesowy rzeczywiście wdraża wymagane zabezpieczenia, nie może wykazać należytej staranności, jeśli partner biznesowy później naruszy BAA.
Analiza zintegrowanego ramy kontrolnego ISACA z 2024 roku wykazała, że certyfikacja ISO 27001 zmniejsza duplikację audytów w sektorze zdrowia o 60% — odzwierciedlając stopień, w jakim kontrole ISO 27001 odpowiadają wymaganiom bezpieczeństwa HIPAA. Mapowanie nie jest doskonałe (HIPAA zawiera specyficzne dla sektora zdrowia wymagania, których ISO 27001 nie uwzględnia), ale obejmuje większość technicznych i organizacyjnych zabezpieczeń, które są wymagane w ramach należytej staranności BAA.
Mapowanie kontroli
Kontrole załącznika A ISO 27001 odpowiadają wymaganiom zasady bezpieczeństwa HIPAA w trzech kategoriach zabezpieczeń:
Zabezpieczenia administracyjne (164.308): Kontrole ISO A.5 (polityki bezpieczeństwa informacji), A.6 (organizacja bezpieczeństwa informacji), A.7 (bezpieczeństwo zasobów ludzkich), A.8 (zarządzanie aktywami) wspólnie odnoszą się do wymagań HIPAA dotyczących procesu zarządzania bezpieczeństwem, przypisanej odpowiedzialności za bezpieczeństwo, bezpieczeństwa pracowników, zarządzania dostępem do informacji, świadomości bezpieczeństwa i planowania awaryjnego.
Zabezpieczenia fizyczne (164.310): Kontrole ISO A.11 (bezpieczeństwo fizyczne i środowiskowe) odnoszą się do kontroli dostępu do obiektów, bezpieczeństwa stanowisk pracy, kontroli urządzeń i mediów.
Zabezpieczenia techniczne (164.312): Kontrole ISO A.9 (kontrola dostępu), A.10 (kryptografia), A.12 (bezpieczeństwo operacyjne), A.13 (bezpieczeństwo komunikacji) wspólnie odnoszą się do kontroli dostępu, kontroli audytowych, kontroli integralności i bezpieczeństwa transmisji.
Przykład użycia w systemie zdrowia regionalnego
Biuro zgodności dużego regionalnego systemu zdrowia odnawiające oceny dostawców żąda dowodów "odpowiednich zabezpieczeń" zgodnie z istniejącą BAA od partnera biznesowego świadczącego usługi deidentyfikacji PHI. Ofiicer ds. zgodności żąda certyfikatu ISO 27001 oraz podsumowania kontroli. Certyfikat jest mapowany do wymagań HIPAA 164.308, 164.310 i 164.312 w dokumencie mapującym kontrole. Ofiicer ds. zgodności dokumentuje satysfakcjonujące zapewnienia w pliku BAA — dostarczając dowody, które spełniają wymagania audytowe OCR bez konieczności przeprowadzania niestandardowej oceny bezpieczeństwa z 150 pytaniami.
Źródła: