O Requisito de Garantias Satisfatórias do BAA
A Regra de Privacidade do HIPAA exige que entidades cobertas (hospitais, planos de saúde, clearinghouses de saúde) celebrem Acordos de Associados Comerciais com todos os fornecedores que acessam, usam ou criam informações de saúde protegidas em seu nome. O BAA deve incluir "garantias satisfatórias" de que o associado comercial implementará salvaguardas apropriadas para proteger PHI — especificamente os requisitos de salvaguardas administrativas, físicas e técnicas de 45 CFR 164.308, 164.310 e 164.312.
O padrão de "garantias satisfatórias" não é definido com especificidade na regulamentação. A orientação de aplicação do OCR indica que as garantias devem ser baseadas em evidências documentadas, não meramente em declarações contratuais. Uma entidade coberta que assina um BAA sem obter evidências de que o associado comercial realmente implementa as salvaguardas exigidas não pode demonstrar a devida diligência se o associado comercial posteriormente violar o BAA.
A análise da estrutura de controle unificada da ISACA de 2024 descobriu que a certificação ISO 27001 reduz a duplicação de auditorias de saúde em 60% — refletindo o grau em que os controles da ISO 27001 mapeiam os requisitos de segurança do HIPAA. O mapeamento não é perfeito (o HIPAA inclui requisitos específicos para saúde que a ISO 27001 não aborda), mas cobre a maioria das salvaguardas técnicas e organizacionais que a devida diligência do BAA exige.
O Mapeamento de Controles
Os controles do Anexo A da ISO 27001 mapeiam os requisitos da Regra de Segurança do HIPAA nas três categorias de salvaguardas:
Salvaguardas administrativas (164.308): Os controles ISO A.5 (políticas de segurança da informação), A.6 (organização da segurança da informação), A.7 (segurança de recursos humanos), A.8 (gestão de ativos) abordam coletivamente os requisitos do HIPAA para o processo de gestão de segurança, responsabilidade de segurança atribuída, segurança da força de trabalho, gestão de acesso à informação, conscientização de segurança e planejamento de contingência.
Salvaguardas físicas (164.310): Os controles ISO A.11 (segurança física e ambiental) abordam controles de acesso a instalações, segurança de estações de trabalho, controles de dispositivos e mídias.
Salvaguardas técnicas (164.312): Os controles ISO A.9 (controle de acesso), A.10 (criptografia), A.12 (segurança das operações), A.13 (segurança das comunicações) abordam coletivamente controles de acesso, controles de auditoria, controles de integridade e segurança de transmissão.
O Caso de Uso do Sistema de Saúde Regional
O escritório de conformidade de um grande sistema de saúde regional que renova avaliações de fornecedores solicita evidências de "salvaguardas apropriadas" conforme o BAA existente de um associado comercial que fornece serviços de desidentificação de PHI. O oficial de conformidade solicita o certificado ISO 27001 e o resumo de controles. O certificado é mapeado para os requisitos do HIPAA 164.308, 164.310 e 164.312 em um documento de cruzamento de controles. O oficial de conformidade documenta as garantias satisfatórias no arquivo do BAA — fornecendo a evidência que satisfaz os requisitos de auditoria do OCR sem exigir uma avaliação de segurança personalizada de 150 perguntas.
Fontes: