Cerinta BAA de Asigurari Satisfacatoare
Regula de Confidentialitate HIPAA cere ca entitatile acoperite (spitale, planuri de sanatate, case de compensare pentru servicii de sanatate) sa incheie Acorduri Business Associate cu toti furnizorii care acceseaza, utilizeaza sau creeaza informatii de sanatate protejate in numele lor. BAA trebuie sa includa 'asigurari satisfacatoare' ca asociatul de afaceri va implementa masuri de protectie adecvate.
Standardul 'asigurari satisfacatoare' nu este definit cu specificitate in regulament. Orientarile de aplicare OCR indica ca asigurarile trebuie sa se bazeze pe dovezi documentate, nu doar pe declaratii contractuale.
Maparea ISO 27001 la Cerintele HIPAA
HIPAA 164.308 (Masuri Administrative) ↔ ISO 27001 Anexa A 6.x:
- Procedurile de analize de securitate (164.308(a)(1)) → ISO 27001 A.8.8 (Gestionarea vulnerabilitatilor tehnice)
- Gestionarea accesului la informatii (164.308(a)(4)) → ISO 27001 A.5.15-5.18 (Controlul accesului)
HIPAA 164.310 (Masuri Fizice) ↔ ISO 27001 Anexa A 7.x:
- Controlul accesului fizic al instalatiei (164.310(a)(1)) → ISO 27001 A.7.2-7.4 (Securitatea fizica)
HIPAA 164.312 (Masuri Tehnice) ↔ ISO 27001 Anexa A 8.x:
- Controale de audit (164.312(b)) → ISO 27001 A.8.15-8.17 (Jurnalizare si monitorizare)
- Criptarea si decriptarea (164.312(a)(2)(iv)) → ISO 27001 A.8.24 (Utilizarea criptografiei)
Reducerea Duplicarii Auditului cu 60%
Furnizorii cu certificare ISO 27001 pot reduce semnificativ povara auditului BAA:
- Declaratia de Aplicabilitate ISO 27001 mapeaza controalele la cerintele HIPAA
- Rapoartele auditului de supraveghere anual servesc ca dovada a evaluarilor de securitate continue
- Un singur set de politici si proceduri satisface cerintele ambelor cadre
Surse: Ghidul de Conformitate HIPAA-ISO 27001 ISACA 2024; Orientarile BAA OCR HHS; Raportul Starii Securitatii in Sanatate HIMSS 2025