Požiadavka na uspokojivé záruky BAA
Pravidlo ochrany súkromia HIPAA vyžaduje, aby subjekty podliehajúce regulácii (nemocnice, zdravotné plány, zdravotnícke clearinghouses) uzavreli zmluvy Business Associate Agreements so všetkými dodávateľmi, ktorí pristupujú, používajú alebo vytvárajú chránené zdravotnícke informácie v ich mene. BAA musí obsahovať "uspokojivé záruky", že obchodný partner implementuje zodpovedajúce bezpečnostné opatrenia na ochranu PHI — konkrétne administratívne, fyzické a technické bezpečnostné požiadavky 45 CFR 164.308, 164.310 a 164.312.
Standard "uspokojivých záruk" nie je v regulácii špecificky definovaný. Usmernenia na presadzovanie OCR naznačujú, že záruky musia byť založené na dokumentovaných dôkazoch, nie len na zmluvných vyhláseniach. Subjekt podliehajúci regulácii, ktorý podpíše BAA bez získania dôkazov, že obchodný partner skutočne implementuje požadované bezpečnostné opatrenia, nemôže preukázať náležitú starostlivosť, ak obchodný partner následne porušší BAA.
Analýza jednotného rámca kontroly ISACA z roku 2024 zistila, že certifikácia ISO 27001 znižuje duplikáciu auditov v zdravotníctve o 60% — čo odráža stupeň, v akom sa ovládacie prvky ISO 27001 mapujú na bezpečnostné požiadavky HIPAA. Mapovanie nie je dokonalé (HIPAA obsahuje zdravotnícko-špecifické požiadavky, ktoré ISO 27001 neobsahuje), ale pokrýva väčšinu technických a organizačných bezpečnostných opatrení, ktoré vyžaduje náležitá starostlivosť BAA.