Zahteva po zadovoljivih garancijah BAA
HIPAA pravilo o zasebnosti zahteva, da subjekti, ki jih pokriva (bolnišnice, zdravstveni načrti, zdravstvene čistilnice), sklenejo Sporazume poslovnih partnerjev z vsemi prodajalci, ki imajo dostop, uporabljajo ali ustvarjajo zaščitene zdravstvene informacije v njihovem imenu. BAA mora vključevati "zadovoljive garancije", da bo poslovni partner izvajal primerne varnostne ukrepe za zaščito PHI — posebej upravne, fizične in tehnične zahteve varnostnih ukrepov 45 CFR 164.308, 164.310 in 164.312.
Standard "zadovoljivih garancij" v uredbi ni definiran s specifičnostjo. Smernice za izvajanje OCR nakazujejo, da morajo garancije temeljiti na dokumentiranih dokazih, ne le na pogodbenih izjavah. Subjekt, ki ga pokriva, ki podpiše BAA brez pridobitve dokazov, da poslovni partner dejansko izvaja zahtevane varnostne ukrepe, ne more dokazati ustrezne pazljivosti, če poslovni partner kasneje prekrši BAA.
Analiza poenotenih kontrolnih okvirov ISACA za leto 2024 je ugotovila, da certifikacija ISO 27001 zmanjša podvojeno revizijo zdravstveništva za 60% — kar odraža stopnjo, v kateri se kontrole ISO 27001 preslikajo na varnostne zahteve HIPAA. Preslikava ni popolna (HIPAA vključuje posebne zahteve zdravstveništva, ki jih ISO 27001 ne obravnava), vendar pokriva večino tehnični in organizacijskih varnostnih ukrepov, ki jih zahteva due diligence BAA.
Preslikava kontrole
Kontrole ISO 27001 Prilog A se preslikajo na HIPAA