Kravet på tillfredsställande garantier i BAA
HIPAA:s sekretessregel kräver att täckta enheter (sjukhus, sjukförsäkringsplaner, vårdclearinghus) ingår Business Associate Agreements med alla leverantörer som får tillgång till, använder eller skapar skyddad hälsodata på deras vägnar. BAA:n måste inkludera "tillfredsställande garantier" om att affärspartnern kommer att implementera lämpliga skyddsåtgärder för att skydda PHI — specifikt de administrativa, fysiska och tekniska skyddsåtgärder som krävs enligt 45 CFR 164.308, 164.310 och 164.312.
Standarden för "tillfredsställande garantier" definieras inte med specifikhet i förordningen. OCR:s genomförandeguidelines indikerar att garantierna måste baseras på dokumenterade bevis, inte bara avtalsenliga uttalanden. En täckt enhet som undertecknar en BAA utan att erhålla bevis på att affärspartnern faktiskt implementerar de erforderliga skyddsåtgärderna kan inte visa att den har agerat med tillbörlig omsorg om affärspartnern senare bryter mot BAA:n.
ISACA:s analys av den enhetliga kontrollramen för 2024 visade att ISO 27001-certifiering minskar revisionsduplicering inom vården med 60% — vilket återspeglar den grad i vilken ISO 27001-kontroller kartlägger till HIPAA:s säkerhetskrav. Kartläggningen är inte perfekt (HIPAA inkluderar vårdspecifika krav som ISO 27001 inte adresserar), men den täcker majoriteten av de tekniska och organisatoriska skyddsåtgärder som BAA:s tillbörliga omsorg kräver.
Kontrollkartläggningen
ISO 27001 Bilaga A-kontroller kartlägger till HIPAA:s säkerhetsregelkrav över de tre skyddskategorierna:
Administrativa skyddsåtgärder (164.308): ISO-kontroller A.5 (information säkerhetspolicyer), A.6 (organisation av informationssäkerhet), A.7 (säkerhet för mänskliga resurser), A.8 (tillgångshantering) adresserar tillsammans HIPAA:s krav för säkerhetshanteringsprocess, tilldelad säkerhetsansvar, arbetskraftssäkerhet, informationsåtkomsthantering, säkerhetsmedvetenhet och beredskapsplanering.
Fysiska skyddsåtgärder (164.310): ISO-kontroller A.11 (fysisk och miljömässig säkerhet) adresserar anläggningstillgångskontroller, arbetsstationens säkerhet, enhets- och mediekontroller.
Tekniska skyddsåtgärder (164.312): ISO-kontroller A.9 (åtkomstkontroll), A.10 (kryptografi), A.12 (driftssäkerhet), A.13 (kommunikationssäkerhet) adresserar tillsammans åtkomstkontroller, revisionskontroller, integritetskontroller och överföringssäkerhet.
Användningsfall för det regionala hälsosystemet
Ett stort regionalt hälsosystems efterlevnadskontor som förnyar leverantörsbedömningar begär bevis på "lämpliga skyddsåtgärder" enligt den befintliga BAA:n från en affärspartner som tillhandahåller tjänster för avidentifiering av PHI. Efterlevnadsofficeraren begär ISO 27001-certifikatet och kontrollsammanfattningen. Certifikatet är kartlagt till HIPAA 164.308, 164.310 och 164.312 krav i ett kontrollkorsdokument. Efterlevnadsofficeraren dokumenterar de tillfredsställande garantierna i BAA-filen — vilket ger bevis som uppfyller OCR:s revisionskrav utan att kräva en anpassad säkerhetsbedömning med 150 frågor.
Källor: