ข้อกำหนด 'หลักประกันที่น่าพอใจ' ใน BAA
กฎความเป็นส่วนตัวของ HIPAA มีบทบัญญัติที่ชัดเจน: หน่วยงานที่อยู่ในขอบข่ายต้องลงนามในข้อตกลงคู่ค้าธุรกิจ (BAA) กับทุกพันธมิตรที่เข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) โดยใน BAA แต่ละฉบับต้องมี "หลักประกันที่น่าพอใจ" ซึ่งยืนยันว่าพันธมิตรมีการควบคุมที่ถูกต้องครบถ้วน ข้อกำหนดหลักอยู่ใน 45 CFR 164.308, 164.310 และ 164.312
คำว่า "หลักประกันที่น่าพอใจ" ไม่ได้ถูกนิยามอย่างแม่นยำในกฎหมาย แต่แนวทางของ OCR ชัดเจนว่าหลักประกันเหล่านั้นต้องอิงบนหลักฐานที่เป็นเอกสารจริง โรงพยาบาลที่ลงนาม BAA โดยไม่ตรวจสอบการควบคุมที่แท้จริงของพันธมิตรไม่สามารถแสดงว่าได้ใช้ความระมัดระวังอย่างเหมาะสม หากพันธมิตรรายนั้นเกิดการละเมิดในภายหลัง โรงพยาบาลจะเผชิญปัญหาร้ายแรงอย่างหลีกเลี่ยงไม่ได้
ISO 27001 ช่วยแก้ปัญหานี้ การรับรองมาตรฐานนี้สอดคล้องกับข้อกำหนดการควบคุมส่วนใหญ่ของ HIPAA แม้จะไม่สมบูรณ์แบบ เนื่องจาก HIPAA มีกฎเฉพาะด้านสุขภาพบางส่วนที่ ISO 27001 ไม่ครอบคลุม แต่ความทับซ้อนนั้นกว้างพอสำหรับการตรวจสอบความรับผิดชอบใน BAA ส่วนใหญ่
การจับคู่การควบคุม
การควบคุมใน Annex A ของ ISO 27001 สอดคล้องกับกลุ่มการป้องกันทั้งสามของ HIPAA
การป้องกันด้านการบริหาร (164.308): การควบคุม A.5 ถึง A.8 ครอบคลุมนโยบาย บทบาท กฎของบุคลากร และการติดตามทรัพย์สิน สอดคล้องกับข้อกำหนดของ HIPAA ด้านโปรแกรมที่เป็นทางการ การกำหนดบทบาท กฎแรงงาน และแผนสำรอง
การป้องกันทางกายภาพ (164.310): การควบคุม A.11 ครอบคลุมการป้องกันทางกายภาพและสถานที่ สอดคล้องกับการควบคุมการเข้าถึงสิ่งอำนวยความสะดวก การใช้งานเวิร์กสเตชัน และการควบคุมอุปกรณ์
การป้องกันทางเทคนิค (164.312): การควบคุม A.9, A.10, A.12 และ A.13 ครอบคลุมการเข้าถึง การเข้ารหัส และการปฏิบัติการ สอดคล้องกับข้อกำหนดการตรวจสอบ ความสมบูรณ์ และการถ่ายโอนข้อมูลของ HIPAA
กรณีการใช้งานด้านการปฏิบัติตามกฎหมายสุขภาพ
ระบบสุขภาพระดับภูมิภาคแห่งหนึ่งกำลังต่ออายุการตรวจสอบพันธมิตร ทีมงานด้านการปฏิบัติตามกฎระเบียบขอหลักฐาน "การป้องกันที่เหมาะสม" จากบริษัทที่ให้บริการยกเลิกการระบุตัวตน บริษัทนั้นส่งใบรับรอง ISO 27001 พร้อมตารางการจับคู่การควบคุม ซึ่งเชื่อมโยงการควบคุม ISO แต่ละรายการกับมาตรา HIPAA ที่เกี่ยวข้อง ได้แก่ 164.308, 164.310 และ 164.312
เจ้าหน้าที่ด้านการปฏิบัติตามกฎระเบียบบันทึกข้อมูลนี้ไว้ในแฟ้ม BAA ซึ่งตรงตามข้อกำหนดการตรวจสอบของ OCR โดยไม่จำเป็นต้องตอบแบบสอบถามพิเศษ 150 ข้อ
กล่าวโดยสรุป ISO 27001 มอบฐานหลักฐานที่แข็งแกร่งและพร้อมใช้งานสำหรับการแสดงความรับผิดชอบใน BAA ดูว่า anonym.legal ตอบสนองข้อกำหนดเหล่านี้อย่างไรได้ที่หน้าความปลอดภัยและการปฏิบัติตามกฎระเบียบ และเอกสารการปฏิบัติตามกฎหมาย