Ang Kinakailangan ng BAA Satisfactory Assurances
Matanaw ang Privacy Rule ng HIPAA. Kailangang pumirma ang mga covered entity ng Business Associate Agreements (BAAs). Kinakailangan ang BAA para sa bawat kasosyo na humahawak ng protected health information (PHI). Ang bawat BAA ay dapat may kasamang "satisfactory assurances." Kinukumpirma ng mga assurance na ito na nasa tamang mga kontrol ang kasosyo. Ang mga pangunahing tuntunin ay nasa 45 CFR 164.308, 164.310, at 164.312.
Ang terminong "satisfactory assurances" ay hindi tiyak na tinukoy sa batas. Ngunit malinaw ang gabay ng OCR. Ang mga assurance ay dapat nakabatay sa tunay, dokumentadong patunay. Ang isang ospital na pumirma ng BAA nang hindi sinusuri ang aktwal na mga kontrol ng kasosyo ay hindi makakapagpakita ng due care. Kung ang kasosyong iyon ay magkaroon ng paglabag sa kalaunan, malaki ang problema ng ospital.
Kaya naman nakakatulong ang ISO 27001 dito. Ang sertipikasyon ay naaayon sa karamihan ng mga pangangailangan ng kontrol ng HIPAA. Hindi perpekto ang pagkakaayon. Mayroon ang HIPAA ng ilang tiyak na tuntunin sa kalusugan na hindi saklaw ng ISO 27001. Ngunit sapat ang overlap para sa karamihan ng mga pagsusuri ng due care ng BAA.
Ang Pagsasama-sama ng Kontrol
Ang mga kontrol ng ISO 27001 Annex A ay naaayon sa lahat ng tatlong grupo ng safeguard ng HIPAA.
Administrative safeguards (164.308): Saklaw ng mga kontrol na A.5 hanggang A.8 ang mga patakaran, papel, mga tuntunin ng kawani, at pagsubaybay ng asset. Tinutugunan nila ang mga pangangailangan ng HIPAA para sa isang pormal na programa, itinalagang mga papel, mga tuntunin ng manggagawa, at mga plano sa backup.
Physical safeguards (164.310): Saklaw ng kontrol na A.11 ang pisikal at site na mga proteksyon. Naaayon ito sa access ng pasilidad, paggamit ng workstation, at mga kontrol ng device.
Technical safeguards (164.312): Saklaw ng mga kontrol na A.9, A.10, A.12, at A.13 ang access, encryption, at mga operasyon. Naaayon ang mga ito sa audit, integridad, at mga pangangailangan ng paglipat ng data ng HIPAA.
Isang Use Case sa Healthcare Compliance
Isinasakatuparan ng isang rehiyonal na sistema ng kalusugan ang mga pagsusuri ng kasosyo. Hinihiling ng koponan ng compliance nito sa isang de-identification firm ang patunay ng "angkop na mga safeguard." Nagpadala ang firm ng sertipiko ng ISO 27001 at isang control crosswalk. Iniuugnay ng crosswalk ang bawat kontrol ng ISO sa tamang seksyon ng HIPAA - 164.308, 164.310, at 164.312.
Itinatala ng compliance officer ito sa BAA file. Tinutugunan ng talaang iyon ang mga pangangailangan ng OCR audit. Hindi kailangan ng custom na 150-tanong na tseke.
Sa madaling salita, binibigyan ng ISO 27001 ang mga covered entity ng isang matatag, handa nang base ng ebidensya para sa due care ng BAA. Tingnan kung paano tinutugunan ng anonym.legal ang mga pangangailangang ito sa pahina ng seguridad at pagsunod at sa mga dokumento ng legal na pagsunod.