BAA Tatmin Edici Güvence Gereksinimi
HIPAA'nın Gizlilik Kuralı, kapsanan varlıkların (hastaneler, sağlık planları, sağlık hizmetleri temizleme merkezleri) kendileri adına korunan sağlık bilgilerine erişen, kullanan veya oluşturan tüm tedarikçilerle İş Ortaklığı Anlaşmaları imzalamasını gerektirir. BAA, iş ortağının PHI'yi korumak için uygun korumaları uygulayacağına dair "tatmin edici güvenceleri" içermelidir - özellikle 45 CFR 164.308, 164.310 ve 164.312'nin idari, fiziksel ve teknik koruma gereksinimleri.
"Tatmin edici güvenceler" standardı düzenlemede kesin bir şekilde tanımlanmamıştır. OCR uygulama kılavuzu, güvencelerin yalnızca sözleşmesel ifadeler değil, belgelenmiş kanıtlara dayanması gerektiğini belirtmektedir. Bir BAA imzalayan kapsanan bir varlık, iş ortağının gerekli korumaları gerçekten uyguladığını gösteren kanıt elde etmeden BAA imzalarsa, iş ortağı daha sonra BAA'yı ihlal ederse gerekli özeni gösteremeyebilir.
ISACA'nın 2024 birleşik kontrol çerçevesi analizi, ISO 27001 sertifikasının sağlık denetim tekrarlamasını %60 oranında azalttığını bulmuştur - bu, ISO 27001 kontrollerinin HIPAA'nın güvenlik gereksinimlerine ne ölçüde karşılık geldiğini yansıtmaktadır. Eşleştirme mükemmel değildir (HIPAA, ISO 27001'in ele almadığı sağlık hizmetlerine özgü gereksinimleri içerir), ancak BAA gerekli özeni sağlamak için gereken teknik ve organizasyonel korumaların çoğunu kapsar.
Kontrol Eşleştirmesi
ISO 27001 Ek A kontrolleri, HIPAA Güvenlik Kuralı gereksinimlerine üç koruma kategorisi üzerinden eşleştirilir:
İdari korumalar (164.308): ISO kontrolleri A.5 (bilgi güvenliği politikaları), A.6 (bilgi güvenliği organizasyonu), A.7 (insan kaynakları güvenliği), A.8 (varlık yönetimi) topluca HIPAA'nın güvenlik yönetim süreci, atanan güvenlik sorumluluğu, iş gücü güvenliği, bilgi erişim yönetimi, güvenlik farkındalığı ve acil durum planlaması gereksinimlerini ele alır.
Fiziksel korumalar (164.310): ISO kontrolleri A.11 (fiziksel ve çevresel güvenlik), tesis erişim kontrolleri, çalışma istasyonu güvenliği, cihaz ve medya kontrollerini ele alır.
Teknik korumalar (164.312): ISO kontrolleri A.9 (erişim kontrolü), A.10 (şifreleme), A.12 (işlemler güvenliği), A.13 (iletişim güvenliği) topluca erişim kontrolleri, denetim kontrolleri, bütünlük kontrolleri ve iletim güvenliğini ele alır.
Bölgesel Sağlık Sistemi Kullanım Durumu
Büyük bir bölgesel sağlık sisteminin uyum ofisi, PHI kimlik gizleme hizmetleri sağlayan bir iş ortağından mevcut BAA'ya göre "uygun korumaların" kanıtını talep ediyor. Uyum görevlisi, ISO 27001 sertifikasını ve kontrol özetini talep ediyor. Sertifika, kontrol geçiş belgesinde HIPAA 164.308, 164.310 ve 164.312 gereksinimlerine eşleştirilmiştir. Uyum görevlisi, BAA dosyasında tatmin edici güvenceleri belgeler - bu, özel bir 150 soruluk güvenlik değerlendirmesi gerektirmeden OCR denetim gereksinimlerini karşılayan kanıtı sağlar.
Kaynaklar: