İş Ortağı Sözleşmesindeki 'Yeterli Güvenceler' Şartı
HIPAA Gizlilik Kuralı açık bir yükümlülük getiriyor. Kapsam dahilindeki kuruluşların İş Ortağı Sözleşmeleri (BAA) imzalaması zorunlu. BAA, korumalı sağlık bilgisi (PHI) işleyen her iş ortağı için gerekli. Her sözleşme "yeterli güvenceler" içermeli. Bu güvenceler, iş ortağının doğru kontrollere sahip olduğunu kanıtlamalıdır. Temel kurallar 45 CFR 164.308, 164.310 ve 164.312'de yer alıyor.
"Yeterli güvenceler" kavramı yasada kesin biçimde tanımlanmamış. Ancak OCR rehberliği tek bir şeyi net kılıyor: güvenceler gerçek, belgelenmiş kanıtlara dayanmalıdır. Bir iş ortağının fiili kontrollerini denetlemeden BAA imzalayan bir hastane, gerekli özeni gösterdiğini ispatlayamaz. O iş ortağında sonradan bir ihlal yaşanırsa hastane ciddi bir sorunla karşı karşıya kalır.
ISO 27001 bu noktada devreye giriyor. Sertifika, HIPAA'nın kontrol gereksinimlerinin büyük bölümüyle örtüşüyor. Örtüşme tam değil — HIPAA'nın ISO 27001'in kapsamadığı sağlık sektörüne özgü kuralları var. Ama çakışma alanı, BAA'daki özen denetimlerinin büyük çoğunluğunu karşılamaya yetiyor.
Kontrol Eşleştirmesi
ISO 27001 Ek A kontrolleri, HIPAA'nın üç güvence grubuyla tam örtüşüyor.
İdari güvenceler (164.308): A.5'ten A.8'e kadar olan kontroller; politikaları, rolleri, personel kurallarını ve varlık takibini kapsıyor. HIPAA'nın resmi program, atanmış roller, iş gücü kuralları ve yedekleme planlarına ilişkin gereksinimlerini karşılıyor.
Fiziksel güvenceler (164.310): A.11 kontrolü, fiziksel ve tesis korumalarını kapsıyor. Tesis erişimi, iş istasyonu kullanımı ve cihaz kontrollerine eşleniyor.
Teknik güvenceler (164.312): A.9, A.10, A.12 ve A.13 kontrolleri; erişim, şifreleme ve operasyonları kapsıyor. HIPAA'nın denetim, bütünlük ve veri aktarım gereksinimlerine eşleniyor.
Sağlık Uyumu: Bir Kullanım Örneği
Bölgesel bir sağlık sistemi iş ortağı denetimlerini yeniliyor. Uyum ekibi, kimlik gizleme firmasından "uygun güvencelere" ilişkin kanıt talep ediyor. Firma, ISO 27001 sertifikasını ve her ISO kontrolünü ilgili HIPAA bölümüne — 164.308, 164.310 ve 164.312'ye — bağlayan bir kontrol çapraz tablosunu gönderiyor.
Uyum sorumlusu bunu BAA dosyasına kaydediyor. Bu kayıt, OCR denetim gereksinimlerini karşılıyor. 150 soruluk özel bir kontrol listesine gerek kalmıyor.
Özetle, ISO 27001 kapsam dahilindeki kuruluşlara BAA özen denetimleri için sağlam, hazır bir kanıt tabanı sunuyor. anonym.legal'in bu gereksinimleri nasıl karşıladığını güvenlik ve uyum sayfasında ve hukuki uyum belgelerinde inceleyebilirsiniz.