HIPAA準拠を示すために、ベンダーにどのようなドキュメントを要求できますか
過去1年間、私が契約したいくつかのベンダーは、hipaaへの準拠を主張しています。私は彼らに彼らのコンプライアンスの文書を求めました、そして私は何も見たことがありません。第三者によって承認された監査、またはセキュリティ管理のステータスを示すチェックリストを期待します。あなたの襟などに縫い付けるメリットバッジがないことは知っていますが、ベンダーが彼らの言う通りであることを文書化する必要があります。私が彼らに求めることができる特定の何かがありますか?
私はあなたが期待することをあなたが提案したものを正確に尋ねます。監査レポートが理想的であり、実施されている統制をリストしたコンプライアンスポリシーで最低限十分です。
それがあなたのビジネスにとって非常に重要であるとあなたが考えるものであるならば、あなたが彼らと契約を結ぶことができる前に彼らがこの文書を提供することを彼らに要求させてください。
さらに、ドキュメントが何であるかに関係なく、コンプライアンスの監視と維持を担当する誰かと実際に話をしたいと思います。彼らに提供されたドキュメントを読んでもらい、あなたが持っている質問に答えてもらいます。そうすれば、彼らがコンプライアンスにどれだけ気を配っているか、どれだけの努力を払っているか、そしてどのように強力な制御を定義、実装、維持するための設備が整っています。ドキュメントは何でも言うことができます。しかし、責任者の言葉は、本当の話が語られる場所です。