În 1996, Congresul Statelor Unite a adoptat Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) pentru a reglementa modul în care instituțiile de îngrijire a sănătății dezvăluie informațiile medicale ale pacienților. Departamentul de Sănătate și Servicii Umane monitorizează modul în care organizațiile medicale respectă legea. Auditorii folosesc o listă de verificare atunci când testează procesele de înregistrare a datelor medicale ale companiilor.
Analiza și evaluarea riscurilor
HIPAA cere ca toate organizațiile medicale - în special instituțiile implicate în colectarea, păstrarea și transferul informațiilor medicale - să efectueze analize periodice de risc și sesiuni de evaluare. Un auditor care examinează conformitatea cu HIPAA asigură că toate unitățile comerciale monitorizează riscurile care pot determina o firmă să sufere pierderi din cauza încălcărilor datelor. Analiza riscurilor identifică zonele corporative care prezintă amenințări majore de operare pentru conformitatea cu cerințele HIPAA. Evaluarea riscului determină amploarea pierderilor pe care o instituție le-ar putea suferi în cazul atacurilor interne sau externe.
Analiza decalaj
În terminologia HIPAA, analiza decalajului se referă la procedurile necesare pentru a mapa cerințele de securitate la infrastructura de securitate a unei organizații medicale existente. Cu alte cuvinte, auditorii analizează orientările de reglementare și le compară cu sistemele de securitate corporative, verificând dacă aceste sisteme respectă actul. Analiza GAP urmărește patru etape: identificarea lacunelor, determinarea activităților de remediere, prioritizarea proiectelor și alocarea resurselor. După identificarea deficiențelor de securitate, auditorii se asigură că directorii departamentelor dispun de soluții atenuante. Apoi, recenzorii se asigură că șefii segmentului alocă resurse suficiente pentru proiectele de atenuare.
remedierea
Remedierea este un element important pe o listă de verificare a auditului pentru HIPAA. Auditorii se bazează pe directivele HHS pentru a se asigura că o organizație dispune de resurse adecvate pentru a remedia potențialele încălcări ale securității. Instrumentele tehnologice de ultimă oră sunt parte integrantă a procedurilor de remediere. Aceste instrumente includ software de management al relației cu clienții, aplicații de planificare a resurselor întreprinderii, software de re-engineering al proceselor și software de urmărire a defecțiunilor. Alte instrumente folosite pentru a remedia potențialele amenințări la adresa securității includ software de clasificare sau clasificare, software pentru calendar și programare, programe de gestionare a relațiilor cu pacienții și software de management de proiect.
Planificarea de urgență
Companiile se angajează în planificarea de urgență pentru a se asigura că activitățile corporative nu sunt oprite de o situație de urgență, accident sau alte întreruperi de funcționare. Pentru a preveni pierderile substanțiale care pot apărea cu stagnări operaționale, firmele elaborează planuri de urgență, cunoscute și sub denumirea de planuri de continuitate a activității. Auditorii HIPAA verifică planurile de continuitate a afacerii unei organizații medicale pentru a se asigura că planurile abordează probleme importante de operare care pot apărea în situații de urgență. Concret, auditorii verifică modul în care companiile ar putea restabili operațiunile la un sit alternativ și ar putea recupera operațiunile utilizând echipamente alternative, în caz de dezastru.
Politici de personal
Auditorii HIPAA analizează politicile corporatiste privind resursele umane pentru a se asigura că personalul care păstrează înregistrările medicale posedă cunoștințe tehnice și abilități adecvate pentru locul de muncă. Acest personal include tehnicieni din domeniul sănătății, înregistrări medicale și specialiști în domeniul sănătății, grefieri și coderi de informații medicale, potrivit O * Net Online, sucursala Departamentului Muncii din SUA.