W 1996 r. Kongres USA uchwalił Ustawę o Przenoszalności i Odpowiedzialności Ubezpieczenia Zdrowotnego - HIPAA - w celu uregulowania sposobu, w jaki placówki służby zdrowia ujawniają informacje medyczne pacjentów. Departament Zdrowia i Opieki Społecznej monitoruje, w jaki sposób organizacje medyczne przestrzegają prawa. Audytorzy używają listy kontrolnej podczas testowania procesów rejestracji danych medycznych firm.
Analiza i ocena ryzyka
HIPAA wymaga, aby wszystkie organizacje medyczne - w szczególności instytucje zajmujące się gromadzeniem, zatrzymywaniem i przekazywaniem informacji medycznych - przeprowadzały okresowe analizy i oceny ryzyka. Audytor dokonujący przeglądu zgodności z HIPAA zapewnia, że wszystkie jednostki biznesowe monitorują ryzyko, które może spowodować poniesienie przez firmę strat z powodu naruszenia danych. Analiza ryzyka identyfikuje obszary korporacyjne stwarzające poważne zagrożenia operacyjne dla zgodności z HIPAA. Ocena ryzyka określa zakres strat, jakie instytucja może ponieść w przypadku ataków wewnętrznych lub zewnętrznych.
Analiza luki
W terminologii HIPAA analiza luk dotyczy procedur niezbędnych do odwzorowania wymogów bezpieczeństwa na istniejącą infrastrukturę bezpieczeństwa organizacji medycznej. Innymi słowy, audytorzy analizują wytyczne regulacyjne i porównują je z korporacyjnymi systemami bezpieczeństwa, sprawdzając, czy te systemy przestrzegają ustawy. Analiza luki przebiega w czterech krokach: identyfikacja luki, określanie działań naprawczych, priorytetyzacja projektów i alokacja zasobów. Po zidentyfikowaniu słabości zabezpieczeń audytorzy upewniają się, że szefowie działów wprowadzają rozwiązania łagodzące. Następnie recenzenci upewniają się, że szefowie segmentów przeznaczają wystarczające zasoby na projekty łagodzące.
Remediacja
Remediacja jest ważną pozycją na liście kontrolnej audytu dla HIPAA. Audytorzy polegają na dyrektywach HHS, aby upewnić się, że organizacja dysponuje odpowiednimi zasobami, aby zaradzić potencjalnym naruszeniom bezpieczeństwa. Najnowocześniejsze narzędzia technologiczne są integralną częścią procedur naprawczych. Narzędzia te obejmują oprogramowanie do zarządzania relacjami z klientami, aplikacje do planowania zasobów przedsiębiorstwa, oprogramowanie do przeprojektowywania procesów oraz oprogramowanie do śledzenia usterek. Inne narzędzia stosowane w celu naprawienia potencjalnych zagrożeń bezpieczeństwa obejmują oprogramowanie kategoryzacyjne lub klasyfikacyjne, oprogramowanie kalendarzowe i harmonogramujące, programy zarządzania relacjami z pacjentami oraz oprogramowanie do zarządzania projektami.
Planowanie awaryjne
Firmy angażują się w planowanie awaryjne, aby zapewnić, że działalność korporacyjna nie zostanie zatrzymana w wyniku awarii, wypadku lub innych zakłóceń w działaniu. Aby zapobiec znacznym stratom, które mogą wyniknąć z przestojów operacyjnych, firmy sporządzają plany awaryjne, zwane również planami ciągłości działania. Audytorzy HIPAA sprawdzają plany ciągłości działania organizacji medycznej, aby upewnić się, że plany dotyczą ważnych problemów operacyjnych, które mogą powstać w sytuacjach awaryjnych. W szczególności, audytorzy sprawdzają, w jaki sposób firmy mogłyby przywrócić operacje w alternatywnej lokalizacji i odzyskać operacje przy użyciu alternatywnego sprzętu, w przypadku wystąpienia awarii.
Polityki personalne
Audytorzy HIPAA przeglądają korporacyjne strategie zarządzania zasobami ludzkimi, aby zapewnić, że personel przechowujący dokumentację medyczną posiada wiedzę techniczną i odpowiednie umiejętności potrzebne do wykonywania pracy. Według O * Net Online, działu badań zawodowych Departamentu Pracy USA, personel ten obejmuje specjalistów od dokumentacji medycznej, dokumentację medyczną i specjalistów ds. Informacji na temat zdrowia, urzędników ds. Informacji medycznych i koderów.
