El 1996, el Congrés dels EUA va aprovar la Llei de Responsabilitat i Portabilitat de l'Assegurança de Salut (HIPAA) per regular com les institucions sanitàries revelen la informació mèdica dels pacients. El Departament de Salut i Serveis Humans monitoritza com les organitzacions mèdiques compleixen amb la llei. Els auditors utilitzen una llista de verificació en provar els processos d'enregistrament de dades mèdiques de les empreses.
Anàlisi i Avaluació de Riscos
HIPAA requereix que totes les organitzacions mèdiques, especialment les institucions implicades en la recollida, retenció i transferència d'informació mèdica, realitzen anàlisis periòdics de riscos i sessions d'avaluació. Un auditor que revisa el compliment de HIPAA assegura que totes les unitats de negoci supervisen els riscos que poden provocar que una empresa pugui patir pèrdues per incompliment de dades. L'anàlisi de risc identifica àrees corporatives que representen amenaces operatives importants per al compliment de la seguretat HIPAA. L'avaluació de risc determina l'extensió de les pèrdues que una institució pot patir en cas d'atacs externs o externs.
Anàlisi de les deficiències
En la terminologia HIPAA, l'anàlisi de bretxes fa referència als procediments necessaris per assignar requisits de seguretat a la infraestructura de seguretat existent d'una organització mèdica. En altres paraules, els auditors analitzen les directrius reguladores i les comparen amb els sistemes de seguretat corporatius, verificant si aquests sistemes compleixen l'acte. L'anàlisi de bretxa segueix quatre passos: identificació de bretxes, determinació de les activitats de remediació, priorització de projectes i assignació de recursos. Després d'identificar les debilitats de seguretat, els auditors asseguren que els caps de departament tenen solucions mitigadores al seu lloc. A continuació, els avaluadors asseguren que els caps del segment assignen recursos suficients als projectes de mitigació.
Remediació
La remediació és un element important en una llista de comprovació d'auditoria per HIPAA. Els auditors depenen de les directives de l'HHS per garantir que una organització tingui els recursos adequats disponibles per solucionar possibles incompliment de la seguretat. Les eines tecnològiques d'avantguarda són integrants dels procediments de remediació. Aquestes eines inclouen programari de gestió de relacions amb clients, aplicacions de planificació de recursos empresarials, programari de reenginyeria de processos i programari de seguiment d'errors. Altres eines utilitzades per solucionar possibles amenaces de seguretat inclouen programari de classificació o classificació, programari de calendari i programació, programes de gestió de relacions amb pacients i programari de gestió de projectes.
Planificació de contingències
Les empreses participen en la planificació de contingències per garantir que les activitats corporatives no s'aturin per una emergència, accident o altres interrupcions operatives. Per evitar les pèrdues substancials que es puguin produir amb estancaments operatius, les empreses elaboren plans de contingència, també coneguts com a plans de continuïtat de negoci. Els auditors de HIPAA revisen els plans de continuïtat comercial d'una organització mèdica per garantir que els plans tractin qüestions operatives importants que puguin sorgir en situacions d'emergència. Concretament, els auditors verifiquen com les empreses podrien restablir operacions en un lloc alternatiu i recuperar operacions amb equips alternatius, en cas de desastre.
Polítiques de personal
Els auditors de HIPAA filtren les polítiques corporatives de recursos humans per garantir que el personal que mantingui registres mèdics tingui coneixements tècnics i les habilitats adequades per a la feina. Aquest personal inclou tècnics de registres de salut, registres mèdics i especialistes en informació sanitària, oficines d'informació mèdica i codificadors, d'acord amb O * Net Online, la branca de recerca ocupacional del Departament de Treball dels EUA.
