V roce 1996 Kongres USA schválil zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA), který upravuje, jak zdravotnické instituce zveřejňují lékařské informace pacientů. Ministerstvo zdravotnictví a lidských služeb sleduje, jak zdravotnické organizace dodržují zákon. Auditoři používají kontrolní seznam při testování procesů zaznamenávání lékařských dat společností.
Analýza a hodnocení rizik
HIPAA vyžaduje, aby všechny zdravotnické organizace - zejména instituce zapojené do shromažďování, uchovávání a předávání lékařských informací - prováděly pravidelné analýzy a posuzování rizik. Auditor, který kontroluje dodržování předpisů HIPAA, zajišťuje, aby všechny obchodní jednotky sledovaly rizika, která mohou způsobit ztrátu společnosti v důsledku narušení dat. Analýza rizik identifikuje firemní oblasti, které představují hlavní provozní hrozby pro dodržování bezpečnosti HIPAA. Posouzení rizik určuje rozsah ztrát, které může instituce utrpět v případě útoků typu insider nebo outsider.
Analýza mezery
V terminologii HIPAA se analýza mezery vztahuje na postupy potřebné k mapování bezpečnostních požadavků na stávající bezpečnostní infrastrukturu lékařské organizace. Jinými slovy, auditoři analyzují regulační pokyny a porovnávají je s firemní bezpečnostní systémy a ověřují, zda tyto systémy dodržují zákon. Rozptylová analýza vychází ze čtyř kroků: identifikace mezery, určení nápravných činností, prioritizace projektů a přidělování zdrojů. Po zjištění nedostatků v bezpečnosti auditoré zajistí, že vedoucí oddělení mají zavedená řešení pro zmírnění jejich dopadů. Následovníci se ujistí, že vedoucí segmentů přidělí dostatečné zdroje na projekty zaměřené na zmírnění dopadů.
Náprava
Ozdravení je důležitou položkou na kontrolním seznamu auditu pro HIPAA. Auditoři se spoléhají na směrnice HHS, aby zajistily, že organizace bude mít k dispozici dostatečné prostředky k nápravě případných porušení bezpečnosti. Nejmodernější technologické nástroje jsou nedílnou součástí sanačních postupů. Mezi tyto nástroje patří software pro správu vztahů se zákazníky, aplikace pro plánování podnikových zdrojů, software pro reengineering procesů a software pro sledování závad. Další nástroje používané k nápravě potenciálních bezpečnostních hrozeb zahrnují kategorizační nebo klasifikační software, kalendářový a plánovací software, programy řízení vztahů s pacienty a software pro správu projektů.
Plánování nepředvídaných událostí
Společnosti se zabývají plánováním nepředvídatelných událostí, aby zajistily, že činnosti společnosti nebudou zastaveny v případě nouze, nehody nebo jiných provozních poruch. Aby se zabránilo podstatným ztrátám, které mohou vzniknout při operačním odkladu, firmy vypracují pohotovostní plány, známé také jako plány nepřetržitého provozu. Auditoři společnosti HIPAA kontrolují plány nepřetržitého provozu lékařské organizace, aby zajistily, že se plány zabývají důležitými provozními problémy, které mohou vzniknout při mimořádných událostech. Konkrétně auditoři ověřují, jak by společnosti mohly obnovit provoz na alternativní lokalitě a obnovit provoz pomocí alternativních zařízení, pokud by došlo k katastrofě.
Personální politika
Auditoři společnosti HIPAA procházejí firemními politikami v oblasti lidských zdrojů, aby zajistili, že pracovníci, kteří vedou lékařské záznamy, budou mít technické znalosti a odpovídající dovednosti pro danou práci. Tito pracovníci zahrnují techniků zdravotních záznamů, lékařských záznamů a odborníků na zdravotnické informace, lékařské informační úředníky a kodéry, podle organizace O * Net Online, odboru pracovního výzkumu ministerstva práce USA.
