I 1996 bestod den amerikanske kongres af Health Insurance Portability and Accountability Act - HIPAA - for at regulere, hvordan sundhedsinstitutionerne afslører patienters medicinske oplysninger. Sundhedsministeriet overvåger, hvordan medicinske organisationer overholder loven. Revisorer bruger en tjekliste, når de tester virksomheders medicinske dataoptagelsesprocesser.
Risikovurdering og vurdering
HIPAA kræver, at alle medicinske organisationer - især institutioner, der er involveret i indsamling, opbevaring og overførsel af medicinsk information - udfører periodisk risikoanalyse og evalueringssessioner. En revisor, der gennemgår HIPAA-overholdelse, sikrer, at alle forretningsenheder overvåger risici, der kan få en virksomhed til at pådrage tab som følge af brud på data. Risikoanalyse identificerer virksomhedsområder, der udgør store driftsrisici for HIPAA-sikkerhedsoverensstemmelse. Risikovurdering bestemmer omfanget af tab, som en institution kan lide i tilfælde af insider- eller outsider-angreb.
Gap-analyse
I HIPAA-terminologi refererer gapanalyse til procedurer, der er nødvendige for at kortlægge sikkerhedskrav til en medicinsk organisations eksisterende sikkerhedsinfrastruktur. Med andre ord analyserer revisorer lovgivningsmæssige retningslinjer og sammenligner dem med virksomhedernes sikkerhedssystemer, og kontrollerer, om disse systemer overholder loven. Gap-analyse følger fire trin: Gapidentifikation, bestemmelse af afhjælpningsaktiviteter, projektprioritering og ressourceallokering. Efter at have identificeret sikkerhedssvagheder sikrer revisorerne, at afdelingslederne har afbødende løsninger. Så korrekturlæsere sørger for, at segmentchefne tildeler tilstrækkelige ressourcer til at begrænse projekter.
Oprydning
Afhjælpning er et vigtigt emne på en revisionscheckliste for HIPAA. Revisorer er afhængige af HHS-direktiver for at sikre, at en organisation har tilstrækkelige ressourcer til at afhjælpe potentielle sikkerhedsbrud. De nyeste teknologiske værktøjer er integreret i afhjælpningsprocedurer. Disse værktøjer omfatter software til kundeforvaltning, applikationsprogrammer for virksomhedens ressourcer, procesrekonstruktion og fejlsporingssoftware. Andre værktøjer, der bruges til at afhjælpe potentielle sikkerhedstrusler, omfatter kategoriserings- eller klassifikationssoftware, kalender- og planlægningsprogrammer, patientrelationsstyringsprogrammer og projektstyringssoftware.
Beredskabsplanlægning
Virksomheder engagerer sig i beredskabsplanlægning for at sikre, at virksomhedens aktiviteter ikke stoppes af en nødsituation, ulykke eller andre driftsforstyrrelser. For at forhindre de betydelige tab, der kan komme med driftsstop, tegner virksomhederne beredskabsplaner, også kendt som kontinuitetsplaner. HIPAA-revisorer kontrollerer en medicinsk organisations forretningsplaner for at sikre, at planerne løser vigtige driftsproblemer, der måtte opstå i nødsituationer. Specielt revisorer verificerer, hvordan virksomheder kan gendanne operationer på et alternativt sted og genvinde operationer ved hjælp af alternativt udstyr, hvis katastrofe strejker.
Personalepolitikker
HIPAA-revisorer siver gennem virksomhedernes personalepolitikker for at sikre, at personale, der opretholder lægejournaler, har teknisk viden og passende kvalifikationer til jobbet. Disse personale omfatter sundhed rekord teknikere, lægejournaler og sundhed information specialister, medicinske information clerks og coders, ifølge O * Net Online, US Department of Labor's erhvervskrævende afdeling.
