Nel 1996, il Congresso degli Stati Uniti ha approvato l'HIPAA (Health Insurance Portability and Accountability Act) per regolamentare in che modo le istituzioni sanitarie rivelano le informazioni mediche dei pazienti. Il Dipartimento della salute e dei servizi umani monitora il modo in cui le organizzazioni mediche rispettano la legge. I revisori dei conti utilizzano una lista di controllo quando verificano i processi di registrazione dei dati medici delle aziende.
Analisi e valutazione del rischio
L'HIPAA richiede che tutte le organizzazioni mediche - in particolare le istituzioni coinvolte nella raccolta, conservazione e trasferimento di informazioni mediche - conducano analisi periodiche del rischio e sessioni di valutazione. Un revisore che rivede la conformità HIPAA garantisce che tutte le unità aziendali monitorino i rischi che possono causare a un'impresa di subire perdite a causa di violazioni dei dati. L'analisi del rischio identifica le aree aziendali che presentano importanti minacce operative per la conformità alla sicurezza HIPAA. La valutazione del rischio determina l'entità delle perdite che un'istituzione può subire in caso di attacchi interni o esterni.
Analisi degli scostamenti
Nella terminologia HIPAA, l'analisi del gap si riferisce alle procedure necessarie per mappare i requisiti di sicurezza all'infrastruttura di sicurezza esistente di un'organizzazione medica. In altre parole, gli auditor analizzano le linee guida normative e le confrontano con i sistemi di sicurezza aziendali, verificando se questi sistemi rispettano l'atto. L'analisi delle divisioni segue quattro fasi: identificazione dei gap, determinazione delle attività di bonifica, prioritizzazione dei progetti e allocazione delle risorse. Dopo aver identificato i punti deboli della sicurezza, gli auditor assicurano che i responsabili dei dipartimenti dispongano di soluzioni attenuanti. Quindi i revisori si assicurano che i capi segmento destinino risorse sufficienti ai progetti di mitigazione.
Bonifica
La bonifica è un elemento importante in una checklist di audit per HIPAA. I revisori si affidano alle direttive HHS per garantire che un'organizzazione disponga di risorse adeguate per porre rimedio alle potenziali violazioni della sicurezza. Gli strumenti tecnologici all'avanguardia sono parte integrante delle procedure di riparazione. Questi strumenti includono software per la gestione delle relazioni con i clienti, applicazioni per la pianificazione delle risorse aziendali, software di re-engineering dei processi e software per il rilevamento dei difetti. Altri strumenti utilizzati per porre rimedio alle potenziali minacce alla sicurezza includono software di classificazione o classificazione, software di calendario e pianificazione, programmi di gestione delle relazioni con i pazienti e software di gestione dei progetti.
Pianificazione di emergenza
Le aziende si impegnano in piani di emergenza per garantire che le attività aziendali non siano bloccate da un'emergenza, da incidenti o da altre interruzioni operative. Per evitare le perdite sostanziali che potrebbero derivare da fermi operativi, le aziende disegnano piani di emergenza, noti anche come piani di continuità operativa. I revisori HIPAA controllano i piani di continuità operativa di un'organizzazione medica per garantire che i piani affrontino importanti problemi operativi che possono sorgere in caso di emergenza. Nello specifico, gli auditor verificano in che modo le aziende possono ripristinare le operazioni su un sito alternativo e ripristinare le operazioni utilizzando attrezzature alternative, in caso di disastro.
Politiche del personale
I revisori HIPAA passano attraverso le politiche delle risorse umane aziendali per garantire che il personale che conserva le cartelle cliniche possegga conoscenze tecniche e le competenze adeguate per il lavoro. Questi dipendenti includono tecnici dei record sanitari, cartelle cliniche e specialisti di informazioni sanitarie, impiegati di informazioni mediche e programmatori, secondo O * Net Online, il ramo di ricerca occupazionale del Dipartimento del lavoro degli Stati Uniti.
