I 1996 vedtok den amerikanske kongressen hivsforsikringsportabilitets- og ansvarighetsloven - HIPAA - å regulere hvordan helseinstitusjoner avslører pasientens medisinske opplysninger. Institutt for helse og menneskelige tjenester overvåker hvordan medisinske organisasjoner overholder loven. Revisorer bruker en sjekkliste når de tester selskapers medisinske dataopptaksprosesser.
Risikoanalyse og vurdering
HIPAA krever at alle medisinske organisasjoner - spesielt institusjoner som er involvert i innsamling, oppbevaring og overføring av medisinsk informasjon - gjennomfører periodisk risikoanalyse og evalueringssess. En revisor som gjennomgår HIPAA-overholdelse sikrer at alle forretningsenheter overvåker risikoer som kan føre til at et firma påtar seg tap som skyldes brudd på data. Risikoanalyse identifiserer virksomhetsområder som utgjør store operasjonstrusler for HIPAAs sikkerhetsoverensstemmelse. Risikovurdering bestemmer omfanget av tap som en institusjon kan lide i tilfelle innsidere eller utenforstående angrep.
Gap Analyse
I HIPAA-terminologi refererer gapanalyse til prosedyrer som er nødvendige for å kartlegge sikkerhetskrav til en medisinsk organisasjons eksisterende sikkerhetsinfrastruktur. Med andre ord analyserer revisorer forskriftsmessige retningslinjer og sammenligner dem med bedriftens sikkerhetssystemer, og kontrollerer om disse systemene overholder loven. Gap-analyse følger fire trinn: gapidentifikasjon, fastsettelse av avhjelpsaktiviteter, prosjektprioritering og ressursallokering. Etter å ha identifisert sikkerhetssvakheter, sørger revisorene for at avdelingshofer har lindrende løsninger på plass. Så korrekturleserne sørger for at sjefsansvarlige tildeler tilstrekkelige ressurser til å begrense prosjekter.
Remediation
Rettelse er et viktig element i en revisjons sjekkliste for HIPAA. Revisorene stole på HHS-direktiver for å sikre at en organisasjon har tilstrekkelige ressurser på plass for å avhjelpe potensielle sikkerhetsbrudd. De nyeste teknologiske verktøyene er integrert i rensingsprosedyrer. Disse verktøyene inkluderer programvare for kundeforholdshåndtering, applikasjoner for ressursplanlegging, prosessrekonstruksjonsprogramvare og programvare for feilsporing. Andre verktøy som brukes til å avhjelpe potensielle sikkerhetstrusler inkluderer kategoriserings- eller klassifikasjonsprogramvare, kalender- og planleggingsprogramvare, styringsprogrammer for pasientrelasjoner og prosjektstyringsprogramvare.
Beredskapsplanlegging
Bedrifter engasjerer seg i beredskapsplanlegging for å sikre at bedriftens aktiviteter ikke stoppes av en nødsituasjon, ulykke eller andre driftsforstyrrelser. For å forhindre de betydelige tapene som kan komme med driftsstans, tegner firmaer beredskapsplaner, også kjent som kontinuitetsplaner. HIPAA-revisorer sjekker en medisinsk organisasjons forretningsplaner for å sikre at planene adresserer viktige operasjonsproblemer som kan oppstå i nødstilfeller. Spesielt revisorer verifiserer hvordan selskaper kan gjenopprette operasjoner på et alternativt nettsted og gjenopprette operasjoner ved hjelp av alternativt utstyr, bør katastrofe streik.
Personalepolitikk
HIPAA-revisorer siver gjennom bedriftens menneskelige ressurser for å sikre at personell som opprettholder journaler har teknisk kunnskap og passende ferdigheter for jobben. Disse personellene inkluderer helsepostteknikere, medisinske journaler og helsepersonell, medisinske informatører og kodere, ifølge O * Net Online, US Department of Labor's yrkesforskningsavdeling.