År 1996 godkände amerikanska kongressen lagen om hälso- och sjukvårdsförsörjning och ansvarsskyldighet - HIPAA - för att reglera hur sjukvårdsinstituten avslöjar patientens medicinska information. Avdelningen för hälsa och mänskliga tjänster övervakar hur medicinska organisationer följer lagen. Revisorer använder en checklista när de testar företags medicinska datainspelningsprocesser.
Riskanalys och bedömning
HIPAA kräver att alla medicinska organisationer - särskilt institutioner som är inblandade i insamling, retention och överföring av medicinsk information - utför periodisk riskanalys och utvärderingsmöten. En revisor som granskar HIPAA-efterlevnaden säkerställer att alla affärsenheter övervakar risker som kan leda till att ett företag får förluster på grund av överträdelser av uppgifter. Riskanalys identifierar företagsområden som utgör stora operativa hot mot HIPAAs säkerhetsöverensstämmelse. Riskbedömning bestämmer omfattningen av förluster som en institution kan drabbas av vid insider- eller utomståendeattacker.
Förklaring av skillnaden
I HIPAA-terminologi hänvisar gapanalys till förfaranden som är nödvändiga för att kartlägga säkerhetskrav till en medicinsk organisationens befintliga säkerhetsinfrastruktur. Med andra ord analyserar revisorerna regleringsriktlinjer och jämför dem med företagsäkerhetssystem, och kontrollerar om dessa system följer lagen. Gap-analysen följer fyra steg: klyftidentifiering, bestämning av saneringsaktiviteter, projektprioritering och resursallokering. Efter att ha identifierat säkerhetsbrister ser revisorerna att avdelningscheferna har förmildrande lösningar på plats. Då granskar servernscheferna tilldela tillräckliga resurser för att mildra projekt.
sanering
Avhjälpande är ett viktigt föremål på en revisionschecklista för HIPAA. Revisorer använder sig av HHS-direktiv för att säkerställa att en organisation har tillräckliga resurser för att avhjälpa potentiella säkerhetsbrott. De senaste tekniska verktygen är integrerade i saneringsprocedurer. Dessa verktyg inkluderar kundrelationshanteringsprogramvara, program för företagsresursplanering, processåterställningsteknik och defekspårningssoftware. Andra verktyg som används för att avhjälpa potentiella säkerhetshot är kategoriserings- eller klassificeringsprogram, kalender- och schemaläggningssoftware, program för hantering av patientrelationer och projekthanteringsprogram.
Beredskapsplanering
Företagen engagerar sig i beredskapsplanering för att säkerställa att företagsaktiviteter inte stoppas av en nödsituation, olycka eller andra driftsstörningar. För att förhindra de väsentliga förlusterna som kan komma med driftsstopp gör företagen beredskapsplaner, även kända som kontinuitetsplaner. HIPAA-revisorer kontrollerar en medicinsk organisationens kontinuitet planer för att se till att planerna adresserar viktiga operativa problem som kan uppstå i nödsituationer. I synnerhet kontrollerar revisorer hur företagen kan återställa operationer på en alternativ plats och återställa operationer med hjälp av alternativ utrustning, bör katastrofstrejk.
Personalpolitik
HIPAA-revisorer siktar genom företagets personalpolitik för att säkerställa att personalen upprätthåller journaler har teknisk kunskap och lämpliga färdigheter för jobbet. Den här personalen omfattar hälsokontrolltjänstemän, journaler och hälsoinformationsspecialister, medicinsk informationskonsulter och kodare, enligt O * Net Online, USA: s arbetsavdelning för yrkesforskning.
