Pada tahun 1996, Kongres AS mengeluarkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan - HIPAA - untuk mengatur bagaimana institusi perawatan kesehatan mengungkapkan informasi medis pasien. Departemen Kesehatan dan Layanan Kemanusiaan memantau bagaimana organisasi medis mematuhi hukum. Auditor menggunakan daftar periksa ketika menguji proses pencatatan data medis perusahaan.
Analisis dan Penilaian Risiko
HIPAA mensyaratkan bahwa semua organisasi medis - terutama lembaga yang terlibat dalam pengumpulan, retensi dan transfer informasi medis - melakukan sesi analisis risiko dan penilaian secara berkala. Auditor yang meninjau kepatuhan HIPAA memastikan bahwa semua unit bisnis memantau risiko yang dapat menyebabkan perusahaan mengalami kerugian karena pelanggaran data. Analisis risiko mengidentifikasi area perusahaan yang menjadi ancaman operasi utama untuk kepatuhan keamanan HIPAA. Penilaian risiko menentukan tingkat kerugian yang mungkin diderita suatu institusi jika terjadi serangan orang dalam atau orang luar.
Analisis Kesenjangan
Dalam terminologi HIPAA, analisis kesenjangan mengacu pada prosedur yang diperlukan untuk memetakan persyaratan keamanan ke infrastruktur keamanan organisasi medis yang ada. Dengan kata lain, auditor menganalisis pedoman peraturan dan membandingkannya dengan sistem keamanan perusahaan, memverifikasi apakah sistem ini mematuhi undang-undang. Analisis kesenjangan mengikuti empat langkah: identifikasi kesenjangan, penentuan kegiatan remediasi, penentuan prioritas proyek dan alokasi sumber daya. Setelah mengidentifikasi kelemahan keamanan, auditor memastikan bahwa kepala departemen memiliki solusi mitigasi di tempat. Kemudian pengulas memastikan kepala segmen mengalokasikan sumber daya yang cukup untuk proyek mitigasi.
Remediasi
Remediasi adalah item penting pada daftar periksa audit untuk HIPAA. Auditor mengandalkan arahan HHS untuk memastikan bahwa suatu organisasi memiliki sumber daya yang memadai untuk memperbaiki potensi pelanggaran keamanan. Alat teknologi tercanggih merupakan bagian integral dari prosedur remediasi. Alat-alat ini termasuk perangkat lunak manajemen hubungan pelanggan, aplikasi perencanaan sumber daya perusahaan, perangkat lunak rekayasa ulang proses dan perangkat lunak pelacakan cacat. Alat lain yang digunakan untuk memperbaiki potensi ancaman keamanan termasuk perangkat lunak kategorisasi atau klasifikasi, perangkat lunak penjadwalan dan penjadwalan, program manajemen hubungan pasien dan perangkat lunak manajemen proyek.
Perencanaan kontingensi
Perusahaan terlibat dalam perencanaan kontingensi untuk memastikan bahwa kegiatan perusahaan tidak dihentikan oleh keadaan darurat, kecelakaan atau gangguan operasi lainnya. Untuk mencegah kerugian substansial yang mungkin datang dengan penghentian operasional, perusahaan menggambar rencana kontinjensi, juga dikenal sebagai rencana kesinambungan bisnis. Auditor HIPAA memeriksa rencana kesinambungan bisnis organisasi medis untuk memastikan bahwa rencana tersebut mengatasi masalah operasi penting yang mungkin timbul dalam keadaan darurat. Secara khusus, auditor memverifikasi bagaimana perusahaan dapat memulihkan operasi di situs alternatif dan memulihkan operasi menggunakan peralatan alternatif, jika terjadi bencana.
Kebijakan Personil
Auditor HIPAA menyaring melalui kebijakan sumber daya manusia perusahaan untuk memastikan bahwa personel yang memelihara catatan medis memiliki pengetahuan teknis dan keterampilan yang sesuai untuk pekerjaan itu. Personel ini termasuk teknisi rekam medis, rekam medis, dan spesialis informasi kesehatan, juru tulis dan coder informasi medis, menurut O * Net Online, cabang riset pekerjaan Departemen Tenaga Kerja A.S.
