Το 1996, το Κογκρέσο των ΗΠΑ ενέκρινε τον νόμο περί φορητότητας και λογοδοσίας για ασφάλειες υγείας - HIPAA - για να ρυθμίσει τον τρόπο με τον οποίο τα ιδρύματα υγείας αποκαλύπτουν τις ιατρικές πληροφορίες των ασθενών. Το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών παρακολουθεί τον τρόπο με τον οποίο οι ιατρικές οργανώσεις συμμορφώνονται με το νόμο. Οι ελεγκτές χρησιμοποιούν μια λίστα ελέγχου κατά την εξέταση των διαδικασιών καταγραφής ιατρικών δεδομένων των εταιρειών.
Ανάλυση και εκτίμηση κινδύνων
Η HIPAA απαιτεί όλες οι ιατρικές οργανώσεις - ειδικά ιδρύματα που εμπλέκονται στη συλλογή, διατήρηση και μεταφορά ιατρικών πληροφοριών - να διεξάγουν περιοδικές αναλύσεις κινδύνου και συνεδρίες αξιολόγησης. Ένας ελεγκτής που ελέγχει τη συμμόρφωση με το HIPAA διασφαλίζει ότι όλες οι επιχειρησιακές μονάδες παρακολουθούν τους κινδύνους που μπορεί να αναγκάσουν μια επιχείρηση να υποστεί απώλειες λόγω παραβιάσεων δεδομένων. Η ανάλυση κινδύνου εντοπίζει τους εταιρικούς τομείς που δημιουργούν σημαντικές απειλές λειτουργίας για τη συμμόρφωση με την ασφάλεια της HIPAA. Η αξιολόγηση των κινδύνων καθορίζει την έκταση των ζημιών που μπορεί να υποστεί ένα ίδρυμα σε περίπτωση προσβολών εσωτερικών ή εξωτερικών.
Ανάλυση κενού
Στην ορολογία της HIPAA, η ανάλυση κενών αναφέρεται στις διαδικασίες που απαιτούνται για να χαρτογραφηθούν οι απαιτήσεις ασφαλείας στην υπάρχουσα υποδομή ασφάλειας ενός ιατρικού οργανισμού. Με άλλα λόγια, οι ελεγκτές αναλύουν τις κανονιστικές οδηγίες και τις συγκρίνουν με τα συστήματα εταιρικής ασφάλειας, ελέγχοντας εάν τα συστήματα συμμορφώνονται με την πράξη. Η ανάλυση κενών ακολουθεί τέσσερα βήματα: προσδιορισμός κενών, προσδιορισμός των δραστηριοτήτων αποκατάστασης, ιεράρχηση έργων και κατανομή πόρων. Μετά τον εντοπισμό των αδυναμιών ασφαλείας, οι ελεγκτές εξασφαλίζουν ότι οι επικεφαλής των υπηρεσιών έχουν εφαρμόσει λύσεις μετριασμού. Στη συνέχεια, οι αναθεωρητές διασφαλίζουν ότι οι υπεύθυνοι τμήματος κατανέμουν επαρκείς πόρους για έργα μετριασμού.
Αποκατάσταση
Η αποκατάσταση είναι ένα σημαντικό στοιχείο σε μια λίστα ελέγχου του HIPAA. Οι ελεγκτές βασίζονται στις οδηγίες HHS για να εξασφαλίσουν ότι ένας οργανισμός διαθέτει επαρκείς πόρους για την αντιμετώπιση πιθανών παραβιάσεων της ασφάλειας. Τα πλέον σύγχρονα τεχνολογικά εργαλεία αποτελούν αναπόσπαστο μέρος των διαδικασιών αποκατάστασης. Αυτά τα εργαλεία περιλαμβάνουν το λογισμικό διαχείρισης πελατειακών σχέσεων, τις εφαρμογές προγραμματισμού των επιχειρησιακών πόρων, το λογισμικό ανασχεδιασμού διεργασιών και το λογισμικό ανίχνευσης ελαττωμάτων. Άλλα εργαλεία που χρησιμοποιούνται για την αντιμετώπιση πιθανών απειλών ασφάλειας περιλαμβάνουν το λογισμικό κατηγοριοποίησης ή ταξινόμησης, το λογισμικό ημερολογίου και προγραμματισμού, τα προγράμματα διαχείρισης σχέσεων ασθενών και το λογισμικό διαχείρισης έργων.
Σχεδιασμός έκτακτης ανάγκης
Οι εταιρείες συμμετέχουν σε προγραμματισμό έκτακτης ανάγκης για να διασφαλίσουν ότι οι εταιρικές δραστηριότητες δεν θα σταματήσουν λόγω έκτακτης ανάγκης, ατυχήματος ή άλλων διακοπών λειτουργίας. Προκειμένου να αποφευχθούν οι σημαντικές απώλειες που ενδέχεται να προκύψουν με στάσεις λειτουργίας, οι επιχειρήσεις καταρτίζουν σχέδια έκτακτης ανάγκης, γνωστά και ως σχέδια συνέχισης των επιχειρήσεων. Οι ελεγκτές του HIPAA ελέγχουν τα σχέδια συνέχειας της ιατρικής οργάνωσης για να εξασφαλίσουν ότι τα σχέδια αντιμετωπίζουν σημαντικά λειτουργικά ζητήματα που ενδέχεται να προκύψουν σε καταστάσεις έκτακτης ανάγκης. Συγκεκριμένα, οι ελεγκτές ελέγχουν τον τρόπο με τον οποίο οι επιχειρήσεις θα μπορούσαν να αποκαταστήσουν τις εργασίες σε έναν εναλλακτικό ιστότοπο και να ανακτήσουν λειτουργίες χρησιμοποιώντας εναλλακτικό εξοπλισμό, σε περίπτωση καταστροφής.
Πολιτικές προσωπικού
Οι ελεγκτές της HIPAA εξετάζουν τις πολιτικές των εταιρικών ανθρώπινων πόρων για να διασφαλίσουν ότι το προσωπικό που διατηρεί τα ιατρικά αρχεία διαθέτει τεχνικές γνώσεις και τις κατάλληλες δεξιότητες για την εργασία. Το προσωπικό αυτό περιλαμβάνει τεχνικούς ιατρικών αρχείων, ιατρικούς φακέλους και ειδικούς σε θέματα υγείας, γραμματείς ιατρικών πληροφοριών και κωδικοποιητές, σύμφωνα με το O * Net Online, το υποκατάστημα επαγγελματικής έρευνας του Υπουργείου Εργασίας των ΗΠΑ.
