In 1996 keurde het Amerikaanse Congres de Health Insurance Portability and Accountability Act - HIPAA - goed om te regelen hoe zorginstellingen de medische informatie van patiënten onthullen. Het ministerie van Volksgezondheid en Human Services controleert hoe medische organisaties zich aan de wet houden. Auditors gebruiken een checklist bij het testen van de registratieprocedures voor medische gegevens van bedrijven.
Risicoanalyse en beoordeling
HIPAA vereist dat alle medische organisaties - met name instellingen die betrokken zijn bij het verzamelen, bewaren en overbrengen van medische informatie - periodieke risico-analyse- en beoordelingssessies uitvoeren. Een auditor die HIPAA-compliance evalueert, zorgt ervoor dat alle bedrijfsonderdelen risico's bewaken die ertoe kunnen leiden dat een bedrijf verliezen oploopt als gevolg van datalekken. Risico-analyse identificeert bedrijfsgebieden die grote operationele bedreigingen vormen voor naleving van HIPAA-beveiliging. Risicobeoordeling bepaalt de omvang van verliezen die een instelling kan lijden in geval van insider- of outsideraanvallen.
Gap-analyse
In de HIPAA-terminologie verwijst gap-analyse naar procedures die nodig zijn om beveiligingsvereisten in kaart te brengen in de bestaande beveiligingsinfrastructuur van een medische organisatie. Met andere woorden, auditors analyseren regelgevingsrichtlijnen en vergelijken deze met bedrijfsbeveiligingssystemen, waarbij wordt nagegaan of deze systemen zich aan de wet houden. Kloofanalyse volgt vier stappen: gap-identificatie, bepaling van herstelactiviteiten, projectprioritering en toewijzing van middelen. Na het identificeren van zwakke punten in de beveiliging, zorgen auditors ervoor dat afdelingshoofden oplossingen voor verzachting op hun plaats hebben. Vervolgens zorgen recensenten ervoor dat segmentleiders voldoende middelen toewijzen aan mitigatieprojecten.
Remediation
Sanering is een belangrijk item op een auditchecklist voor HIPAA. Auditors vertrouwen op HHS-richtlijnen om ervoor te zorgen dat een organisatie over voldoende middelen beschikt om potentiële beveiligingsinbreuken te verhelpen. State-of-the-art technologische hulpmiddelen zijn een integraal onderdeel van saneringsprocedures. Deze hulpmiddelen omvatten software voor het beheer van klantrelaties, enterprise resource planning-applicaties, software voor het opnieuw verwerken van processen en software voor het volgen van fouten. Andere hulpmiddelen die worden gebruikt om mogelijke beveiligingsrisico's te verhelpen, zijn onder meer categorisatie- of classificatiesoftware, agenda- en planningssoftware, programma's voor beheer van patiëntrelaties en projectbeheersoftware.
Noodplanning
Bedrijven houden zich bezig met noodplanning om ervoor te zorgen dat bedrijfsactiviteiten niet worden gestopt door een noodgeval, een ongeval of andere bedrijfsstoringen. Om de aanzienlijke verliezen te voorkomen die kunnen optreden bij operationele stilstand, trekken bedrijven noodplannen, ook wel bedrijfscontinuïteitsplannen genoemd. HIPAA-auditors controleren de bedrijfscontinuïteitsplannen van een medische organisatie om ervoor te zorgen dat de plannen belangrijke operationele problemen aanpakken die zich kunnen voordoen in noodsituaties. Concreet controleren auditors hoe bedrijven bewerkingen op een andere site kunnen herstellen en bewerkingen kunnen herstellen met behulp van alternatieve apparatuur, mocht er een ramp plaatsvinden.
Personeelsbeleid
HIPAA-auditors doorzoeken het personeelsbeleid van bedrijven om ervoor te zorgen dat personeel dat medische dossiers bijhoudt beschikt over technische kennis en de juiste vaardigheden voor het werk. Dit personeel omvat medisch record technici, medische dossiers en gezondheidsinformatiespecialisten, medische informatie klerken en codeerders, volgens O * Net Online, de afdeling arbeidsonderzoek van het Amerikaanse ministerie van arbeid.