1996-ban az Egyesült Államok kongresszusa elfogadta az egészségügyi biztosítási hordozhatósági és elszámoltathatósági törvényt - a HIPAA-t - annak szabályozása érdekében, hogy az egészségügyi intézmények hogyan tegyék közzé a betegek orvosi információit. Az Egészségügyi és Humánügyi Minisztérium figyelemmel kíséri, hogyan felelnek meg az egészségügyi szervezetek a törvényeknek. A könyvvizsgáló ellenőrző listát használ a vállalatok orvosi adatrögzítési folyamatainak vizsgálatakor.
Kockázatelemzés és értékelés
A HIPAA előírja, hogy minden orvosi szervezet - különösen az orvosi információk gyűjtésében, megőrzésében és továbbításában részt vevő intézmények - időszakos kockázatelemzést és értékelési üléseket tartson. A HIPAA-megfelelőséget ellenőrző könyvvizsgáló gondoskodik arról, hogy minden üzleti egység figyelemmel kíséri a kockázatokat, amelyek az adatszegések miatt veszteségeket okozhatnak. A kockázatelemzés meghatározza a HIPAA biztonsági megfelelés szempontjából jelentős működési veszélyt jelentő vállalati területeket. A kockázatértékelés meghatározza, hogy az intézmény milyen károkat szenvedhet bennfentes vagy kívülálló támadások esetén.
Gap elemzés
A HIPAA terminológiájában a szakadékelemzés olyan eljárásokra vonatkozik, amelyek szükségesek a biztonsági követelményeknek az orvosi szervezet meglévő biztonsági infrastruktúrájához való feltérképezéséhez. Más szavakkal, a könyvvizsgálók elemzik a szabályozási iránymutatásokat és összehasonlítják azokat a vállalati biztonsági rendszerekkel, ellenőrizve, hogy ezek a rendszerek betartják-e a törvényt. A hiányosságok elemzése négy lépésből áll: a szakadék azonosítása, a kármentesítési tevékenységek meghatározása, a projektek prioritása és az erőforrások elosztása. A biztonsági gyengeségek felismerése után az ellenőrök gondoskodnak arról, hogy az osztályvezetők enyhítő megoldásokkal rendelkezzenek. Ezután a recenzensek gondoskodnak arról, hogy a szegmensvezetők elegendő forrást rendeljenek az enyhítő projektekhez.
kármentesítési
A helyreállítás fontos elem a HIPAA ellenőrzési listájában. A könyvvizsgáló a HHS-irányelvekre támaszkodik annak biztosítása érdekében, hogy a szervezet megfelelő forrásokkal rendelkezzen a potenciális biztonsági megszegések orvoslásához. A korszerű technológiai eszközök szerves részét képezik a kármentesítési eljárásoknak. Ezek az eszközök magukban foglalják az ügyfélkapcsolat-kezelő szoftvert, a vállalati erőforrás-tervezési alkalmazásokat, a folyamatátalakító szoftvert és a hibakövető szoftvert. A potenciális biztonsági fenyegetések orvoslására szolgáló egyéb eszközök közé tartozik a kategorizálás vagy a besorolási szoftver, a naptár és ütemezési szoftver, a beteg kapcsolatok kezelési programjai és a projektmenedzsment szoftver.
Vészhelyzeti intézkedési tervek
A vállalatok készenléti terveket folytatnak annak biztosítására, hogy a vállalati tevékenységeket ne vészhelyzet, baleset vagy egyéb működési zavarok megakadályozzák. Annak érdekében, hogy megakadályozzák a jelentős veszteségeket, amelyek működési várakozással járhatnak, a vállalatok készenléti terveket készítenek, amelyeket üzleti folytonossági terveknek is neveznek. A HIPAA könyvvizsgálói ellenőrzik az orvosi szervezet üzleti folytonossági terveit annak biztosítása érdekében, hogy a tervek olyan fontos működési problémákat kezeljenek, amelyek vészhelyzet esetén felmerülhetnek. Konkrétan, a könyvvizsgálók ellenőrzik, hogy a vállalatok hogyan tudják helyreállítani a műveleteket egy másik helyszínen, és helyreállítani az alternatív berendezések használatával kapcsolatos műveleteket, ha katasztrófa támad.
Személyzeti politika
A HIPAA könyvvizsgálói a vállalati humánerőforrás-politikákon keresztül szitálják, hogy az orvosi feljegyzéseket végző személyzet rendelkezzen műszaki ismeretekkel és a megfelelő készségekkel. Ezek az alkalmazottak közé tartoznak az egészségügyi nyilvántartó szakemberek, az orvosi feljegyzések és az egészségügyi információs szakemberek, az orvosi információs ügyintézők és a kódolók, az O * Net Online, az Egyesült Államok Munkaügyi Minisztériumának szakmai kutatási ága szerint.