Em 1996, o Congresso dos EUA aprovou a Lei de Portabilidade e Responsabilidade do Seguro de Saúde - HIPAA - para regulamentar como as instituições de saúde divulgam as informações médicas dos pacientes. O Departamento de Saúde e Serviços Humanos monitora como as organizações médicas cumprem a lei. Os auditores usam uma lista de verificação ao testar os processos de registro de dados médicos das empresas.
Análise e Avaliação de Risco
A HIPAA exige que todas as organizações médicas - especialmente as instituições envolvidas na coleta, retenção e transferência de informações médicas - realizem sessões periódicas de análise e avaliação de risco. Um auditor que analisa a conformidade com a HIPAA garante que todas as unidades de negócios monitorem os riscos que podem levar a empresa a incorrer em perdas devido a violações de dados. A análise de risco identifica as áreas corporativas que representam as principais ameaças operacionais para a conformidade com a segurança da HIPAA. A avaliação de risco determina a extensão das perdas que uma instituição pode sofrer em caso de ataques internos ou externos.
Análise de lacunas
Na terminologia da HIPAA, a análise de lacunas refere-se aos procedimentos necessários para mapear os requisitos de segurança para a infraestrutura de segurança existente de uma organização médica. Em outras palavras, os auditores analisam as diretrizes regulatórias e as comparam com os sistemas de segurança corporativos, verificando se esses sistemas estão de acordo com o ato. A análise de lacunas segue quatro etapas: identificação de lacunas, determinação de atividades de remediação, priorização de projetos e alocação de recursos. Depois de identificar os pontos fracos de segurança, os auditores garantem que os chefes de departamento tenham soluções de mitigação no lugar. Em seguida, os revisores garantem que os chefes de segmento aloquem recursos suficientes para projetos de mitigação.
Remediação
Remediação é um item importante em uma lista de verificação de auditoria para HIPAA. Os auditores confiam nas diretivas do HHS para garantir que uma organização tenha recursos adequados para solucionar possíveis violações de segurança. Ferramentas tecnológicas de última geração são essenciais para os procedimentos de remediação. Essas ferramentas incluem software de gerenciamento de relacionamento com o cliente, aplicativos de planejamento de recursos empresariais, software de reengenharia de processos e software de rastreamento de defeitos. Outras ferramentas usadas para remediar possíveis ameaças de segurança incluem software de categorização ou classificação, software de calendário e agendamento, programas de gerenciamento de relações com pacientes e software de gerenciamento de projetos.
Planejamento de contingência
As empresas se envolvem em planejamento de contingência para garantir que as atividades corporativas não sejam interrompidas por uma emergência, acidente ou outras interrupções operacionais. Para evitar as perdas substanciais que podem ocorrer com as paralisações operacionais, as empresas elaboram planos de contingência, também conhecidos como planos de continuidade de negócios. Os auditores da HIPAA verificam os planos de continuidade de negócios de uma organização médica para garantir que os planos tratem de questões operacionais importantes que possam surgir em emergências. Especificamente, os auditores verificam como as empresas podem restaurar as operações em um site alternativo e recuperar as operações usando equipamentos alternativos, caso ocorra um desastre.
Políticas de pessoal
Os auditores da HIPAA examinam as políticas corporativas de recursos humanos para garantir que o pessoal que mantém registros médicos possua conhecimento técnico e as habilidades apropriadas para o trabalho. Esses funcionários incluem técnicos de registros de saúde, registros médicos e especialistas em informações de saúde, funcionários e codificadores de informações médicas, de acordo com o O * Net Online, o departamento de pesquisa ocupacional do Departamento de Trabalho dos EUA.