1996年,美国国会通过了“健康保险流通与责任法案”(HIPAA),以规范医疗机构如何披露患者的医疗信息。卫生和人类服务部监测医疗机构如何遵守法律。在测试公司的医疗数据记录过程时,审核员使用检查表。
风险分析与评估
HIPAA要求所有医疗组织 - 特别是参与收集,保留和转移医疗信息的机构 - 定期进行风险分析和评估。审核HIPAA合规性的审核员确保所有业务部门监控可能导致公司因数据泄露而遭受损失的风险。风险分析确定了构成HIPAA安全合规性主要运营威胁的公司区域。风险评估确定机构在内幕或外线攻击时可能遭受的损失程度。
缺口分析
在HIPAA术语中,差距分析是指将安全要求映射到医疗组织现有安全基础设施所必需的程序。换句话说,审计人员分析监管准则并将其与公司安全系统进行比较,验证这些系统是否遵守该法案。差距分析遵循四个步骤:差距识别,补救活动的确定,项目优先级划分和资源分配。在确定安全漏洞后,审计人员确保部门主管有适当的缓解解决方案。然后,审核人员确保细分主管为缓解项目分配足够的资源。
整治
补救是HIPAA审核清单中的一个重要项目。审计人员依靠HHS指令来确保组织有足够的资源来弥补潜在的安全漏洞。最先进的技术工具是补救程序不可或缺的一部分。这些工具包括客户关系管理软件,企业资源规划应用程序,流程重新设计软件和缺陷跟踪软件。用于弥补潜在安全威胁的其他工具包括分类或分类软件,日历和日程安排软件,患者关系管理程序和项目管理软件。
应急计划
公司参与应急计划,以确保企业活动不会因紧急情况,事故或其他运营中断而停止。为了防止运营停顿可能带来的重大损失,公司制定了应急计划,也称为业务连续性计划。 HIPAA审核员检查医疗机构的业务连续性计划,以确保计划解决紧急情况中可能出现的重要操作问题。具体而言,如果发生灾难,审计人员将验证公司如何在备用站点恢复运营并使用备用设备恢复运营。
人事政策
HIPAA审核员筛选企业人力资源政策,以确保维护医疗记录的人员拥有技术知识和适当的技能。根据美国劳工部职业研究分部O * Net Online的说法,这些人员包括健康记录技术人员,医疗记录和健康信息专家,医疗信息员和编码员。
