En 1996, le Congrès américain a adopté la loi HIPAA (loi sur la transférabilité et la responsabilité en matière d’assurance maladie) afin de réglementer la manière dont les établissements de santé divulguent les informations médicales des patients. Le ministère de la Santé et des Services sociaux surveille la conformité des organisations médicales avec la loi. Les auditeurs utilisent une liste de contrôle pour tester les processus d'enregistrement des données médicales des entreprises.
Analyse et évaluation des risques
HIPAA exige que toutes les organisations médicales - en particulier les institutions impliquées dans la collecte, la conservation et le transfert d'informations médicales - organisent des sessions périodiques d'analyse et d'évaluation des risques. Un auditeur examinant la conformité à la loi HIPAA veille à ce que toutes les unités commerciales surveillent les risques susceptibles d’entraîner des pertes pour une entreprise en raison de violations de données. L’analyse des risques identifie les secteurs de l’entreprise qui constituent une menace majeure pour la conformité à la sécurité HIPAA. L’évaluation des risques détermine l’ampleur des pertes qu’une institution peut subir en cas d’attaques internes ou externes.
Analyse des écarts
Dans la terminologie HIPAA, l'analyse des écarts fait référence aux procédures nécessaires pour associer les exigences de sécurité à l'infrastructure de sécurité existante d'une organisation médicale. En d’autres termes, les auditeurs analysent les directives réglementaires et les comparent aux systèmes de sécurité d’entreprise, en vérifiant si ces systèmes respectent la loi. L'analyse des écarts suit quatre étapes: identification des écarts, détermination des activités de remédiation, établissement des priorités du projet et affectation des ressources. Après avoir identifié les faiblesses de la sécurité, les auditeurs s'assurent que les chefs de service disposent de solutions d'atténuation. Ensuite, les réviseurs s'assurent que les chefs de segment affectent des ressources suffisantes aux projets d'atténuation.
Remédiation
La correction est un élément important de la liste de contrôle d'audit pour HIPAA. Les auditeurs s’appuient sur les directives HHS pour s’assurer que l’organisation dispose des ressources nécessaires pour remédier aux éventuelles violations de la sécurité. Des outils technologiques à la pointe de la technologie font partie intégrante des procédures de remédiation. Ces outils comprennent un logiciel de gestion de la relation client, des applications de planification des ressources d'entreprise, un logiciel de réingénierie des processus et un logiciel de suivi des défauts. Parmi les autres outils utilisés pour remédier aux menaces potentielles pour la sécurité, citons les logiciels de catégorisation ou de classification, les logiciels de calendrier et de planification, les programmes de gestion des relations avec les patients et les logiciels de gestion de projet.
La planification d'urgence
Les entreprises élaborent des plans d’urgence pour faire en sorte que leurs activités ne soient pas interrompues par une urgence, un accident ou d’autres perturbations de l’activité. Pour éviter les pertes substantielles pouvant résulter des immobilisations opérationnelles, les entreprises élaborent des plans d'urgence, également appelés plans de continuité des activités. Les auditeurs HIPAA vérifient les plans de continuité des activités d'une organisation médicale pour s'assurer qu'ils abordent des problèmes opérationnels importants pouvant survenir en cas d'urgence. En particulier, les auditeurs vérifient comment les entreprises pourraient restaurer les opérations sur un site alternatif et récupérer les opérations à l'aide d'un équipement alternatif, en cas de catastrophe.
Politiques du personnel
Les auditeurs HIPAA examinent les politiques des ressources humaines de l’entreprise afin de s’assurer que le personnel qui tient les dossiers médicaux possède les connaissances techniques et les compétences appropriées pour le poste. Ce personnel comprend des techniciens des dossiers médicaux, des spécialistes des dossiers médicaux et des informations médicales, des commis d’information médicale et des codeurs, selon O * Net Online, la division de la recherche professionnelle du département américain du Travail.
