En 1996, el Congreso de los Estados Unidos aprobó la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA, por sus siglas en inglés) para regular cómo las instituciones de atención médica divulgan la información médica de los pacientes. El Departamento de Salud y Servicios Humanos supervisa cómo las organizaciones médicas cumplen con la ley. Los auditores utilizan una lista de verificación al probar los procesos de registro de datos médicos de las empresas.
Análisis y Evaluación de Riesgos
HIPAA requiere que todas las organizaciones médicas, especialmente las instituciones involucradas en la recopilación, retención y transferencia de información médica, realicen sesiones periódicas de análisis y evaluación de riesgos. Un auditor que revisa el cumplimiento de HIPAA asegura que todas las unidades de negocios monitorean los riesgos que pueden causar que una empresa incurra en pérdidas debido a violaciones de datos. El análisis de riesgos identifica las áreas corporativas que representan las principales amenazas operativas para el cumplimiento de seguridad de HIPAA. La evaluación de riesgos determina el alcance de las pérdidas que una institución puede sufrir en caso de ataques internos o externos.
Análisis de las deficiencias
En la terminología de HIPAA, el análisis de brechas se refiere a los procedimientos necesarios para asignar los requisitos de seguridad a la infraestructura de seguridad existente de una organización médica. En otras palabras, los auditores analizan las pautas regulatorias y las comparan con los sistemas de seguridad corporativos, verificando si estos sistemas cumplen con la ley. El análisis de brechas sigue cuatro pasos: identificación de brechas, determinación de actividades de remediación, priorización de proyectos y asignación de recursos. Después de identificar las debilidades de seguridad, los auditores se aseguran de que los jefes de departamento tengan soluciones atenuantes. Luego, los revisores se aseguran de que los jefes de segmento asignen recursos suficientes para proyectos de mitigación.
Remediación
La remediación es un elemento importante en una lista de verificación de auditoría para HIPAA. Los auditores confían en las directivas de HHS para garantizar que una organización cuente con los recursos adecuados para remediar las posibles violaciones de seguridad. Las herramientas tecnológicas de vanguardia son parte integral de los procedimientos de remediación. Estas herramientas incluyen software de gestión de relaciones con el cliente, aplicaciones de planificación de recursos empresariales, software de reingeniería de procesos y software de seguimiento de defectos. Otras herramientas utilizadas para remediar posibles amenazas de seguridad incluyen software de categorización o clasificación, software de calendario y programación, programas de administración de relaciones con pacientes y software de administración de proyectos.
Planificación de contingencias
Las compañías se involucran en la planificación de contingencias para garantizar que las actividades corporativas no se detengan por una emergencia, un accidente u otras interrupciones operativas. Para evitar las pérdidas sustanciales que pueden venir con las paradas operativas, las empresas dibujan planes de contingencia, también conocidos como planes de continuidad de negocios. Los auditores de HIPAA verifican los planes de continuidad comercial de una organización médica para asegurarse de que los planes aborden los problemas operativos importantes que pueden surgir en las emergencias. Específicamente, los auditores verifican cómo las compañías pueden restaurar las operaciones en un sitio alternativo y las operaciones de recuperación utilizando equipos alternativos, en caso de que ocurra un desastre.
Políticas de personal
Los auditores de HIPAA examinan las políticas corporativas de recursos humanos para garantizar que el personal que mantiene registros médicos posee conocimientos técnicos y las habilidades adecuadas para el trabajo. Este personal incluye técnicos de registros de salud, especialistas en registros médicos e información de salud, empleados y codificadores de información médica, según O * Net Online, la rama de investigación ocupacional del Departamento de Trabajo de los Estados Unidos.