Interne Audit-Checkliste für HIPAA

Interne Audits - der Auditkreislauf und dessen Akteure (November 2024)

Interne Audits - der Auditkreislauf und dessen Akteure (November 2024)

Inhaltsverzeichnis:

Anonim

Im Jahr 1996 verabschiedete der US-Kongress das Health Insurance Portability and Accountability Act (HIPAA), um zu regeln, wie Gesundheitseinrichtungen die medizinischen Informationen von Patienten offenlegen. Das Department of Health and Human Services überwacht die Einhaltung der gesetzlichen Bestimmungen durch medizinische Organisationen. Auditoren verwenden eine Checkliste, um die medizinischen Datenerfassungsprozesse von Unternehmen zu testen.

Risikoanalyse und -bewertung

Die HIPAA schreibt vor, dass alle medizinischen Organisationen - insbesondere Institutionen, die an der Sammlung, Aufbewahrung und Weitergabe medizinischer Informationen beteiligt sind - regelmäßige Risikoanalyse- und Bewertungssitzungen durchführen. Ein Prüfer, der die Einhaltung der HIPAA-Richtlinien überprüft, stellt sicher, dass alle Geschäftseinheiten Risiken überwachen, durch die ein Unternehmen aufgrund von Datenschutzverletzungen Verluste erleiden kann. Bei der Risikoanalyse werden Unternehmensbereiche identifiziert, die erhebliche Betriebsbedrohungen für die Einhaltung der HIPAA-Sicherheit darstellen. Die Risikobewertung bestimmt das Ausmaß der Verluste, die eine Institution bei Angriffen durch Insider oder Außenstehende erleiden kann.

Lückenanalyse

In der HIPAA-Terminologie bezieht sich die Lückenanalyse auf Verfahren, die erforderlich sind, um Sicherheitsanforderungen der vorhandenen Sicherheitsinfrastruktur einer medizinischen Organisation zuzuordnen. Mit anderen Worten, Auditoren analysieren regulatorische Richtlinien und vergleichen sie mit den Sicherheitssystemen von Unternehmen, um zu überprüfen, ob diese Systeme die Gesetze einhalten. Die Analyse der Lücken erfolgt in vier Schritten: Identifizierung der Lücke, Ermittlung der Abhilfemaßnahmen, Projektpriorisierung und Ressourcenzuteilung. Nach der Feststellung von Sicherheitslücken stellen Auditoren sicher, dass Abteilungsleiter Lösungen zur Milderung haben. Dann stellen die Prüfer sicher, dass die Segmentleiter genügend Ressourcen für Minderungsprojekte zur Verfügung stellen.

Sanierung

Die Korrektur ist ein wichtiger Punkt in einer Audit-Checkliste für HIPAA. Prüfer verlassen sich auf HHS-Richtlinien, um sicherzustellen, dass eine Organisation über angemessene Ressourcen verfügt, um potenzielle Sicherheitsverletzungen zu beheben. Modernste technologische Werkzeuge sind ein wesentlicher Bestandteil der Sanierungsverfahren. Zu diesen Tools gehören Customer Relationship Management-Software, Enterprise-Resource-Planning-Anwendungen, Software für das Re-Engineering von Prozessen und Software zur Fehlerverfolgung. Andere Tools, die zur Beseitigung potenzieller Sicherheitsbedrohungen eingesetzt werden, umfassen Kategorisierungs- oder Klassifizierungssoftware, Kalender- und Planungssoftware, Programme zur Verwaltung von Patientenbeziehungen und Projektmanagementsoftware.

Notfallplanung

Unternehmen betreiben Notfallpläne, um sicherzustellen, dass die Unternehmensaktivitäten nicht durch einen Notfall, einen Unfall oder andere Betriebsstörungen gestoppt werden. Um die erheblichen Verluste zu vermeiden, die durch Betriebsstillstände entstehen können, erstellen Unternehmen Notfallpläne, die auch als Business-Continuity-Pläne bezeichnet werden. HIPAA-Auditoren prüfen die Geschäftskontinuitätspläne einer medizinischen Organisation, um sicherzustellen, dass die Pläne wichtige betriebliche Probleme angehen, die in Notfällen auftreten können. Auditoren überprüfen insbesondere, wie Unternehmen Vorgänge an einem anderen Standort wiederherstellen und Vorgänge mit anderen Geräten wiederherstellen können, falls ein Katastrophenfall eintritt.

Personalpolitik

HIPAA-Auditoren durchlaufen die Personalrichtlinien des Unternehmens, um sicherzustellen, dass das Personal, das die Krankenakten führt, über technisches Wissen und die für die Tätigkeit geeigneten Fähigkeiten verfügt. Zu diesem Personal gehören Krankenakteure, Krankenakten und Gesundheitsinformationsspezialisten, medizinische Sachbearbeiter und Programmierer, so O * Net Online, die Berufsforschungsabteilung des US-Arbeitsministeriums.