Lista kontrolna zgodności z ustawą o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) powinna zawierać elementy dotyczące kilku podstawowych obszarów egzekwowania. Obszary te obejmują dostęp do informacji i zapisów, reagowanie na incydenty oraz operacje awaryjne i plany awaryjne. Bezpieczeństwo oprogramowania, sprzętu i transmisji, a także kontrola audytu powinny być również uwzględnione na liście kontrolnej zgodności z HIPAA. Oprócz sporządzenia tej listy kontrolnej należy również przydzielić kogoś do działania jako specjalista ds. zgodności, aby upewnić się, że wszyscy pracownicy są odpowiednio przeszkoleni w zakresie przestrzegania zasad HIPAA.
Twoja lista kontrolna zgodności z ustawą HIPAA powinna jasno określać, który personel ma dostęp do informacji i zapisów. Powinien także ustalić zasady modyfikowania dostępu do tych informacji. Na liście powinny znaleźć się również procedury reagowania na incydenty bezpieczeństwa. Wszystkie incydenty i ich skutki powinny być zgłaszane i dobrze udokumentowane w przypadku trwającego dochodzenia lub konieczności modyfikacji zasad bezpieczeństwa, aby zapobiec przyszłym zdarzeniom. Twoja lista kontrolna zgodności z HIPAA będzie również musiała zawierać pewien rodzaj procedury tworzenia kopii zapasowych i odzyskiwania, aby zapewnić, że wszystkie niezbędne operacje biznesowe będą kontynuowane w przypadku wystąpienia jakiegoś rodzaju awarii. Potrzebna będzie również metoda testowania tej procedury wraz z planem wymiany uszkodzonego sprzętu.
Instalacja zapory zabezpieczającej dla całego sprzętu komputerowego powinna być uwzględniona na liście kontrolnej zgodności z HIPAA, a także zainstalowanie profesjonalnej, aktualnej wersji dowolnego używanego systemu operacyjnego. Wraz z tymi środkami bezpieczeństwa musisz upewnić się, że wszystkie dane osobowe są bezpiecznie zaszyfrowane przed przesłaniem drogą elektroniczną. Twoja lista powinna zawierać procedury uzyskiwania regularnych aktualizacji zabezpieczeń dla wszystkich form oprogramowania komputerowego, sprzętu, aplikacji i systemów operacyjnych. Dodatkowo, będziesz musiał mieć pewien rodzaj harmonogramu przeprowadzania rutynowych audytów procedur, aby upewnić się, że wszystkie komputerowe i systemy kontroli danych są zgodne z przepisami HIPAA.
Po wypełnieniu listy kontrolnej zgodności z ustawą HIPAA należy przydzielić komuś zadanie pełnienia funkcji analityka bezpieczeństwa organizacji lub specjalisty ds. zgodności z ustawą HIPAA. Ta osoba będzie odpowiedzialna za utrzymanie i egzekwowanie zgodności ze wszystkimi zasadami i przepisami HIPAA. Funkcjonariusz ten będzie również odpowiedzialny za zapewnienie, że cały personel jest odpowiednio przeszkolony w zakresie zasad i procedur zgodności z HIPAA w Twojej organizacji. Wszyscy w organizacji powinni przejść pełne szkolenie w kwestiach takich jak świadomość przepisów dotyczących prywatności HIPAA, ochrona haseł i zapobieganie nieautoryzowanemu dostępowi do stacji roboczych. Należy również zapewnić szkolenie dotyczące ochrony oprogramowania przed wirusami i innymi złośliwymi programami.