1996 m. JAV Kongresas priėmė Sveikatos draudimo perkėlimo ir atskaitomybės įstatymą - HIPAA - reglamentuoti, kaip sveikatos priežiūros įstaigos atskleidžia paciento medicininę informaciją. Sveikatos ir žmogiškųjų paslaugų departamentas stebi, kaip medicinos organizacijos laikosi įstatymų. Auditoriai naudoja kontrolinį sąrašą bandydami įmonių medicininių duomenų įrašymo procesus.
Rizikos analizė ir vertinimas
HIPAA reikalauja, kad visos medicinos organizacijos, ypač institucijos, dalyvaujančios medicininės informacijos rinkime, saugojime ir perdavime, atliktų periodinę rizikos analizę ir vertinimo sesijas. Auditorius, vertinantis HIPAA atitikimą, užtikrina, kad visi verslo padaliniai stebėtų riziką, dėl kurios įmonė gali patirti nuostolių dėl duomenų pažeidimų. Rizikos analizė nustato įmonių sritis, kurios kelia didelę grėsmę HIPAA saugumo reikalavimams. Rizikos vertinimas lemia nuostolių, kuriuos įstaiga gali patirti vidinių ar pašalinių išpuolių atveju, mastą.
Spragos analizė
HIPAA terminologijoje spragų analizė yra susijusi su procedūromis, reikalingomis saugumo reikalavimams susieti su medicinos organizacijos esama saugumo infrastruktūra. Kitaip tariant, auditoriai analizuoja reguliavimo gaires ir palygina jas su įmonių saugumo sistemomis, patikrindami, ar šios sistemos laikosi teisės akto. Atlikus analizę, atliekami keturi etapai: atotrūkio nustatymas, atkūrimo veiklos nustatymas, projektų prioritetų nustatymas ir išteklių paskirstymas. Nustatę saugumo trūkumus, auditoriai užtikrina, kad padalinių vadovai turėtų lengvinančius sprendimus. Tuomet recenzentai įsitikina, kad segmentų vadovai skiria pakankamai išteklių švelnintiems projektams.
Gydymas
Ištaisymas yra svarbi HIPAA audito kontrolinio sąrašo dalis. Auditoriai remiasi HHS direktyvomis, siekdami užtikrinti, kad organizacija turėtų pakankamai išteklių galimiems saugumo pažeidimams pašalinti. Modernūs technologiniai įrankiai yra neatsiejama atkūrimo procedūrų dalis. Šios priemonės apima ryšių su klientais valdymo programinę įrangą, įmonių išteklių planavimo programas, procesų pertvarkymo programinę įrangą ir defektų sekimo programinę įrangą. Kitos priemonės, naudojamos potencialioms grėsmėms saugoti, yra skirstymo į kategorijas arba klasifikavimo programinė įranga, kalendoriaus ir planavimo programinė įranga, pacientų santykių valdymo programos ir projektų valdymo programinė įranga.
Nenumatytų atvejų planavimas
Įmonės planuoja nenumatytų atvejų planavimą, siekdamos užtikrinti, kad neatidėliotinai, nelaimingam atsitikimui ar kitiems veiklos sutrikimams nebūtų sustabdyta įmonės veikla. Siekiant užkirsti kelią dideliems nuostoliams, kurie gali atsirasti dėl veiklos sustabdymo, įmonės parengia nenumatytų atvejų planus, dar vadinamus veiklos tęstinumo planais. HIPAA auditoriai tikrina medicinos organizacijos veiklos tęstinumo planus, siekdami užtikrinti, kad planuose būtų aptariami svarbūs veiklos klausimai, kurie gali kilti skubiais atvejais. Konkrečiai, auditoriai tikrina, kaip įmonės galėtų atkurti operacijas alternatyvioje vietoje ir susigrąžinti operacijas, naudojant alternatyvią įrangą, streikuoti.
Personalo politika
HIPAA auditoriai peržiūri įmonių žmogiškųjų išteklių politiką, siekdami užtikrinti, kad medicininius įrašus tvarkantys darbuotojai turėtų technines žinias ir atitinkamus įgūdžius. Šiuos darbuotojus sudaro sveikatos įrašų technikai, medicininiai įrašai ir sveikatos informacijos specialistai, medicinos informacijos specialistai ir koduotojai pagal JAV darbo departamento profesinių tyrimų padalinio O * Net Online.