Una lista di controllo per la conformità all’Health Insurance Portability and Accountability Act (HIPAA) dovrebbe includere elementi relativi a diverse aree di applicazione di base. Queste aree includono l’accesso alle informazioni e ai registri, la risposta agli incidenti, le operazioni di emergenza e i piani di emergenza. Anche il software, l’hardware e la sicurezza della trasmissione, nonché il controllo dell’audit, dovrebbero essere inclusi nella lista di controllo della conformità HIPAA. Oltre a compilare questa lista di controllo, dovresti anche assegnare qualcuno che agisca come responsabile della conformità per garantire che tutti i dipendenti siano adeguatamente formati per conformarsi alle regole HIPAA.
La tua lista di controllo di conformità HIPAA dovrebbe definire chiaramente a quale personale è consentito l’accesso alle informazioni e ai record. Dovrebbe anche impostare criteri per modificare l’accesso a queste informazioni. Nell’elenco dovrebbero essere incluse anche le procedure per rispondere agli incidenti di sicurezza. Tutti gli incidenti e i loro risultati dovrebbero essere segnalati e ben documentati nel caso di un’indagine in corso o se le politiche di sicurezza devono essere modificate per prevenire eventi futuri. La tua lista di controllo per la conformità HIPAA dovrà anche includere un tipo di procedura di backup e ripristino per garantire che tutte le operazioni aziendali necessarie continuino se si verifica un disastro di qualche tipo. Sarà inoltre necessario un metodo per testare questa procedura insieme a un piano per la sostituzione di eventuali apparecchiature danneggiate.
L’installazione di un firewall di sicurezza per tutte le apparecchiature informatiche dovrebbe essere inclusa nell’elenco di controllo della conformità HIPAA, nonché l’installazione di una versione professionale e aggiornata di qualsiasi sistema operativo utilizzato. Insieme a queste misure di sicurezza, dovrai assicurarti che tutte le informazioni personali siano crittografate in modo sicuro prima di essere trasmesse elettronicamente. L’elenco dovrebbe contenere le procedure per ottenere aggiornamenti di sicurezza regolari per tutte le forme di software, hardware, applicazioni e sistemi operativi per computer. Inoltre, sarà necessario disporre di un qualche tipo di programma per l’esecuzione di audit delle procedure di routine per garantire che tutti i computer e i sistemi di controllo dei dati siano conformi alle normative HIPAA.
Dopo aver completato l’elenco di controllo della conformità HIPAA, dovresti assegnare a qualcuno il compito di agire come analista della sicurezza dell’organizzazione o responsabile della conformità HIPAA. Questa persona sarà responsabile del mantenimento e dell’applicazione della conformità a tutte le norme e regolamenti HIPAA. Questo funzionario sarà anche responsabile di garantire che tutto il personale sia adeguatamente formato nelle politiche e procedure di conformità HIPAA dell’organizzazione. Tutti i membri dell’organizzazione dovrebbero ricevere una formazione completa su argomenti quali la conoscenza delle normative sulla privacy HIPAA, la salvaguardia delle password e la prevenzione dell’accesso non autorizzato alle postazioni di lavoro. Dovrebbe essere fornita anche una formazione sulla protezione del software da virus e altri programmi dannosi.