Una lista de verificación de cumplimiento de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) debe incluir elementos relacionados con varias áreas básicas de aplicación. Estas áreas incluyen acceso a información y registros, respuesta a incidentes y operaciones de emergencia y planes de contingencia. La seguridad de software, hardware y transmisión, así como el control de auditoría, también deben incluirse en su lista de verificación de cumplimiento de HIPAA. Además de compilar esta lista de verificación, también debe asignar a alguien para que actúe como oficial de cumplimiento para garantizar que todos los empleados estén debidamente capacitados para cumplir con las reglas de HIPAA.
Su lista de verificación de cumplimiento de HIPAA debe definir claramente a qué personal se le permite el acceso a la información y los registros. También debe establecer políticas para modificar el acceso a esta información. Los procedimientos para responder a incidentes de seguridad también deben incluirse en la lista. Todos los incidentes y sus resultados deben informarse y documentarse bien en caso de que se lleve a cabo una investigación en curso o si es necesario modificar las políticas de seguridad para evitar sucesos futuros. Su lista de verificación de cumplimiento de HIPAA también deberá incluir algún tipo de procedimiento de respaldo y recuperación para garantizar que todas las operaciones comerciales necesarias continuarán si ocurre un desastre de algún tipo. También se necesitará un método para probar este procedimiento junto con un plan para reemplazar cualquier equipo dañado.
La instalación de un firewall de seguridad para todos los equipos informáticos debe incluirse en su lista de verificación de cumplimiento de HIPAA, así como la instalación de una versión profesional y actualizada de cualquier sistema operativo que se esté utilizando. Junto con estas medidas de seguridad, deberá asegurarse de que toda la información personal esté encriptada de forma segura antes de ser transmitida electrónicamente. Su lista debe contener procedimientos para obtener actualizaciones de seguridad periódicas para todas las formas de software, hardware, aplicaciones y sistemas operativos. Además, deberá tener algún tipo de cronograma para realizar auditorías de procedimientos de rutina para asegurarse de que todos los sistemas de control de datos y computadoras cumplan con las regulaciones de HIPAA.
Una vez que haya completado su lista de verificación de cumplimiento de HIPAA, debe asignar a alguien la tarea de actuar como analista de seguridad de la organización o oficial de cumplimiento de HIPAA. Esta persona será responsable de mantener y hacer cumplir todas las reglas y regulaciones de HIPAA. Este funcionario también será responsable de garantizar que todo el personal esté debidamente capacitado en las políticas y procedimientos de cumplimiento de HIPAA de su organización. Todos los miembros de la organización deben recibir capacitación completa en asuntos como el conocimiento de las regulaciones de privacidad de HIPAA, la protección de contraseñas y la prevención del acceso no autorizado a las estaciones de trabajo. También debería impartirse formación sobre la protección del software frente a virus y otros programas maliciosos.