Une liste de contrôle de conformité à la loi HIPAA (Health Insurance Portability and Accountability Act) doit inclure des éléments relatifs à plusieurs domaines d’application de base. Ces domaines comprennent l’accès aux informations et aux dossiers, la réponse aux incidents, ainsi que les opérations d’urgence et les plans d’urgence. La sécurité des logiciels, du matériel et de la transmission, ainsi que le contrôle d’audit doivent également être inclus dans votre liste de contrôle de conformité HIPAA. En plus de compiler cette liste de contrôle, vous devez également désigner quelqu’un pour agir en tant que responsable de la conformité pour vous assurer que tous les employés sont correctement formés pour se conformer aux règles HIPAA.
Votre liste de contrôle de conformité HIPAA doit clairement définir quel personnel est autorisé à accéder aux informations et aux enregistrements. Il doit également définir des politiques pour modifier l’accès à ces informations. Les procédures de réponse aux incidents de sécurité devraient également être incluses dans la liste. Tous les incidents et leurs résultats doivent être signalés et bien documentés dans le cas d’une enquête en cours ou si les politiques de sécurité doivent être modifiées pour éviter de futures occurrences. Votre liste de contrôle de conformité HIPAA devra également inclure un certain type de procédure de sauvegarde et de récupération pour garantir que toutes les opérations commerciales nécessaires se poursuivront en cas de sinistre de quelque type que ce soit. Une méthode de test de cette procédure sera également nécessaire ainsi qu’un plan de remplacement de tout équipement endommagé.
L’installation d’un pare-feu de sécurité pour tous les équipements informatiques doit être incluse dans votre liste de contrôle de conformité HIPAA, ainsi que l’installation d’une version professionnelle et à jour de tout système d’exploitation utilisé. Parallèlement à ces mesures de sécurité, vous devrez vous assurer que toutes les informations personnelles sont cryptées de manière sécurisée avant d’être transmises par voie électronique. Votre liste doit contenir des procédures pour obtenir des mises à jour de sécurité régulières pour toutes les formes de logiciels, de matériel informatique, d’applications et de systèmes d’exploitation. De plus, vous devrez disposer d’un certain type de calendrier pour effectuer des audits de procédure de routine afin de vous assurer que tous les systèmes informatiques et de contrôle des données sont conformes aux réglementations HIPAA.
Une fois que vous avez rempli votre liste de contrôle de conformité HIPAA, vous devez confier à quelqu’un la tâche d’agir en tant qu’analyste de la sécurité de l’organisation ou responsable de la conformité HIPAA. Cette personne sera responsable du maintien et du respect de toutes les règles et réglementations HIPAA. Cet agent sera également chargé de s’assurer que tout le personnel est correctement formé aux politiques et procédures de conformité HIPAA de votre organisation. Tout le monde dans l’organisation doit recevoir une formation complète sur des sujets tels que la sensibilisation aux réglementations HIPAA en matière de confidentialité, la protection des mots de passe et la prévention des accès non autorisés aux postes de travail. Une formation devrait également être dispensée concernant la protection des logiciels contre les virus et autres programmes malveillants.