HHS 如何选择接受 HIPAA 审计的机构？

shoponhossaia@g

在选择业务伙伴或涵盖实体时，HHS 遵循一系列标准，其中包括：

组织规模——无论是小型、中型还是大型组织
组织类型 –是医疗保健清算机构、医疗保健提供商还是健康计划；是公共还是私人
随机选择——即使您的组织中没有安全漏洞或投诉，您也可能被随机选中。
附属关系——该组织是否隶属于任何其他医疗保健组织
与 OCR 的历史——该组织过去是否与 OCR 有过任何互动
地理位置——OCR 考虑了组织的地理位置
当您被选中进行 HIPAA 合规审计时 新西兰whatsapp 会发生什么？
HIPAA 合规性审计包括现场和办公室访问，在此期间，OCR 将检查贵组织的流程、政策和控制。OCR 进行此类审计是为了确保其选择的组织遵守 HIPAA 安全、隐私和违规通知规则。

OCR 所遵循的步骤
OCR 会向您发送一份调查问卷，您需要填写有关组织规模和类型以及运营性质的详细信息。（如果您未能回答调查问卷，OCR 可能会使用公开信息创建审计池）
然后，OCR 会要求提供相关文件来检查您组织的流程、政策和控制。
然后，它会审查这些文件，开始现场评估，得出调查结果，并与您分享。
您需要对调查结果做出回应，您的回应将记录在审计报告中。
最终报告包括OCR的调查结果、组织的报告以及要采取的纠正措施。
您遵守调查结果并实施 OCR 建议的纠正措施。
任何不遵守该行动的行为都将导致法律诉讼和严厉处罚。
审计员在 HIPAA 合规性审计中评估什么
审计师发现的常见违规行为
缺乏加密：一些组织在交换 PHI 时使用缺乏加密的平台，这意味着此类信息很容易被未经授权的个人截获。
访问控制不足：组织通常没有意识到他们需要实施访问控制；基本上管理谁可以访问 PHI，并且任何缺乏此类控制的行为都违反了 HIPAA 规则。  
未进行风险评估：所有组织都需要定期进行风险评估，以识别和管理与 PHI 相关的潜在安全风险并确保遵守 HIPAA。任何未能做到这一点的行为都属于违规行为。
使用不安全的短信平台：许多组织使用的短信服务不提供安全短信等功能。缺乏此类功能会限制可共享的信息类型，如果共享，信息可能会落入不法之徒之手。