En bedrift bør utpeke en personvern offiser som er ansvarlig for å forstå politikk og prosedyrer rundt implementering og etterlevelse av HIPAA . Dette kan være en hvilken som helst person som har kjennskap og bakgrunn for å sikre at virksomheten er i samsvar. Forskriften krever ikke sertifisering .
Identifisere ansatte med tilgang
Arbeidsgivere må identifisere ansatte som får tilgang til beskyttet helseinformasjon ( PHI ) og omstendighetene som tillater dem å ha tilgang til PHI .
Training program
Arbeidsgivere bør utvikle et opplæringsprogram for helsevesenet administrasjon ansatte. I noen tilfeller kan arbeidsgivere ønsker å etablere et system for sertifisering i organisasjonen .
Dokumentasjon arkiv
Arbeidsgivere må dokumentere administrative tiltak på hvordan PHI er brukt , herunder tiltak for ansatt non - compliance . Detaljer inkluderer sanksjoner tatt mot ansatte for manglende oppfølging , for eksempel tilgang til PHI utenfor etablerte tilgangsregler .
Skriftlig varsel
Arbeidsgivere er pålagt å gi skriftlig melding om helse planens politikk når det gjelder tilgang og bruk av PHI . Denne informasjon kan inneholde lister over definisjoner og prosedyrer under HIPAA .
Forms
Arbeidsgivere kan bli pålagt å lage skjemaer for ulike rapporter, ansatt autorisasjon og dokumentasjon for klager og ikke - compliance . Andre former kan inneholde dokumenter som omhandler sikringstiltak , helseinformasjon og juridiske rettigheter .
Sikkerhet og separat Informasjon
Regelverket krever arbeidsgivere til å utvikle sikkerhetsrutiner for alle beskyttede opplysninger under til intern og ekstern tilgang. Dette inkluderer å holde ansatt medisinsk informasjon atskilt fra annen arbeidsrelatert informasjon .