Tuân thủ HIPAA là một khía cạnh cơ bản của Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế năm 1996 (HIPAA), luật liên bang chủ yếu tập trung vào việc bảo vệ thông tin sức khỏe nhạy cảm của bệnh nhân khỏi bị tiết lộ mà không có sự đồng ý hoặc hiểu biết của bệnh nhân. Luật này cung cấp các tiêu chuẩn bảo mật và quyền riêng tư cơ bản cho thông tin y tế của công dân Hoa Kỳ.
Tiêu chuẩn này có thể áp dụng cho các thực thể được bảo hiểm và các đối tác kinh doanh của họ như cơ quan thanh toán bù trừ dịch vụ chăm sóc sức khỏe, chương trình bảo hiểm sức khỏe do chủ lao động tài trợ, công ty bảo hiểm y tế và nhà cung cấp dịch vụ y tế tham gia vào một số giao dịch nhất định liên quan đến việc truyền kỹ thuật số thông tin sức khỏe bệnh nhân (PHI)
Quy định của HIPAA được chia thành Quy tắc bảo mật, Quy tắc quyền riêng tư, Quy tắc giao dịch và bộ mã (TCS), Quy tắc số nhận dạng duy nhất, Quy tắc thông báo vi phạm, Quy tắc cuối cùng trên Omnibus. Quy tắc bảo mật HIPAA yêu cầu triển khai 1) Các biện pháp bảo vệ hành chính, 2) Vật lý và 3) Biện pháp bảo vệ kỹ thuật. Ngoài ra, quy tắc này còn áp đặt các yêu cầu khác về tổ chức và nhu cầu ghi lại các quy trình tương tự như Quy tắc bảo mật HIPAA.
Văn phòng Dân quyền (OCR), giải thích việc không cung cấp “phương pháp phân tích rủi ro cụ thể” là do các Thực thể được liên quan và Đối tác kinh doanh có quy mô, khả năng và độ phức tạp khác nhau. Theo OCR, mục tiêu chính của đánh giá rủi ro HIPAA là:
+ Xác định PHI mà tổ chức của bạn tạo, nhận, lưu trữ và truyền tin, bao gồm PHI được chia sẻ với các nhà tư vấn, nhà cung cấp và Đối tác kinh doanh.
+ Xác định các mối đe dọa về con người, tự nhiên và môi trường đối với tính toàn vẹn của PHI. Các mối đe dọa về con người bao gồm cả những mối đe dọa có chủ ý và vô ý.
+ Đánh giá các biện pháp được áp dụng để bảo vệ khỏi các mối đe dọa đối với tính toàn vẹn của PHI và khả năng xảy ra vi phạm “được dự đoán trước một cách hợp lý”.
+ Xác định tác động tiềm tàng của hành vi vi phạm PHI và chỉ định cho mỗi lần xảy ra tiềm ẩn một mức rủi ro dựa trên mức trung bình của khả năng xảy ra và mức độ tác động được chỉ định.
+ Ghi lại các phát hiện và thực hiện các biện pháp, thủ tục và chính sách khi cần thiết để đánh dấu vào các ô trong danh sách kiểm tra tuân thủ HIPAA và đảm bảo tuân thủ HIPAA.
+ Đánh giá rủi ro HIPAA, cơ sở lý luận cho các biện pháp, thủ tục và chính sách được thực hiện sau đó và tất cả các tài liệu chính sách phải được lưu giữ tối thiểu sáu năm.
Phương pháp đánh giá HIPAA: Chúng tôi tuân theo cách tiếp cận được ghi chép rõ ràng để làm việc cùng với khách hàng của chúng tôi nhằm hỗ trợ họ đạt được các mục tiêu tuân thủ. Điều này đòi hỏi một kế hoạch thực hiện được ghi chép đầy đủ cùng với các mốc quan trọng được xác định.
- Hiểu biết về doanh nghiệp: Đánh giá quy trình và môi trường kinh doanh để hiểu các yếu tố trong phạm vi.
- Hoàn thiện phạm vi HIPAA: Hoàn thiện các yếu tố phạm vi và chuẩn bị tài liệu yêu cầu.
- Đánh giá mức độ sẵn sàng của HIPAA: Xác định những thách thức tiềm ẩn có thể phát sinh trong quá trình thực hiện yêu cầu.
- Đánh giá rủi ro HIPAA: Xác định và phân tích rủi ro trong tình hình bảo mật thông tin.
- Đánh giá luồng dữ liệu HIPAA: Tiến hành phân tích hệ thống kỹ lưỡng để đánh giá luồng dữ liệu và các rò rỉ có thể xảy ra.
- Hỗ trợ tài liệu HIPAA: Hỗ trợ bạn về danh sách chính sách và quy trình để giúp bạn xác thực hoặc thu thập bằng chứng.
- Hỗ trợ khắc phục HIPAA: Hỗ trợ bạn bằng cách đề xuất giải pháp cho những thách thức về tuân thủ.
- Đào tạo nâng cao nhận thức về HIPAA: Tiến hành các buổi nâng cao nhận thức cho nhóm của bạn và nhân viên tham gia vào phạm vi này.
- Phân loại dữ liệu và tài sản: Xác định các lỗ hổng nghiêm trọng trong hệ thống của bạn bằng phương pháp thử nghiệm mạnh mẽ.
- Đánh giá bằng chứng HIPAA: Đánh giá các bằng chứng được thu thập để đánh giá tính hiệu quả của chúng, phù hợp với việc tuân thủ.
- Đánh giá và chứng nhận cuối cùng: Sau khi đánh giá thành công, chúng tôi sẽ giúp bạn chứng thực sự tuân thủ với nhóm kiểm toán của chúng tôi.
- Hỗ trợ tuân thủ liên tục: Hỗ trợ bạn duy trì sự tuân thủ bằng cách cung cấp các hướng dẫn.
Câu hỏi thường gặp
Làm thế nào để bạn duy trì việc tuân thủ HIPAA?
Việc duy trì tuân thủ Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA) là điều cần thiết đối với bất kỳ tổ chức nào xử lý thông tin sức khỏe được bảo vệ (PHI). Một số bước mà tổ chức có thể thực hiện để duy trì tuân thủ HIPAA bao gồm Tiến hành đánh giá rủi ro thường xuyên, Thực hiện các biện pháp bảo vệ hành chính và kỹ thuật, Duy trì an ninh vật lý, Tiến hành đào tạo nhân viên thường xuyên, Tiến hành kiểm tra và giám sát thường xuyên và Lưu trữ tài liệu.
Các hình phạt đối với việc không tuân thủ HIPAA là gì?
Tiền phạt có thể lên tới 250.000 USD nếu vi phạm hoặc phạt tù tới 10 năm vì biết lạm dụng hoặc lạm dụng thông tin sức khỏe cá nhân.
Thông tin sức khỏe được bảo vệ (PHI) là gì?
Thông tin được thu thập từ một cá nhân bởi một tổ chức được bảo hiểm có liên quan đến sức khỏe hoặc tình trạng trong quá khứ, hiện tại hoặc tương lai của một cá nhân và có thể nhận dạng cá nhân đó hoặc có cơ sở để tin rằng thông tin đó có thể được sử dụng để nhận dạng, định vị hoặc liên hệ với cá nhân...và do đó phải được bảo vệ. PHI là tập hợp con của PII.
Những doanh nghiệp nào phải tuân thủ luật HIPAA?
Bất kỳ tổ chức chăm sóc sức khỏe nào xử lý, lưu trữ, truyền hoặc nhận hồ sơ y tế, yêu cầu bồi thường hoặc chuyển tiền bằng điện tử.
Sự khác biệt giữa các quy tắc bảo mật và quyền riêng tư của HIPAA là gì?
Quy tắc về quyền riêng tư của HIPAA đề cập đến các biện pháp tiết lộ và sử dụng PHI phù hợp của các tổ chức chăm sóc sức khỏe. Các quy tắc, quy định và chính sách tương tự điều chỉnh Quyền riêng tư không nhất thiết phải mở rộng đến Quy tắc bảo mật. Quy tắc bảo mật HIPAA xoay quanh việc bảo vệ các hệ thống lưu trữ hoặc truyền PHI.
Ai chịu trách nhiệm về HIPAA?
Mỗi cá nhân (quản lý văn phòng, bác sĩ, v.v.) đều chịu trách nhiệm về thông tin sức khỏe mà họ nên, có thể hoặc truy cập. Các cá nhân và công ty có thể phải đối mặt với cáo buộc hình sự một cách độc lập vì xử lý sai PHI.