1. HIPAA là gì?
HIPAA (Health Insurance Portability and Accountability Act) là luật liên bang Hoa Kỳ ban hành năm 1996, nhằm bảo vệ thông tin sức khỏe cá nhân, đảm bảo tính di động và bảo mật dữ liệu trong lĩnh vực y tế.
2. Mục tiêu và phạm vi áp dụng
Mục tiêu
- Bảo vệ thông tin sức khỏe cá nhân (PHI – Protected Health Information)
- Thiết lập tiêu chuẩn quốc gia về privacy và security trong ngành y tế
Đối tượng áp dụng
- Covered entities: các nhà cung cấp dịch vụ y tế, đơn vị thanh toán bảo hiểm, healthcare clearinghouses và các đơn vị liên quan
- Business associates: các đối tác hoặc nhà cung cấp dịch vụ có xử lý PHI thay cho covered entities
3. Privacy Rule (Quy tắc riêng tư)
- Điều chỉnh việc sử dụng và tiết lộ PHI trong các hoạt động như điều trị, thanh toán và hoạt động nội bộ của tổ chức y tế
- Quy định thời hạn phản hồi yêu cầu truy cập PHI của cá nhân (máy chủ phải cung cấp trong vòng 30 ngày kể từ khi nhận yêu cầu)
- Nguyên tắc minimum necessary: chỉ chia sẻ thông tin cần thiết nhất
- Quyền của cá nhân: yêu cầu chỉnh sửa thông tin không chính xác, chọn kênh tiếp cận (ví dụ: điện thoại nơi làm việc thay vì điện thoại cá nhân), yêu cầu thông báo khi có tiết lộ dữ liệu
- Các tổ chức phải bổ nhiệm Privacy Official, đảm bảo đào tạo nhân viên, lưu giữ hồ sơ tiết lộ PHI và chính sách nội bộ liên quan
4. Security Rule (Quy tắc an ninh)
Phạm vi áp dụng với PHI ở dạng điện tử (ePHI), chia thành ba nhóm kiểm soát:
a. Administrative Safeguards (Biện pháp hành chính)
- Xây dựng chính sách, quy trình văn bản rõ ràng, chỉ định Privacy Officer
- Kiểm soát truy cập nhân sự và phân quyền rõ ràng
- Báo cáo rủi ro, sao lưu, kế hoạch hoạt động sự cố, audit định kỳ
- Quản lý vendor: đảm bảo các business associates tuân thủ chuẩn HIPAA thông qua hợp đồng và kiểm soát chuỗi cung ứng
b. Physical Safeguards (Biện pháp vật lý)
- Kiểm soát truy cập phần cứng/phần mềm, điều phối thiết bị ra/vào hệ thống
- Quản lý vị trí đặt workstation, màn hình tránh nhìn từ khu vực công cộng
- Ghi chép hoạt động bảo trì, visitor log,…
c. Technical Safeguards (Biện pháp kỹ thuật)
- Mã hóa dữ liệu tại rest và transit
- Kiểm soát truy cập qua username/password, multi‑factor authentication
- Bảo mật audit logs và hệ thống giám sát
5. Breach Notification Rule
Khi có vi phạm PHI, tổ chức phải:
- Thông báo cho cá nhân bị ảnh hưởng và Department of Health & Human Services (OCR)
- Gửi thông báo công khai nếu ảnh hưởng đến > 500 người
- Duy trì hồ sơ sự cố vi phạm và hành động khắc phục
6. Các mức phạt vi phạm HIPAA
HIPAA quy định cả civil và criminal penalty:
Civil Penalties
| Loại vi phạm | Phạt tối thiểu mỗi vi phạm | Phạt tối đa mỗi vi phạm |
| Không biết vi phạm (reasonable diligence) | $100, tối đa $25,000/năm | $50,000, tối đa $1.5 triệu |
| Có lý do hợp lý, không cố ý | $1,000, tối đa $100,000/năm | $50,000, tối đa $1.5 triệu |
| Cố ý nhưng sửa kịp thời | $10,000, tối đa $250,000/năm | $50,000, tối đa $1.5 triệu |
| Cố ý không sửa | $50,000, tối đa $1 triệu | $50,000, tối đa $1.5 triệu |
Criminal Penalties
- Vi phạm nghiêm trọng rõ ràng: phạt đến $50,000 và/hoặc 1 năm tù
- Vi phạm với mục đích sai trái: phạt đến $100,000 và/hoặc 5 năm tù
- Bán hoặc sử dụng PHI cho mục đích lợi ích cá nhân: phạt đến $250,000 và/hoặc 10 năm tù
7. Các ví dụ vi phạm nổi bật
- Tricare Management of Virginia: rò rỉ dữ liệu tới 4.9 triệu cá nhân (năm 2011)
- Memorial Healthcare Systems (2017): phạt $5.5 triệu vì truy cập trái phép dữ liệu 115,143 bệnh nhân
- Cignet Health (2010): phạt $4.3 triệu vì từ chối cung cấp hồ sơ bệnh nhân, từ chối phản hồi nhà chức trách
8. Nâng cấp quy định: Final Omnibus Rule 2013
- Mở rộng áp dụng Security Rule và Breach Notification sang cả business associates
- Thay đổi định nghĩa “significant harm”: buộc tổ chức chứng minh không có thiệt hại thay vì chứng minh có thiệt hại
- Thời hạn bảo vệ PHI kéo dài đến 50 năm sau khi cá nhân mất
- Tăng mức phạt đối với vi phạm nghiêm trọng
9. Đào tạo và tăng cường nhận thức nhân viên
- Yêu cầu đào tạo ban đầu và định kỳ về Privacy Rule, Security Rule
- Nội dung đào tạo: cách xử lý PHI, quyền người bệnh, nguyên tắc minimum necessary, quy trình phản hồi vi phạm
- Rà soát và cập nhật thường niên các chính sách nội bộ phù hợp với luật hiện hành
10. Kết luận
HIPAA là tiêu chuẩn quan trọng và phức tạp để bảo vệ thông tin sức khỏe cá nhân tại Hoa Kỳ. Việc tuân thủ bao gồm cả chính sách, quy trình, kiểm soát kỹ thuật và đào tạo liên tục. Đây không chỉ là yêu cầu pháp lý mà còn thể hiện trách nhiệm với quyền riêng tư của cá nhân.
Thông tin hãng cung cấp giải pháp:
Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Sling, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks ….
Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!
