Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế năm 1996, thường được gọi là HIPAA (The Health Insurance Portability and Accountability Act), là một loạt các tiêu chuẩn quy định nêu rõ việc sử dụng hợp pháp và tiết lộ thông tin y tế được bảo vệ (PHI). Việc tuân thủ HIPAA được quy định bởi Bộ Y tế và Dịch vụ Nhân sinh (HHS) và được thực thi bởi Văn phòng Quyền Công dân (OCR).

Nguồn: Compliancy-group

Thông qua một loạt các quy tắc quản lý đan xen nhau, tuân thủ HIPAA là một văn hóa sống mà các tổ chức chăm sóc sức khỏe phải thực hiện trong hoạt động kinh doanh của họ để bảo vệ quyền riêng tư, bảo mật và tính toàn vẹn của thông tin sức khỏe được bảo vệ.

Thông tin Y tế được Bảo vệ là gì?

Thông tin sức khỏe được bảo vệ (PHI - Protected health information ) là bất kỳ thông tin nhân khẩu học nào có thể được sử dụng để xác định bệnh nhân hoặc khách hàng của một tổ chức, bao gồm tên, địa chỉ, số điện thoại, số An sinh xã hội, hồ sơ y tế, thông tin tài chính và ảnh khuôn mặt đầy đủ.

PHI được truyền, lưu trữ hoặc truy cập bằng phương pháp điện tử cũng tuân theo các tiêu chuẩn quy định của HIPAA và được gọi là thông tin sức khỏe được bảo vệ bằng điện tử, hoặc ePHI. ePHI được quy định bởi Quy tắc bảo mật HIPAA, là phụ lục của quy định HIPAA được ban hành để giải thích cho những thay đổi trong công nghệ y tế.

Ai cần phải tuân thủ HIPAA?

Quy định HIPAA xác định hai loại tổ chức phải tuân thủ HIPAA.

• Các tổ chức được bảo hiểm: Theo quy định của HIPAA, pháp nhân được bảo hiểm là bất kỳ tổ chức nào thu thập, tạo hoặc truyền PHI theo phương thức điện tử. Các tổ chức chăm sóc sức khỏe được coi là thực thể được bảo hiểm bao gồm nhà cung cấp dịch vụ chăm sóc sức khỏe, cơ sở thanh toán bù trừ chăm sóc sức khỏe và nhà cung cấp bảo hiểm y tế.

• Các công ty liên kết kinh doanh: Theo quy định của HIPAA, các công ty liên kết kinh doanh được định nghĩa là bất kỳ tổ chức nào gặp PHI theo bất kỳ cách nào trong quá trình làm việc mà tổ chức đó đã được ký hợp đồng để thực hiện thay mặt cho một pháp nhân được bảo hiểm. Có rất nhiều ví dụ về các đối tác kinh doanh vì phạm vi rộng của các nhà cung cấp dịch vụ có thể xử lý, truyền hoặc xử lý PHI. Các ví dụ phổ biến về các đối tác kinh doanh bị ảnh hưởng bởi các quy tắc HIPAA bao gồm: công ty thanh toán, công ty quản lý hành nghề, nhà tư vấn bên thứ ba, nền tảng EHR, MSP, nhà cung cấp CNTT, công ty fax , nhà cung cấp lưu trữ vật lý, nhà cung cấp dịch vụ lưu trữ đám mây, dịch vụ lưu trữ email, luật sư , kế toán, và nhiều hơn nữa.

Quy định HIPAA là gì?

Quy định HIPAA được tạo thành từ một số Quy tắc HIPAA khác nhau. Các Quy tắc HIPAA đều đã được thông qua trong hơn 20 năm trôi qua kể từ khi HIPAA lần đầu tiên được ban hành vào năm 1996.

Các Quy tắc HIPAA mà bạn nên biết bao gồm:

• Quy tắc về quyền riêng tư của HIPAA: Quy tắc về quyền riêng tư của HIPAA đặt ra các tiêu chuẩn quốc gia về quyền của bệnh nhân đối với PHI. Quy tắc về quyền riêng tư của HIPAA chỉ áp dụng cho các pháp nhân được điều chỉnh, không áp dụng cho các công ty liên kết kinh doanh. Một số tiêu chuẩn được nêu ra trong Quy tắc về quyền riêng tư của HIPAA bao gồm: quyền của bệnh nhân khi tiếp cận PHI, quyền của nhà cung cấp dịch vụ chăm sóc sức khỏe để từ chối quyền truy cập vào PHI, nội dung của việc sử dụng và tiết lộ các biểu mẫu phát hành HIPAA và Thông báo về Thực tiễn quyền riêng tư, v.v. Các tiêu chuẩn quy định phải được lập thành văn bản trong các Chính sách và Thủ tục HIPAA của tổ chức. Tất cả nhân viên phải được đào tạo về các Chính sách và Quy trình này hàng năm, với sự chứng thực bằng văn bản.

• Quy tắc bảo mật HIPAA: Quy tắc bảo mật HIPAA đặt ra các tiêu chuẩn quốc gia về bảo trì, truyền và xử lý ePHI một cách an toàn. Quy tắc bảo mật HIPAA áp dụng cho cả các tổ chức được bảo hiểm và các đối tác kinh doanh vì khả năng chia sẻ ePHI. Quy tắc Bảo mật đưa ra các tiêu chuẩn về tính toàn vẹn và an toàn của ePHI, bao gồm các biện pháp bảo vệ vật lý, hành chính và kỹ thuật phải có trong bất kỳ tổ chức chăm sóc sức khỏe nào. Các chi tiết cụ thể của quy định phải được lập thành văn bản trong các Chính sách và Thủ tục HIPAA của tổ chức. Nhân viên phải được đào tạo về các Chính sách và Quy trình này hàng năm, với sự chứng thực bằng văn bản.

• Quy tắc thông báo vi phạm HIPAA: Quy tắc thông báo vi phạm HIPAA là một bộ tiêu chuẩn mà các pháp nhân và đối tác kinh doanh có liên quan phải tuân theo trong trường hợp vi phạm dữ liệu có chứa PHI hoặc ePHI. Quy tắc đưa ra các yêu cầu khác nhau đối với việc báo cáo vi phạm tùy thuộc vào phạm vi và quy mô. Các tổ chức được yêu cầu báo cáo tất cả các vi phạm, bất kể quy mô cho HHS OCR, nhưng các giao thức cụ thể để báo cáo thay đổi tùy thuộc vào loại vi phạm. Các chi tiết cụ thể của Quy tắc Thông báo Vi phạm HIPAA được nêu trong các phần bên dưới.

• Quy tắc HIPAA Omnibus: Quy tắc HIPAA Omnibus là một phụ lục của quy định HIPAA đã được ban hành để áp dụng HIPAA cho các đối tác kinh doanh, ngoài các thực thể được bảo hiểm. Quy tắc Omnibus HIPAA yêu cầu các cộng sự kinh doanh phải tuân thủ HIPAA, đồng thời cũng nêu ra các quy tắc xung quanh Thỏa thuận liên kết kinh doanh (BAA). Thỏa thuận liên kết kinh doanh là các hợp đồng phải được thực hiện giữa một pháp nhân được bảo hiểm và công ty liên kết kinh doanh – hoặc giữa hai công ty liên kết kinh doanh – trước khi BẤT KỲ PHI hoặc ePHI nào có thể được chuyển nhượng hoặc chia sẻ.

Tuân thủ HIPAA cần đáp ứng yêu cầu gì?

Quy định của HIPAA đưa ra một loạt các tiêu chuẩn quốc gia mà tất cả các tổ chức và các đối tác kinh doanh được đề cập phải giải quyết.

• Tự kiểm toán - HIPAA yêu cầu các tổ chức được bảo hiểm và các đối tác kinh doanh thực hiện đánh giá hàng năm đối với tổ chức của họ để đánh giá các lỗ hổng về Hành chính, Kỹ thuật và Vật lý trong việc tuân thủ các tiêu chuẩn về Quyền riêng tư và Bảo mật của HIPAA. Theo HIPAA, Đánh giá Rủi ro Bảo mật là KHÔNG ĐỦ để tuân thủ - đó chỉ là một cuộc đánh giá thiết yếu duy nhất mà các tổ chức tuân tthủ HIPAA bắt buộc phải thực hiện để duy trì sự tuân thủ của họ hàng năm.

• Kế hoạch Khắc phục - Sau khi các đơn vị được bảo hiểm và các đối tác kinh doanh đã xác định được những lỗ hổng trong việc tuân thủ thông qua các cuộc tự kiểm toán này, họ phải thực hiện các kế hoạch khắc phục để đảo ngược các vi phạm tuân thủ. Các kế hoạch khắc phục này phải được ghi chép đầy đủ và bao gồm các ngày theo lịch mà các lỗ hổng sẽ được khắc phục.

• Chính sách, Thủ tục, Đào tạo Nhân viên - Các đơn vị được bảo hiểm và các đối tác kinh doanh phải phát triển Chính sách và Thủ tục tương ứng với các tiêu chuẩn quy định của HIPAA như được nêu trong Quy tắc HIPAA. Các chính sách và thủ tục này phải được cập nhật thường xuyên để giải thích các thay đổi đối với tổ chức. Cần phải đào tạo nhân viên hàng năm về các Chính sách và Quy trình này, cùng với chứng thực của nhân viên được lập thành văn bản cho biết rằng nhân viên đã đọc và hiểu từng chính sách và thủ tục của tổ chức.

• Tài liệu - Các tổ chức có HIPAA phải ghi lại TẤT CẢ những nỗ lực họ thực hiện để trở thành tuân thủ HIPAA. Tài liệu này rất quan trọng trong quá trình điều tra HIPAA với HHS OCR để vượt qua các cuộc kiểm tra HIPAA nghiêm ngặt.

• Quản lý liên kết kinh doanh - Các pháp nhân được bảo hiểm và các đối tác kinh doanh phải ghi lại tất cả các nhà cung cấp mà họ chia sẻ PHI theo bất kỳ cách nào và thực hiện các Thỏa thuận liên kết kinh doanh để đảm bảo PHI được xử lý an toàn và giảm thiểu trách nhiệm pháp lý. BAA phải được xem xét hàng năm để giải thích những thay đổi về bản chất của mối quan hệ giữa tổ chức với các nhà cung cấp. BAA phải được thực thi trước khi BẤT KỲ PHI nào có thể được chia sẻ.

• Quản lý Sự cố - Nếu một pháp nhân được bảo hiểm hoặc công ty liên kết kinh doanh có vi phạm dữ liệu, họ phải có quy trình ghi lại vi phạm và thông báo cho bệnh nhân rằng dữ liệu của họ đã bị xâm phạm theo Quy tắc Thông báo Vi phạm HIPAA.

Bảy yếu tố của một chương trình tuân thủ hiệu quả là gì?

Văn phòng Tổng Thanh tra HHS (OIG - Office of Inspector General ) đã soạn ra Bảy yếu tố của Chương trình Tuân thủ Hiệu quả để đưa ra hướng dẫn cho các tổ chức để kiểm tra các giải pháp tuân thủ hoặc tạo ra các chương trình tuân thủ của riêng họ. Đây là những yêu cầu tối thiểu, những yêu cầu tối thiểu tuyệt đối mà một chương trình tuân thủ hiệu quả phải giải quyết. Ngoài việc giải quyết toàn bộ các tiêu chuẩn về Quyền riêng tư và Bảo mật được ủy quyền của HIPAA, một chương trình tuân thủ hiệu quả phải có khả năng xử lý từng yếu tố trong số Bảy yếu tố.

Bảy yếu tố của một Chương trình Tuân thủ Hiệu quả như sau:

1. Thực hiện các chính sách, thủ tục và tiêu chuẩn ứng xử bằng văn bản.
2. Chỉ định một nhân viên tuân thủ và ủy ban tuân thủ.
3. Thực hiện đào tạo và giáo dục hiệu quả.
4. Phát triển các chương ttrình truyền thông hiệu quả.
5. Thực hiện giám sát và kiểm toán nội bộ.
6. Thực thi các tiêu chuẩn thông qua các hướng dẫn kỷ luật được công bố rộng rãi.
7. Phản ứng kịp thời với các hành vi vi phạm được phát hiện và thực hiện hành động khắc phục.

Trong quá trình điều tra HIPAA do OCR thực hiện để đối phó với vi phạm HIPAA, các kiểm toán viên HIPAA liên bang sẽ so sánh chương trình tuân thủ của tổ chức bạn với Seven Elements để đánh giá tính hiệu quả của nó.

Vi phạm HIPAA là gì?

Vi phạm HIPAA là bất kỳ vi phạm nào trong chương trình tuân thủ của tổ chức làm ảnh hưởng đến tính toàn vẹn của PHI hoặc ePHI. Vi phạm HIPAA khác với vi phạm dữ liệu. Không phải tất cả các vi phạm dữ liệu đều là vi phạm HIPAA. Vi phạm dữ liệu trở thành vi phạm HIPAA khi vi phạm là kết quả của chương trình tuân thủ HIPAA không hiệu quả, không đầy đủ hoặc lỗi thời hoặc vi phạm trực tiếp các chính sách HIPAA của tổ chức.

Dưới đây là một ví dụ về sự khác biệt:

VI PHẠM DỮ LIỆU xảy ra khi một trong các nhân viên của bạn có một máy tính xách tay không được mã hóa của công ty có quyền truy cập vào hồ sơ y tế bị đánh cắp.

VI PHẠM HIPAA xảy ra khi công ty có máy tính xách tay bị đánh cắp không có chính sách cấm máy tính xách tay được mang ra bên ngoài hoặc yêu cầu chúng được mã hóa.

Theo quy định của HIPAA, có những giao thức cụ thể phải được tuân theo trong trường hợp vi phạm dữ liệu. Quy tắc Thông báo Vi phạm HIPAA nêu rõ cách thức các tổ chức được bảo hiểm và các đối tác kinh doanh phải phản hồi trong trường hợp vi phạm.

Các vi phạm ảnh hưởng đến ít hơn 500 cá nhân trong một khu vực pháp lý. Quy tắc Thông báo Vi phạm HIPAA yêu cầu các tổ chức thu thập dữ liệu về tất cả các vi phạm nhỏ hơn xảy ra trong năm và báo cáo chúng cho HHS OCR trong vòng 60 ngày kể từ cuối năm dương lịch mà chúng đã xảy ra. Các cá nhân bị ảnh hưởng phải được thông báo rằng dữ liệu của họ có liên quan đến vi phạm trong vòng 60 ngày kể từ ngày phát hiện ra vi phạm.

Vi phạm ảnh hưởng đến hơn 500 cá nhân trong một khu vực tài phán duy nhất. Quy tắc Thông báo Vi phạm HIPAA yêu cầu rằng các vi phạm lớn hơn phải được báo cáo cho HHS OCR trong vòng 60 ngày kể từ ngày phát hiện ra vi phạm. Ngoài ra, bất kỳ cá nhân bị ảnh hưởng nào phải được thông báo khi phát hiện ra vi phạm. Các cơ quan thực thi pháp luật địa phương cũng cần được liên hệ ngay lập tức, ngoài các cơ quan truyền thông địa phương để cảnh báo những cá nhân có khả năng bị ảnh hưởng trong phạm vi quyền hạn cần thiết.

Tất cả các vi phạm ảnh hưởng đến 500 cá nhân trở lên đều được đăng trên Cổng thông báo vi phạm của HHS, hoặc “Bức tường xấu hổ”. HHS Wall of Shame là nơi lưu trữ vĩnh viễn tất cả các vi phạm HIPAA do vi phạm quy mô lớn đã xảy ra ở Hoa Kỳ từ năm 2009. Cơ sở dữ liệu có thể tìm kiếm này là hậu quả cụ thể của vi phạm HIPAA có thể làm tổn hại vĩnh viễn danh tiếng của các tổ chức chăm sóc sức khỏe. vi phạm HIPAA hoặc vi phạm quy mô lớn.

Vào năm 2017, OCR đã phạt vi phạm HIPAA đầu tiên do vi phạm Quy tắc thông báo vi phạm. Khoản tiền phạt $ 475,000 đối với Presence Health là khoản tiền đầu tiên trong lịch sử của cơ quan thực thi HIPAA bị phạt vì không tuân thủ đúng Quy tắc Thông báo Vi phạm HIPAA.

Các kiểm toán viên HIPAA liên bang tính tiền phạt HIPAA theo thang điểm trượt. Tiền phạt dao động từ $ 100- $ 50.000 cho mỗi sự cố tùy thuộc vào mức độ sơ suất được nhận thấy. Nếu các kiểm toán viên phát hiện ra rằng tổ chức bị điều tra đã bỏ qua việc thực hiện “nỗ lực có thiện chí” đối với việc tuân thủ HIPAA, thì tiền phạt có thể trở nên khổng lồ. Với hơn 40 triệu đô la tiền phạt kể từ năm 2016, việc tuân thủ HIPAA hiện nay quan trọng hơn bao giờ hết.

Các vi phạm HIPAA phổ biến là gì?

Một số nguyên nhân phổ biến của vi phạm HIPAA và tiền phạt được liệt kê ở đây:

• Máy tính xách tay bị đánh cắp
• Điện thoại bị đánh cắp
• Đánh cắp thiết bị USB
• Sự cố phần mềm độc hại
• Tấn công ransomware
• Hacking
• Vi phạm liên kết kinh doanh
• Vi phạm EHR
• Đột nhập văn phòng
• Gửi PHI đến nhầm bệnh nhân / liên hệ
• Thảo luận về PHI bên ngoài văn phòng
• Các bài đăng trên mạng xã hội

Tuân thủ HIPAA là gì

Các vi phạm HIPAA này thường thuộc một số loại:

• Sử dụng và tiết lộ: Vi phạm Sử dụng và Tiết lộ xảy ra khi một pháp nhân được bảo hiểm hoặc công ty liên kết kinh doanh phân phối PHI hoặc ePHI không đúng cách cho một bên không chính xác. Một ví dụ là nếu văn phòng bác sĩ gửi PHI qua đường bưu điện cho công ty của bệnh nhân mà không được bệnh nhân cho phép. Đây chính xác là tình huống diễn ra vào tháng 5 năm 2017 khi Mount Sinai-St. Bệnh viện Luke’s ở thành phố New York bị phạt $ 387,000. Một phòng khám HIV trong hệ thống bệnh viện đã gửi tình trạng HIV của bệnh nhân và hồ sơ y tế cho công ty của họ mà không nhận được sự cho phép của HIPAA. OCR đã điều tra vụ việc và nhận thấy rằng việc sử dụng và tiết lộ PHI không đúng cách đã cấu thành một vi phạm HIPAA và tiền phạt liên quan.

• Các biện pháp bảo vệ an ninh không phù hợp: Các biện pháp bảo vệ HIPAA không phù hợp có thể dẫn đến vi phạm HIPAA khi các tiêu chuẩn của Quy tắc bảo mật HIPAA không được tuân thủ đúng. Để duy trì sự tuân thủ Quy tắc bảo mật HIPAA, các tổ chức có HIPAA phải có các biện pháp bảo vệ Vật lý, Hành chính và Kỹ thuật thích hợp để giữ PHI và ePHI an toàn. Trong những năm gần đây, các cuộc tấn công ransomware đã gia tăng nhằm vào các tổ chức chăm sóc sức khỏe có mục tiêu. Dữ liệu y tế có giá trị gấp ba lần dữ liệu tài chính trên thị trường chợ đen, có nghĩa là các tổ chức chăm sóc sức khỏe ngày càng dễ bị tấn công bởi các cuộc tấn công an ninh mạng. Các biện pháp bảo vệ an toàn HIPAA có thể bảo vệ các tổ chức chăm sóc sức khỏe chống lại phần mềm tống tiền và ngăn chặn vi phạm HIPAA.

• Quy tắc tối thiểu cần thiết: Quy tắc tối thiểu cần thiết là một thành phần của Quy tắc bảo mật HIPAA, đây là nguyên nhân phổ biến dẫn đến vi phạm HIPAA. Quy tắc Cần thiết Tối thiểu quy định rằng nhân viên của các đơn vị được bảo hiểm chỉ có thể truy cập, sử dụng, truyền hoặc xử lý lượng PHI tối thiểu cần thiết để hoàn thành một nhiệm vụ nhất định. Nếu một phần lớn hồ sơ bệnh án của bệnh nhân bị vi phạm dữ liệu do không tuân theo Quy tắc tối thiểu cần thiết, điều đó có thể dẫn đến vi phạm Quy tắc bảo mật HIPAA và dẫn đến tiền phạt HIPAA.

• Kiểm soát truy cập: Kiểm soát truy cập là một khía cạnh của quy định HIPAA giới hạn số lượng nhân viên tại một tổ chức có quyền truy cập vào PHI. Việc tiếp cận PHI nên bị hạn chế dựa trên vai trò và trách nhiệm của nhân viên được đề cập. Nếu các biện pháp kiểm soát truy cập quá rộng, thì PHI sẽ gặp rủi ro không đáng có. Nếu một tổ chức chăm sóc sức khỏe gặp phải vi phạm dữ liệu do kiểm soát quyền truy cập HIPAA không phù hợp, điều đó có thể dẫn đến một khoản tiền phạt lớn do sơ suất.

• Thông báo về Thực tiễn Quyền riêng tư: Có Thông báo về Thực tiễn Bảo mật là tiêu chuẩn bắt buộc của Quy tắc Bảo mật HIPAA. Các tổ chức được đài thọ phải cho phép bệnh nhân xem xét và đồng ý với Thông báo về Thực hành Quyền riêng tư của tổ chức họ trước khi bắt đầu điều trị. Quy định của HIPAA yêu cầu các đơn vị được bảo hiểm phải có Thông báo về Thực hành Quyền riêng tư được dán ở nơi dễ nhìn thấy để bệnh nhân xem xét, ngoài các bản sao giấy. Các vi phạm HIPAA phổ biến có thể do pháp nhân được bảo hiểm không tiết lộ đúng các Nguyên tắc về quyền riêng tư của họ hoặc do vi phạm. Theo Quy tắc về quyền riêng tư của HIPAA, bệnh nhân có một số quyền nhất định đối với quyền truy cập, quyền riêng tư và tính toàn vẹn của dữ liệu chăm sóc sức khỏe và PHI của họ.

Nguồn: https://compliancy-group.com/what-is-hipaa-compliance/