HIPAA là gì? Phòng khám của bạn có vô tình vi phạm HIPAA?

Trang chủ > Blog > Pháp Lý Nha Khoa > HIPAA là gì? Phòng khám của bạn có vô tình vi phạm HIPAA?

HIPAA là gì? Phòng khám của bạn có vô tình vi phạm HIPAA?

Hiểu luật để tránh những mâu thuẫn giữa Nha khoa và bệnh nhân.

1. HIPAA là gì?

HIPAA viết tắt của cụm từ “Health Insurance Portability and Accountability Act”. Đây là đạo luật nổi tiếng do chính phủ liên bang Hoa Kỳ ban hành năm 1996 nhằm thiết lập các quy tắc cho việc truy cập, xác thực, lưu trữ, kiểm toán thông tin và chuyển đổi hồ sơ y tế điện tử. Luật cho phép bệnh nhân có quyền với các thông tin sức khỏe của mình và khi nào thì thông tin này được chia sẻ. Các bệnh viện , cơ sở y tế, phòng khám, nhà cung cấp dịch vụ chăm sóc sức khỏe nếu muốn lưu trữ và chuyển tiếp hồ sơ bệnh án buộc phải tuân theo các tiêu chuẩn bảo vệ thông tin y tế của bệnh nhân theo quy tắc HIPAA.

2. Ai cần tuân thủ HIPAA?

Đúng như tên gọi, các tổ chức phải tuân thủ HIPAA bao gồm các bác sĩ y khoa cá nhân, phòng khám, dịch vụ y tế khu vực, bệnh viện và nhà cung cấp dịch vụ chăm sóc sức khỏe khác thực hiện các giao dịch dưới dạng điện tử, hoạt động y tế, trung tâm chăm sóc sức khỏe và bất kỳ ai cung cấp điều trị, thanh toán, hoạt động về chăm sóc sức khỏe.

HIPAA bao gồm những gì
hipaa-bao-gom

3. 5 điều luật được quy định trong HIPAA

  1. ​Luật bảo vệ sự riêng tư (Privacy rule)
  2. Luật bảo mật thông tin điện tử (Security rule)
  3. Luật chuyển tiếp dữ liệu (Transaction rule)
  4. Luật bảo mật nhận diện danh tính (Identifier rules)
  5. Các quy tắc thực thi (Enforcement rule)

4. Những thông tin được bảo vệ trong HIPAA?

Những thông tin sức khỏe được bảo vệ (protected health information – PHI) bao gồm các dữ liệu nhân khẩu học giúp nhận dạng được cá nhân nào đó có liên quan đến:

  • Thông tin về sức khỏe hoặc tình trạng sức khỏe trong quá khứ, hiện tại hoặc tương lai;
  • Thông tin về cung cấp dịch vụ chăm sóc sức khỏe cho cá nhân;
  • Thông tin thanh toán PHI bao gồm 18 loại thông tin nhận dạng:
    1. Tên
    2. Địa chỉ
    3. Ngày (không bao gồm năm) liên quan trực tiếp đến một cá nhân, chẳng hạn như sinh nhật, ngày nhập học / xuất viện, ngày mất và tuổi chính xác của cá nhân trên 89 tuổi
    4. Số điện thoại
    5. Số fax
    6. Địa chỉ email
    7. Số an sinh xã hội
    8. Số hồ sơ bệnh án
    9. Số người thụ hưởng chương trình sức khỏe
    10. Số tài khoản
    11. Số chứng chỉ và giấy phép
    12. Số nhận dạng phương tiện giao thông
    13. Số nhận dạng thiết bị và số sê-ri
    14. Web URL
    15. Địa chỉ IP
    16. Nhận dạng sinh trắc học như dấu vân tay, thu âm giọng nói, quét mống mắt và võng mạc
    17. Ảnh toàn mặt và các ảnh khác có khả năng giúp nhận dạng bệnh nhân
    18. Bất kỳ số liệu, đặc điểm hoặc mã nhận dạng chuyên biệt nào khác.

Nhiều người cho rằng, việc sử dụng các dịch vụ phần mềm tuân thủ HIPAA là không mấy quan trọng tại Việt Nam. Nhưng trên thực tế, Điều 8, mục 1, chương II, Luật khám chữa bệnh Việt Nam quy định bệnh nhân được quyền giữ bí mật thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án.  Những thông tin sức khỏe của người bệnh vẫn được hiểu là phải tuyệt đối bảo mật và các phòng khám có thể phải chịu trách nhiệm về hành vi trộm cắp dữ liệu xảy ra do sai lầm của những người bên ngoài tổ chức.

5. Những trường hợp vô tình vi phạm HIPAA trong hoạt động phòng khám

Việc vô tình vi phạm các quy định về quyền riêng tư là hoàn toàn có thể xảy ra, ví dụ như sau

  1. Một nhân viên chia sẻ bình luận châm biếm về việc phục hồi sức khỏe của một bệnh nhân trên Facebook kèm theo hình ảnh
  2. Bạn làm mất điện thoại có dữ liệu bệnh nhân được lưu trên đó. Điện thoại không có mã PIN hoặc mật khẩu, nghĩa là bất kỳ ai cũng có thể truy cập.
  3. Một nhà cung cấp có phần mềm bạn sử dụng bị vi phạm dữ liệu và không thông báo cho bạn về điều đó. Không may là , dữ liệu thực hành của bạn cũng bị xâm phạm do vi phạm.
  4. Nhân viên rời khỏi phòng khi đã đăng nhập vào phần mềm. Bất kỳ ai cũng có thể truy cập tệp bệnh nhân mà không cần ủy quyền.
  5. Xử lý sai hồ sơ y tế – Một vi phạm HIPAA rất phổ biến khác là xử lý sai hồ sơ bệnh nhân. Nếu một cơ sở khám chữa bệnh sử dụng biểu đồ hoặc hồ sơ bệnh nhân bằng văn bản, bác sĩ hoặc y tá có thể vô tình để lại biểu đồ trong phòng khám của bệnh nhân cho bệnh nhân khác xem. Hồ sơ y tế đã in phải được giữ kín, không được phép tiết lộ.
  6. Thiết bị bị mất hoặc bị đánh cắp – Việc lấy cắp PHI (thông tin sức khỏe được bảo vệ) thông qua máy tính xách tay, máy tính để bàn, điện thoại thông minh và các thiết bị khác chứa thông tin bệnh nhân là nguy cơ có thật.
  7. Đăng ảnh bệnh nhân trên mạng xã hội – khi chưa được cho phép- cũng bị xem là vi phạm HIPAA. Ai đó có thể nhận ra bệnh nhân và biết chuyên môn của bác sĩ, như vậy tức là vi phạm quyền riêng tư của bệnh nhân.
  8. Nhân viên truy cập thông tin bệnh nhân khi họ không được phép là một vi phạm phổ biến khác. Cho dù nguyên nhân là sự tò mò, hay ưu ái dành cho người thân hoặc bạn bè, thì điều này vẫn là bất hợp pháp. Những cá nhân sử dụng hoặc bán PHI vì lợi ích cá nhân có thể bị xử lý dân sự hoặc hình sự theo pháp luật.

Và rất nhiều trường hợp khác phát sinh trong quá trình khám chữa bệnh…

HIPAA là gì

HIPAA là quy tắc bảo mật dữ liệu quan trọng nhất trong ngành Y Tế – Sức Khỏe

6. Phòng tránh vi phạm quy tắc HIPAA 

Để phòng tránh vi phạm quy tắc HIPAA, chủ phòng khám cần đảm bảo đội ngũ nhân viên nội bộ hoàn toàn hiểu quy tắc HIPAA, và đặc biệt là các bên thứ 3 như đơn vị cung cấp phần mềm cũng phải đạt tiêu chuẩn HIPAA

1. Đào tạo đội ngũ nhân viên phòng khám về Quy tắc Bảo mật HIPAA

  • Đảm bảo rằng nhân viên của bạn trải qua khóa đào tạo HIPAA hàng năm.
  • Nhân viên ký và thừa nhận nhận thức của họ về HIPAA.
  • Ghi lại ngày đào tạo và tên nhân viên làm bằng chứng rằng tất cả nhân viên của bạn đã được đào tạo.
  • Bác sĩ, y tá, trợ thủ và tất cả nhân viên phải trải qua khóa đào tạo HIPAA hàng năm.
  • Xây dựng sổ tay thủ tục và chính sách bằng văn bản để mọi người trong cơ sở thực hành của bạn tuân theo, để đảm bảo quyền riêng tư và bảo mật của bệnh nhân. Hướng dẫn này cũng phải chứa các biểu mẫu, thông báo, tiết lộ và quy trình từng bước để thông báo về quyền riêng tư của bệnh nhân và tuân thủ HIPAA tổng thể. Các chính sách và thủ tục của bạn phải được tiếp cận với tất cả nhân viên.

2. Kiểm soát được bên thứ 3

Là chủ phòng khám, bạn cần biết:

  • Nơi lưu trữ thông tin trên phần mềm là ở đâu?
  • nguy cơ thất thoát trong trường hợp máy nhiễm virus hay xung đột với các phần mềm khác không?
  • Các phiên bản in của dữ liệu thông tin bệnh án (PHI) đang được lưu trữ nơi nào?
  • Nhà cung cấp sử dụng các công cụ và giao thức bảo mật nào để đảm bảo an ninh?
  • Họ có đào tạo chương trình an toàn thông tin đầy đủ cho nhân viên hay không?

Với phần mềm nha khoa On-premise (cài cố định tại phòng khám), dữ liệu không hề an toàn: Máy tính vẫn có thể bị hỏng và bị đánh cắp, dữ liệu có thể bị xóa hoặc sửa đổi, nhân viên IT có thể can thiệp vào hệ thống thông tin.

Nếu bạn đang sử dụng Phần mềm offline, sẽ có rất nhiều nguy cơ dẫn tới việc mất dữ liệu:

  • Do lỗi ổ cứng máy tính . Nếu chẳng may ổ cứng hỏng hoặc máy bị nhiễm virut không thể khắc phục thì dữ liệu của phòng khám sẽ mất hoàn toàn
  • Bằng cách sao chép dữ liệu từ máy chủ sang đĩa di động bởi những người không có thẩm quyền (có thể là nhân viên phòng khám , hoặc các thợ sửa chữa máy tính nếu có chủ ý)
  • Do đơn vị cung cấp phần mềm không có đạo đức ( họ có thể lấy dữ liệu của phòng khám qua những lần hỗ trợ

Nếu bạn sử dụng Phần mềm online không đạt chuẩn thì việc mất dữ liệu cũng không tránh khỏi nếu phòng khám của bạn gặp những vấn đề sau :

  • Do nhân viên của phòng khám lấy dữ liệu có chủ ý.
  • Do đơn vị cung cấp phần mềm không có đạo đức.
  • Do hacker tấn công.

Tại Việt Nam, mọi hồ sơ dữ liệu bệnh án điện tử đều phải quản lý theo Thông tư 46/2018 do Bộ Y Tế ban hành. 

Nguy cơ vi phạm HIPAA có thể đến từ phần mềm bạn đang sử dụng

Với phần mềm quản lý phòng khám nha khoa DentalFlow, tất cả dữ liệu của phòng khám sẽ được mã hóa. Vì vậy dù hacker xâm nhập thì cũng không thể sử dụng được các data đó. Với các nhân viên trong phòng khám, nếu không được quản lý phân quyền thì cũng không thể sử dụng hoặc xem các thông tin không thuộc thẩm quyền của mình.

Màn hình tính năng Phân quyền trên Phần mềm DentalFlow

KẾT LUẬN

Để phòng khám phát triển bền vững, yếu tố tiên quyết phải là LÀM ĐÚNG. Quyền riêng tư và bảo mật của thông tin sức khỏe của bệnh nhân phải là ưu tiên hàng đầu của tất cả các bác sĩ lâm sàng và chuyên gia y tế. Hãy đảm bảo rằng nhân viên của bạn được đào tạo về bảo mật HIPAA , và dữ liệu của bạn đang được giám sát – lưu trữ tại đơn vị phần mềm tuân theo Quy tắc bảo mật HIPAA.

=>> Xem thêm: Hipaa về truyền thông trên mạng xã hội – Tất cả các tuân thủ phòng khám nha khoa cần biết?

Tại Việt Nam hiện nay, DentalFlow là đơn vị duy nhất cung cấp phần mềm quản lý phòng khám nha thỏa mãn 2 điều kiện

  • Tuân thủ đạo luật dữ liệu HIPAA Quốc Tế. Bạn có thể yên tâm mọi thông tin bệnh nhân, nhân viên và dữ liệu phòng khám đều được lưu trữ và bảo mật tuyệt đối bởi nhà cung cấp nền tảng đám mây hàng đầu thế giới Amazon Web Services.
  • Đội ngũ phát triển đạt chuẩn An Toàn Thông Tin ISO 27001 (ISMS) – Chúng tôi được đào tạo liên tục và đảm bảo An Toàn Thông Tin hàng ngày khi phát triển các tính năng phần mềm.

— — — — — — — — — — — —

Phần mềm nha khoa DentalFlow – Bởi nha sĩ, vì nha sĩ!

👉 Click đăng kí tài khoản và sử dụng miễn phí ngay hôm nay!

Hotline: 092 774 1985

Facebook: https://www.facebook.com/dentalflowvn

Youtube:  https://www.youtube.com/c/DentalFlow

One thought on “HIPAA là gì? Phòng khám của bạn có vô tình vi phạm HIPAA?

Đăng ký dùng thử