Giới Thiệu
Bài viết này cung cấp checklist HIPAA compliance hoàn chỉnh dựa trên 54 implementation specifications của HIPAA Security Rule (45 CFR §164.308-316), được thiết kế riêng cho bối cảnh doanh nghiệp công nghệ y tế Việt Nam, nơi team kỹ thuật mạnh nhưng quy trình compliance thường chưa được formalize.
Checklist chia thành 4 phần theo cấu trúc HIPAA Security Rule: Administrative Safeguards (§164.308), Physical Safeguards (§164.310), Technical Safeguards (§164.312), và Documentation (§164.316).
Nguồn chính: 45 CFR Part 164, Subparts A & C | HHS Security Rule Guidance | NIST SP 800-66 Rev. 2
Phần 1: Administrative Safeguards (Biện Pháp Quản Trị)
Security Management, §164.308(a)(1)-(2)
- [ ] Chỉ định Security Officer (§164.308(a)(2)), người chịu trách nhiệm chính về HIPAA compliance
- [ ] Thực hiện Risk Analysis (§164.308(a)(1)(ii)(A)), đánh giá rủi ro toàn diện, cover ALL ePHI (không chỉ EHR, bao gồm email, mobile, backups). Cập nhật ít nhất hàng năm
- [ ] Risk Management Plan (§164.308(a)(1)(ii)(B)), kế hoạch xử lý từng rủi ro đã xác định, ưu tiên theo risk level
- [ ] Sanction Policy (§164.308(a)(1)(ii)(C)), chính sách kỷ luật khi nhân viên vi phạm
- [ ] Information System Activity Review (§164.308(a)(1)(ii)(D)), review audit logs, access reports, incident reports định kỳ
Workforce Security
- [ ] Background check cho nhân viên tiếp cận PHI
- [ ] Access authorization: quy trình phê duyệt quyền truy cập
- [ ] Termination procedure: thu hồi access ngay khi nhân viên nghỉ việc
- [ ] Clearance procedure: xác định mức truy cập phù hợp với vai trò
Training & Awareness, §164.308(a)(5)
- [ ] Security awareness training (Required), bắt buộc cho toàn bộ nhân viên
- [ ] HIPAA-specific training: cho nhân viên xử lý PHI trực tiếp
- [ ] Training records: lưu trữ bằng chứng ai đã training, khi nào (retain 6 năm)
- [ ] Security reminders (Addressable), nhắc nhở định kỳ về security best practices
- [ ] Protection from malicious software (Addressable), anti-malware procedures
- [ ] Log-in monitoring (Addressable), monitor failed login attempts
- [ ] Password management (Addressable), guidance tạo/đổi passwords
Incident Response, §164.308(a)(6)
- [ ] Incident Response Plan (Required), quy trình phát hiện, báo cáo, xử lý security incidents
- [ ] Breach notification procedure: quy trình thông báo trong 60 ngày (45 CFR §164.404)
- [ ] 4-Factor Risk Assessment process: quy trình đánh giá breach theo 4 yếu tố (§164.402)
- [ ] Incident log: ghi chép mọi security incident, kể cả minor (retain 6 năm)
- [ ] Post-incident review: root cause analysis và cải thiện sau mỗi incident
Contingency Plan, §164.308(a)(7)
- [ ] Data Backup Plan (Required), tạo bản sao ePHI có thể khôi phục
- [ ] Disaster Recovery Plan (Required), khôi phục dữ liệu khi thảm họa
- [ ] Emergency Mode Operation Plan (Required), duy trì business processes trong emergency
- [ ] Testing and Revision (Addressable), test contingency plans định kỳ
- [ ] Applications and Data Criticality Analysis (Addressable), đánh giá mức độ quan trọng của từng hệ thống
Business Associate Management
- [ ] BAA template: hợp đồng Business Associate Agreement chuẩn
- [ ] Vendor inventory: danh sách tất cả vendors tiếp cận PHI
- [ ] BAA signed với mọi sub-processor (cloud provider, email service, analytics)
- [ ] Vendor risk assessment: đánh giá bảo mật từng vendor
Phần 2: Physical Safeguards (Biện Pháp Vật Lý)
- [ ] Facility access controls: kiểm soát ai vào văn phòng/datacenter
- [ ] Workstation security: screen lock, clean desk policy
- [ ] Device management: inventory laptop/phone có chứa PHI
- [ ] Device disposal: quy trình xóa dữ liệu khi thải bỏ thiết bị
- [ ] Media controls: quản lý USB, hard drive, backup tape
Phần 3: Technical Safeguards (Biện Pháp Kỹ Thuật)
Access Control, §164.312(a)
- [ ] Unique User Identification (Required), mỗi người dùng có account riêng, không shared accounts
- [ ] Emergency Access Procedure (Required), quy trình truy cập ePHI trong tình huống khẩn cấp
- [ ] Automatic Logoff (Addressable), session timeout sau thời gian không hoạt động
- [ ] Encryption and Decryption (Addressable), mã hóa ePHI at rest. Addressable ≠ optional: phải implement hoặc document lý do + alternative
- [ ] Role-based access (RBAC): quyền truy cập theo vai trò, principle of least privilege
- [ ] Multi-factor authentication (MFA): khuyến nghị mạnh cho hệ thống chứa ePHI
Transmission Security, §164.312(e)
- [ ] Encryption in transit (Addressable), TLS 1.2+ (khuyến nghị TLS 1.3) cho mọi kết nối
- [ ] Integrity Controls (Addressable), đảm bảo ePHI không bị thay đổi trong quá trình truyền
- [ ] Encryption at rest: AES-256 cho dữ liệu lưu trữ (industry standard)
- [ ] Key management: dùng dedicated KMS (AWS KMS, Azure Key Vault, GCP Cloud KMS), rotate keys định kỳ
- [ ] End-to-end encryption cho messaging chứa PHI
Person/Entity Authentication, §164.312(d)
- [ ] Verify identity (Required), xác minh danh tính người/hệ thống truy cập ePHI
Audit Controls, §164.312(b) & Integrity, §164.312(c)
- [ ] Audit Controls (Required), hardware/software/procedural mechanisms ghi lại mọi hoạt động trong hệ thống chứa ePHI
- [ ] Log content: who accessed what ePHI, when, from where, what action
- [ ] Log retention: lưu logs ít nhất 6 năm (HIPAA documentation requirement)
- [ ] Log monitoring: giám sát anomalies, unauthorized access patterns
- [ ] Integrity (Required), bảo vệ ePHI khỏi bị thay đổi/phá hủy trái phép
- [ ] Mechanism to Authenticate ePHI (Addressable), checksum, hash, digital signatures
DevOps & Cloud Security (Modern Architecture)
- [ ] No real PHI in dev/test: dùng synthetic data cho development/staging environments
- [ ] Secrets management: không hardcode credentials, dùng vault/KMS
- [ ] SAST/DAST scanning trong CI/CD pipeline
- [ ] No ePHI in URLs: tránh PHI xuất hiện trong logs
- [ ] No ePHI in error messages: sanitize error responses
- [ ] VPC/private network cho hệ thống chứa ePHI, deny-by-default security groups
Phần 4: Documentation
- [ ] Privacy Policy: chính sách quyền riêng tư liên quan PHI
- [ ] Security Policies: tài liệu hóa tất cả security controls
- [ ] Procedures: quy trình cụ thể cho từng policy
- [ ] Evidence repository: nơi lưu trữ tất cả bằng chứng compliance
- [ ] Policy review schedule: review và update policies hàng năm
Thứ Tự Triển Khai Khuyến Nghị
Tốc độ triển khai phụ thuộc vào quy mô, mức độ sẵn sàng hiện tại, và số hệ thống chứa ePHI. Thứ tự ưu tiên:
- Assessment: Risk Analysis, gap analysis, assign Security Officer
- Policies: Viết/adopt policies, BAA với vendors, training plan
- Technical Controls: Implement encryption, access control, audit logging
- Training + Validation: Train team, collect evidence, internal audit
Sai Lầm Phổ Biến
"Chúng tôi dùng AWS nên đã compliant"
Sai. AWS cung cấp HIPAA-eligible infrastructure nhưng theo Shared Responsibility Model, bạn vẫn chịu trách nhiệm cho:
- Configuration đúng (S3 public access, security groups)
- Application-level security
- Access management
- Policies và training
- Ký BAA với AWS (Nguồn: AWS HIPAA Compliance)
"HIPAA chỉ cần cho production"
Sai. Nếu development/staging environment sử dụng real PHI, environment đó cũng phải compliant. Best practice: dùng synthetic data cho dev/staging.
"Một lần setup là xong"
Sai. HIPAA yêu cầu continuous compliance: risk assessment hàng năm, training định kỳ, monitoring liên tục.
Đọc Thêm
- HIPAA Là Gì? Hướng Dẫn Đầy Đủ, kiến thức nền tảng về PHI, 3 Rules
- 5 Rủi Ro Khi Không Tuân Thủ HIPAA, tại sao cần hành động ngay
- HIPAA vs Luật An Ninh Mạng VN, tuân thủ cả hai nếu phục vụ khách Mỹ
- Cách Đạt HIPAA Nhanh Với Automation, quy trình triển khai
Tự Động Hóa Với pTrackly
Quản lý 54 implementation specifications thủ công bằng spreadsheet không scale. pTrackly giúp:
- Auto-collect evidence từ AWS/GCP/GitHub, không cần screenshot thủ công
- Policy templates tiếng Việt và tiếng Anh, không cần viết từ đầu
- Control monitoring real-time, biết ngay khi control drift
- Audit-ready dashboard: sẵn sàng show cho khách hàng bất kỳ lúc nào
👉 Book demo ngay: Bắt đầu HIPAA compliance trong 15 phút, không cần viết policy từ đầu.
Thông tin trong bài viết này chỉ mang tính tham khảo và dựa trên 45 CFR Parts 160, 164. Không thay thế tư vấn pháp lý chính thức. "Addressable" trong HIPAA không có nghĩa optional, phải implement hoặc document lý do và alternative.