Câu hỏi không có câu trả lời đơn giản

HIPAA là luật liên bang Mỹ. Về mặt lý thuyết, chỉ các tổ chức hoạt động tại Mỹ mới nằm trong phạm vi điều chỉnh. Trên thực tế, ranh giới đó không được vẽ theo địa lý.

HHS (Bộ Y tế và Dịch vụ Nhân sinh Mỹ) không phân biệt công ty đóng tại Hà Nội hay Houston. Điều quan trọng là bạn có xử lý protected health information (PHI) của bệnh nhân Mỹ hay không, và bạn có làm điều đó theo hợp đồng với một tổ chức y tế Mỹ hay không.

Nguồn: HHS.gov, Business Associates (hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates)


Khi nào HIPAA áp dụng cho công ty Việt Nam

HIPAA tạo ra hai loại tổ chức bị ràng buộc trực tiếp:

Covered entity là bệnh viện, phòng khám, bảo hiểm y tế, và các nhà cung cấp dịch vụ y tế Mỹ. Đây là khách hàng của bạn, không phải bạn.

Business associate là tổ chức thực hiện dịch vụ cho covered entity mà trong quá trình đó phải truy cập, xử lý, lưu trữ, hoặc truyền tải PHI. Đây là danh mục mà công ty phần mềm Việt Nam thường rơi vào khi nhận hợp đồng từ bệnh viện hoặc công ty y tế Mỹ.

Các ví dụ cụ thể:

Loại công ty VNCông việcCó phải business associate?
IT outsourcingXây EHR (Electronic Health Records) cho bệnh viện Mỹ
IT outsourcingXây website marketing cho phòng khám Mỹ (không xử lý PHI)Không
SaaS healthtechCung cấp platform telemedicine cho bệnh nhân Mỹ
Data analyticsPhân tích dữ liệu bệnh nhân ẩn danh hoàn toàn (de-identified)Không, nếu đã de-identify đúng chuẩn HIPAA
Cloud/infrastructureLưu trữ dữ liệu cho công ty y tế Mỹ

HIPAA thực thi bằng cách nào với công ty nước ngoài

HHS không có cơ chế trực tiếp phạt công ty Việt Nam không đặt văn phòng tại Mỹ. Nhưng rủi ro đến từ phía khác.

Khi covered entity ký Business Associate Agreement (BAA) với bạn, họ có trách nhiệm pháp lý đảm bảo bạn tuân thủ. Nếu xảy ra vi phạm dữ liệu và HHS điều tra, covered entity sẽ phải giải thích tại sao business associate của họ không có biện pháp bảo vệ HIPAA đầy đủ.

Hậu quả thực tế với công ty Việt Nam:

  • Mất hợp đồng nếu không thể ký BAA hoặc không chứng minh được tuân thủ
  • Bị kiện dân sự từ phía covered entity nếu vi phạm gây thiệt hại cho họ
  • Mất uy tín thị trường Mỹ nếu vi phạm được công bố (HHS đăng vi phạm công khai tại hhs.gov/hipaa/for-professionals/breach-notification/breach-reporting)
  • Không thể dự thầu các dự án y tế Mỹ trong tương lai

Trường hợp cụ thể: bạn nhận subcontract từ công ty IT Mỹ

Nhiều công ty Việt Nam không ký hợp đồng trực tiếp với bệnh viện mà làm subcontractor cho công ty IT Mỹ, công ty đó mới là business associate chính.

HIPAA quy định rõ: subcontractor của business associate cũng trở thành business associate nếu họ xử lý PHI. Công ty Mỹ đó phải ký "subcontractor BAA" với bạn để bảo vệ họ. Nếu họ không làm vậy, rủi ro pháp lý là của họ. Nhưng nếu bạn nhận subcontract và xử lý PHI mà không có biện pháp bảo vệ, rủi ro hợp đồng vẫn là của bạn.

Nguồn: HHS.gov, Business Associates (hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates)


De-identification: con đường thoát khỏi phạm vi HIPAA

Nếu bạn chỉ xử lý dữ liệu đã được de-identify theo chuẩn HIPAA, bạn không còn xử lý PHI và không bị ràng buộc bởi Security Rule.

HIPAA định nghĩa hai phương pháp de-identification hợp lệ:

Safe Harbor method: xóa toàn bộ 18 loại nhận dạng (tên, địa chỉ, ngày sinh, số điện thoại, email, số an sinh xã hội, số hồ sơ bệnh án, ảnh, và nhiều loại khác). Dữ liệu còn lại không được có thể nhận dạng bất kỳ cá nhân nào.

Expert Determination method: một chuyên gia thống kê xác nhận rằng rủi ro nhận dạng ngược là rất thấp.

Trong thực tế, nhiều công ty phân tích dữ liệu nhận dữ liệu đã de-identify từ phía bệnh viện và không cần ký BAA. Nhưng nếu có bất kỳ trường hợp nào dữ liệu chưa được de-identify hoàn toàn trước khi đến tay bạn, toàn bộ quy trình coi như có PHI.

Nguồn: HHS.gov, Guidance on De-identification (hhs.gov/hipaa/for-professionals/privacy/special-topics/de-identification)


Câu hỏi tự đánh giá nhanh

Nếu công ty bạn đang làm việc với khách hàng y tế Mỹ, trả lời bốn câu hỏi sau:

  1. Dữ liệu bạn nhận hoặc xử lý có chứa thông tin có thể nhận dạng bệnh nhân không?
  2. Thông tin đó có liên quan đến sức khỏe, điều trị, hoặc thanh toán dịch vụ y tế không?
  3. Khách hàng Mỹ của bạn có phải là bệnh viện, phòng khám, bảo hiểm y tế, hoặc nhà cung cấp dịch vụ y tế không?
  4. Có hợp đồng nào yêu cầu bạn xử lý dữ liệu đó không?

Nếu trả lời "có" cho cả bốn câu, bạn nhiều khả năng là business associate theo định nghĩa của HIPAA.

Bước tiếp theo thực tế: trao đổi với khách hàng Mỹ về BAA, xem họ có yêu cầu bạn ký không, và xem lại các biện pháp bảo vệ kỹ thuật hiện tại của bạn có đáp ứng HIPAA Security Rule không.


Tài liệu tham khảo:

Thẻ:
HIPAABusiness AssociateOutsourcingViệt Nam