Trước khi dùng checklist này

Checklist này dựa trên HIPAA Security Rule (45 CFR Part 164, Subpart C) và áp dụng cho các công ty phần mềm Việt Nam hoạt động với tư cách business associate. Nếu bạn chưa xác định mình có phải business associate hay không, đọc bài HIPAA có áp dụng cho công ty Việt Nam không trước.

Danh sách này không thay thế tư vấn pháp lý. Nó là điểm khởi đầu để hiểu phạm vi công việc cần làm và xác định các gaps hiện tại.

Nguồn: HHS.gov, HIPAA Security Rule (hhs.gov/hipaa/for-professionals/security/laws-regulations)


Phần 1: Hợp đồng và pháp lý

Đây là phần nhiều công ty bỏ qua khi tập trung vào technical controls, nhưng lại là nơi HHS kiểm tra đầu tiên.

  • [ ] Đã ký Business Associate Agreement (BAA) với mọi covered entity bạn xử lý PHI cho họ
  • [ ] BAA có đầy đủ các điều khoản bắt buộc theo 45 CFR §164.504(e)
  • [ ] Đã ký subcontractor BAA với mọi nhà thầu phụ xử lý PHI thay mặt bạn
  • [ ] BAA được lưu trữ ít nhất 6 năm
  • [ ] Có quy trình review BAA khi hợp đồng kết thúc hoặc thay đổi

Phần 2: Administrative safeguards

Risk assessment và risk management

  • [ ] Đã thực hiện security risk assessment bằng văn bản, xác định mọi ePHI trong hệ thống
  • [ ] Risk assessment được cập nhật khi có thay đổi đáng kể (hệ thống mới, thay đổi nhân sự, sự cố)
  • [ ] Có risk management plan xác định cách xử lý từng rủi ro đã phát hiện
  • [ ] Risk assessment và risk management plan được lưu tài liệu

Chính sách và quy trình

  • [ ] Có Information Security Policy được ban lãnh đạo phê duyệt
  • [ ] Chính sách bao gồm quy định về xử lý ePHI
  • [ ] Chính sách được review và cập nhật định kỳ (thông thường ít nhất hàng năm)
  • [ ] Nhân viên được đào tạo về chính sách bảo mật liên quan đến ePHI

Quản lý nhân sự

  • [ ] Có quy trình background check trước khi nhân viên truy cập ePHI
  • [ ] Có security awareness training cho mọi nhân viên có quyền truy cập ePHI
  • [ ] Training được ghi lại (ai được đào tạo, khi nào, nội dung gì)
  • [ ] Có quy trình xử lý vi phạm chính sách bảo mật
  • [ ] Có quy trình offboarding thu hồi toàn bộ quyền truy cập khi nhân viên nghỉ việc

Contingency planning

  • [ ] Có data backup plan cho ePHI, backup được kiểm tra định kỳ
  • [ ] Có disaster recovery plan xác định thời gian khôi phục tối đa (RTO/RPO)
  • [ ] Có emergency access procedure khi hệ thống chính gặp sự cố
  • [ ] Disaster recovery plan được test ít nhất một lần một năm

Phần 3: Physical safeguards

Physical safeguards áp dụng cả với remote/distributed teams, workstation của developer từ xa cũng nằm trong phạm vi.

Cơ sở vật chất

  • [ ] Kiểm soát truy cập vào văn phòng nơi xử lý ePHI (badge access, sign-in log)
  • [ ] Màn hình máy tính tự động lock sau thời gian không hoạt động (thường 5-15 phút)
  • [ ] Có chính sách clean desk: không để tài liệu chứa PHI trên bàn khi không có người

Thiết bị

  • [ ] Laptop và thiết bị di động được mã hóa toàn bộ ổ đĩa
  • [ ] Có quy trình remote wipe cho thiết bị bị mất hoặc bị đánh cắp
  • [ ] Có quy trình xử lý thiết bị hỏng/thay thế: data phải được xóa an toàn trước khi tái sử dụng hoặc tiêu hủy
  • [ ] Thiết bị dùng cho ePHI không được dùng chung với người ngoài tổ chức

Phần 4: Technical safeguards

Đây là phần developer thường quen thuộc nhất. Tất cả các mục sau đều là "required" hoặc "addressable" trong HIPAA Security Rule.

Access control

  • [ ] Mỗi nhân viên có user ID riêng, không dùng chung tài khoản
  • [ ] Multi-factor authentication (MFA) được bật cho mọi tài khoản có quyền truy cập ePHI
  • [ ] Quyền truy cập được cấp theo role-based access control (RBAC), chỉ những người cần thiết
  • [ ] Quyền truy cập được review định kỳ (thường mỗi quý) để phát hiện tài khoản không còn cần thiết
  • [ ] Có quy trình automatic session timeout sau khoảng thời gian không hoạt động

Audit controls

  • [ ] Hệ thống ghi log mọi truy cập vào ePHI (user ID, thời gian, record được truy cập, hành động)
  • [ ] Audit log không thể bị xóa hoặc chỉnh sửa bởi người dùng thông thường
  • [ ] Audit log được lưu trữ ít nhất 6 năm
  • [ ] Có quy trình review audit log định kỳ để phát hiện truy cập bất thường
  • [ ] Có cảnh báo tự động khi phát hiện hành vi bất thường (ví dụ: truy cập khối lượng lớn ePHI trong thời gian ngắn)

Integrity controls

  • [ ] Có cơ chế phát hiện ePHI bị chỉnh sửa trái phép (checksums, digital signatures)
  • [ ] Dữ liệu truyền tải được kiểm tra tính toàn vẹn

Transmission security

  • [ ] ePHI được mã hóa khi truyền qua mạng (TLS 1.2 trở lên)
  • [ ] Không truyền ePHI qua email thông thường hoặc kênh không mã hóa
  • [ ] API endpoints xử lý ePHI chỉ nhận kết nối qua HTTPS

Encryption at rest

  • [ ] ePHI được mã hóa khi lưu trữ trên database, file system, hoặc object storage
  • [ ] Encryption keys được quản lý và lưu trữ tách biệt với dữ liệu được mã hóa
  • [ ] Có quy trình rotation encryption keys định kỳ

Phần 5: Incident response và breach notification

  • [ ] Có incident response plan bằng văn bản cho các sự cố liên quan đến ePHI
  • [ ] Nhân viên biết cách báo cáo sự cố nghi ngờ và ai là người nhận báo cáo
  • [ ] Có quy trình xác định liệu một sự cố có phải "breach" theo định nghĩa HIPAA không
  • [ ] Có thời hạn rõ ràng để thông báo cho covered entity khi xảy ra breach (không quá 60 ngày theo HIPAA Breach Notification Rule, nhưng nhiều BAA yêu cầu nhanh hơn)
  • [ ] Breach được ghi lại và lưu tài liệu bất kể có phải báo cáo hay không

Nguồn: HHS.gov, Breach Notification Rule (hhs.gov/hipaa/for-professionals/breach-notification)


Phần 6: Third-party và cloud services

Nhiều vi phạm HIPAA xảy ra qua vendor, không phải qua hệ thống của business associate chính.

  • [ ] Có danh sách tất cả third-party services xử lý hoặc có thể truy cập ePHI
  • [ ] Đã ký BAA hoặc có HIPAA-compliant addendum với các services đó
  • [ ] Cloud storage provider (AWS S3, GCP Storage) đã ký BAA
  • [ ] Email service, ticketing system, log management tool không chứa ePHI, hoặc đã ký BAA
  • [ ] Định kỳ review danh sách vendor khi có service mới được thêm vào

Cách dùng checklist này

Checklist này dài hơn hầu hết mọi người mong đợi. Đó là bình thường. Công ty làm dự án y tế Mỹ lần đầu thường mất 6-12 tháng để xây đủ controls và documentation.

Cách tiếp cận thực tế: bắt đầu với phần 1 (BAA) và phần 4 (technical safeguards) vì đây là những gì covered entity sẽ hỏi đầu tiên trong vendor qualification. Phần 2 (administrative) cần nhiều thời gian nhất vì liên quan đến quy trình nội bộ và training. Phần 3 (physical) thường ít được chú ý nhưng lại dễ implement nhất.


Tài liệu tham khảo:

Thẻ:
HIPAACompliance ChecklistSecurity RuleIT Outsourcing