HIPAA là gì
HIPAA (Health Insurance Portability and Accountability Act) là luật liên bang Mỹ được ban hành năm 1996. Phần quan trọng nhất với developer là HIPAA Privacy Rule (2003) và HIPAA Security Rule (2005), quy định cách xử lý và bảo vệ thông tin y tế cá nhân.
Về mặt kỹ thuật, HIPAA không phải một tiêu chuẩn bảo mật như ISO 27001. Nó là luật pháp. Vi phạm HIPAA có thể dẫn đến phạt tiền từ phía Bộ Y tế và Dịch vụ Nhân sinh Mỹ (HHS), và trong các trường hợp nghiêm trọng, truy tố hình sự.
Nguồn: HHS.gov, HIPAA for Professionals (hhs.gov/hipaa/for-professionals)
HIPAA có áp dụng cho công ty Việt Nam không
Câu trả lời là có, trong một số trường hợp.
HIPAA áp dụng không dựa vào quốc gia của công ty mà dựa vào loại dữ liệu bạn xử lý và mối quan hệ với tổ chức y tế Mỹ.
Nếu công ty bạn:
- Xây phần mềm quản lý bệnh nhân cho bệnh viện Mỹ
- Phát triển ứng dụng telemedicine phục vụ bệnh nhân tại Mỹ
- Xử lý, lưu trữ, hoặc truyền tải thông tin y tế của bệnh nhân Mỹ theo hợp đồng với một covered entity
thì công ty đó có nghĩa vụ tuân thủ HIPAA với tư cách là business associate.
Không ít công ty outsourcing Việt Nam ký hợp đồng với bệnh viện hoặc clinic Mỹ rồi mới phát hiện trong giai đoạn vendor qualification rằng cần có Business Associate Agreement (BAA) và chứng minh tuân thủ HIPAA.
PHI và ePHI là gì
PHI (Protected Health Information) là thông tin y tế cá nhân nằm trong phạm vi bảo vệ của HIPAA. Để được coi là PHI, thông tin đó phải:
- Liên quan đến sức khỏe thể chất hoặc tâm thần, việc cung cấp dịch vụ y tế, hoặc thanh toán cho dịch vụ y tế
- Có thể nhận dạng được một cá nhân cụ thể
Ví dụ PHI: tên bệnh nhân kết hợp với chẩn đoán bệnh, số hồ sơ bệnh án, ngày nhập viện, địa chỉ, số điện thoại khi đi kèm với thông tin y tế.
HIPAA liệt kê 18 loại nhận dạng cần được bảo vệ, bao gồm tên, địa chỉ, ngày sinh, số điện thoại, địa chỉ email, số an sinh xã hội, số hồ sơ bệnh án, ảnh và nhiều loại khác.
Nguồn: HHS.gov, Guidance on De-identification of PHI (hhs.gov/hipaa/for-professionals/privacy/special-topics/de-identification)
ePHI (Electronic PHI) là PHI được tạo ra, nhận, lưu trữ, hoặc truyền tải dưới dạng điện tử. Đây là phần mà developer thường gặp nhất: database records, API responses, file upload từ bệnh nhân, log files.
Sự phân biệt quan trọng: HIPAA Security Rule chỉ áp dụng cho ePHI, không phải PHI trên giấy tờ. Nhưng với hầu hết phần mềm hiện đại, ePHI là phần cần chú ý nhất.
Covered entity và business associate
HIPAA áp dụng trực tiếp cho hai loại tổ chức:
Covered entity là tổ chức y tế Mỹ nằm trong phạm vi luật: bệnh viện, phòng khám, bảo hiểm y tế, các nhà cung cấp dịch vụ y tế. Đây là khách hàng của bạn nếu bạn làm outsourcing y tế.
Business associate là tổ chức không phải covered entity nhưng xử lý PHI thay mặt cho covered entity trong khuôn khổ hợp đồng dịch vụ. Đây là danh mục mà công ty phần mềm Việt Nam thường rơi vào.
Nếu bạn là business associate và thuê thêm nhà thầu phụ để xử lý PHI, nhà thầu đó cũng trở thành subcontractor business associate và bị ràng buộc bởi HIPAA. Trách nhiệm kéo dài theo chuỗi.
Để xác nhận mối quan hệ này, covered entity sẽ yêu cầu bạn ký Business Associate Agreement (BAA) trước khi bắt đầu xử lý PHI. BAA là hợp đồng pháp lý quy định cách bạn bảo vệ dữ liệu, những gì được phép làm với PHI, và trách nhiệm khi xảy ra vi phạm.
Nguồn: HHS.gov, Business Associates (hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates)
Ba nhóm yêu cầu của HIPAA Security Rule
HIPAA Security Rule chia các biện pháp bảo vệ thành ba nhóm:
Administrative safeguards
Quy trình và chính sách quản lý. Yêu cầu cụ thể:
- Security management process: risk assessment và risk management được ghi tài liệu
- Workforce training: toàn bộ nhân viên có quyền truy cập ePHI phải được đào tạo về HIPAA
- Access management: chỉ những người cần thiết mới có quyền truy cập PHI (minimum necessary principle)
- Contingency planning: backup và khôi phục dữ liệu khi xảy ra sự cố
Physical safeguards
Kiểm soát vật lý đối với nơi xử lý ePHI:
- Workstation controls: màn hình không hiển thị PHI khi không có người dùng
- Device and media controls: quy trình xử lý thiết bị lưu trữ khi thay thế hoặc tiêu hủy
- Facility access: kiểm soát truy cập vào văn phòng hoặc server room
Technical safeguards
Phần developer thường chịu trách nhiệm trực tiếp:
- Access control: xác thực người dùng trước khi cho phép truy cập ePHI
- Audit controls: ghi log tất cả thao tác với ePHI (ai truy cập, khi nào, làm gì)
- Integrity controls: đảm bảo ePHI không bị chỉnh sửa trái phép
- Transmission security: mã hóa ePHI khi truyền qua mạng
HIPAA Security Rule sử dụng hai mức yêu cầu: "required" và "addressable". Required là bắt buộc. Addressable không có nghĩa tùy chọn; nó có nghĩa là bạn phải đánh giá xem yêu cầu đó có phù hợp với tình huống của mình không và ghi lại quyết định đó.
Nguồn: HHS.gov, HIPAA Security Rule (hhs.gov/hipaa/for-professionals/security/laws-regulations)
Mã hóa trong HIPAA
HIPAA không bắt buộc mã hóa theo quy tắc "required". Nhưng nó là "addressable" và trong hầu hết trường hợp, không mã hóa cần có lý do giải thích được. Nếu không có lý do đó, mã hóa là con đường ít rủi ro nhất.
Thực tế, khi xảy ra vi phạm dữ liệu, dữ liệu đã được mã hóa đúng cách theo NIST standards được coi là "unusable, unreadable, or indecipherable" và không kích hoạt nghĩa vụ báo cáo vi phạm. Đây là lý do thực dụng nhất để mã hóa ePHI.
NIST 800-111 cung cấp guidance về mã hóa storage. Mã hóa transmission thường dùng TLS 1.2 trở lên.
Nguồn: HHS.gov, Guidance on Risk Analysis (hhs.gov/hipaa/for-professionals/security/guidance/guidance-risk-analysis)
Audit log yêu cầu gì
Audit logging là technical safeguard bắt buộc trong HIPAA Security Rule. Cụ thể hơn, yêu cầu là "implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI."
Log cần ghi lại ít nhất:
- Ai đã truy cập (user ID)
- Hệ thống hoặc record nào được truy cập
- Thời điểm
- Hành động được thực hiện (read, write, update, delete)
HIPAA không quy định format log hay thời gian lưu trữ tối thiểu trong Security Rule, nhưng nhiều hướng dẫn khuyến nghị giữ audit log ít nhất 6 năm (aligned với documentation retention requirement của HIPAA).
Log cần được bảo vệ: người có quyền truy cập ePHI không nên có quyền xóa hoặc chỉnh sửa audit log của họ.
Breach notification
HIPAA Breach Notification Rule (được sửa đổi bởi HITECH Act năm 2009) yêu cầu khi xảy ra vi phạm dữ liệu:
- Covered entity phải thông báo cho bệnh nhân bị ảnh hưởng trong vòng 60 ngày
- Nếu vi phạm ảnh hưởng từ 500 người trở lên, phải thông báo cho HHS và phương tiện truyền thông địa phương đồng thời
- Business associate phải thông báo cho covered entity "without unreasonable delay" và không quá 60 ngày
Các vi phạm hàng năm được HHS công bố trong "Wall of Shame" tại hhs.gov/hipaa/for-professionals/breach-notification/breach-reporting. Đây là dữ liệu công khai cho thấy loại sự cố nào xảy ra thường xuyên nhất.
Nguồn: HHS.gov, Breach Notification Rule (hhs.gov/hipaa/for-professionals/breach-notification)
Mức phạt
HIPAA phân chia mức phạt theo 4 tầng tùy mức độ vi phạm:
| Tầng | Mô tả | Phạt mỗi vi phạm | Tối đa mỗi năm |
|---|---|---|---|
| 1 | Không biết về vi phạm và không thể tránh được | $100 – $50,000 | $25,000 |
| 2 | Có lý do chính đáng, không phải cẩu thả | $1,000 – $50,000 | $100,000 |
| 3 | Cẩu thả nhưng đã sửa trong 30 ngày | $10,000 – $50,000 | $250,000 |
| 4 | Cẩu thả và không sửa | $50,000 | $1,500,000 |
Ngoài phạt hành chính, vi phạm có chủ ý để trục lợi có thể dẫn đến phạt hình sự lên đến $250,000 và 10 năm tù.
Nguồn: HHS.gov, HIPAA Enforcement (hhs.gov/hipaa/for-professionals/compliance-enforcement)
HIPAA khác ISO 27001 ở điểm nào
Developer quen với ISO 27001 thường hỏi câu này.
ISO 27001 là tiêu chuẩn quản lý rủi ro tổng thể: bạn xác định rủi ro của mình, chọn controls phù hợp, và xây dựng ISMS có hệ thống. Đầu ra là chứng chỉ từ certification body.
HIPAA là luật pháp nhắm vào dữ liệu y tế cụ thể tại thị trường Mỹ. Nó không cấp chứng chỉ (không có "chứng nhận HIPAA" chính thức nào từ chính phủ Mỹ). Compliance được chứng minh thông qua việc có đủ documentation, BAA đã ký, và audit log khi HHS kiểm tra.
ISO 27001 giúp xây nền tảng ISMS mà nhiều yêu cầu technical safeguards của HIPAA có thể được đáp ứng thông qua đó. Nhưng ISO 27001 không thay thế BAA, không bao gồm breach notification procedures của Mỹ, và không yêu cầu minimum necessary standard đặc thù của HIPAA.
Checklist nhanh cho developer
Khi nhận một dự án có thể liên quan đến PHI:
- Xác định dữ liệu nào là PHI hoặc ePHI trong hệ thống
- Hỏi khách hàng về BAA, ai ký, và đã có BAA với nhà thầu phụ chưa
- Kiểm tra logging: mọi truy cập ePHI có được ghi log không?
- Kiểm tra mã hóa: ePHI có được mã hóa khi lưu và khi truyền không?
- Kiểm tra access control: minimum necessary principle có được áp dụng không?
- Xác nhận breach notification procedure: nếu xảy ra data breach, ai thông báo ai trong bao lâu?
- Kiểm tra disaster recovery: ePHI có backup không, khôi phục được không?
Đây không phải danh sách đầy đủ, nhưng là điểm bắt đầu để xác định phạm vi công việc cần làm.
Tài liệu tham khảo:
- HHS.gov: HIPAA for Professionals (hhs.gov/hipaa/for-professionals)
- HHS.gov: HIPAA Security Rule (hhs.gov/hipaa/for-professionals/security/laws-regulations)
- HHS.gov: Business Associates (hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates)
- HHS.gov: HIPAA Breach Notification Rule (hhs.gov/hipaa/for-professionals/breach-notification)
- HHS.gov: HIPAA Enforcement and Penalties (hhs.gov/hipaa/for-professionals/compliance-enforcement)
- HHS.gov: Guidance on De-identification of PHI (hhs.gov/hipaa/for-professionals/privacy/special-topics/de-identification)