HIPAA compliance cho doanh nghiệp nhỏ là gì?

HIPAA là viết tắt của Đạo luật về Khả năng Chuyển đổi Bảo hiểm Y tế và Trách nhiệm Giải trình (Health Insurance Portability and Accountability Act). Với một doanh nghiệp nhỏ, tuân thủ HIPAA nghĩa là triển khai các biện pháp bảo vệ hợp lý để bảo vệ thông tin sức khỏe được bảo vệ, thường gọi là PHI (Protected Health Information), và tuân theo các quy định về cách thông tin đó được sử dụng, chia sẻ, lưu trữ và truy cập.

Không phải doanh nghiệp nhỏ nào cũng cần tuân thủ HIPAA. Thông thường, HIPAA áp dụng cho các cơ sở cung cấp dịch vụ chăm sóc sức khỏe, các chương trình/chính sách bảo hiểm y tế, các đơn vị xử lý thông tin y tế (healthcare clearinghouses) và nhiều nhà cung cấp bên ngoài xử lý PHI thay cho họ. Các nhà cung cấp bên ngoài này thường được gọi là business associates.

Nói bằng ngôn ngữ dễ hiểu, tuân thủ HIPAA không phải là một sản phẩm bạn mua và cũng không phải một danh sách kiểm tra làm một lần. Đó là cách vận hành doanh nghiệp liên tục để thông tin bệnh nhân được xử lý cẩn thận, được ghi lại rõ ràng và được bảo vệ khi hệ thống và nhân sự của bạn thay đổi.

Nếu doanh nghiệp của bạn thu thập, lưu trữ, gửi hoặc xem thông tin sức khỏe của bệnh nhân, HIPAA có thể ảnh hưởng đến công việc hằng ngày. Việc đó bao gồm email, hệ thống đặt lịch, công cụ lập hóa đơn, chia sẻ tệp, laptop, điện thoại, bản sao lưu (backups), và việc ai trong đội ngũ có thể xem những gì.

Với một phòng khám nhỏ hoặc doanh nghiệp liên quan đến y tế, rủi ro thường không chỉ là một sự cố mạng nghiêm trọng. Đó cũng có thể là những sai sót đơn giản, như gửi thông tin cho nhầm người, dùng mật khẩu yếu, để thiết bị cũ không được bảo vệ, hoặc không giới hạn quyền truy cập đối với nhân viên đã thôi việc.

HIPAA cũng quan trọng vì khách hàng, đối tác và các đơn vị bảo hiểm có thể kỳ vọng bạn chứng minh rằng bạn coi trọng quyền riêng tư. Thói quen tuân thủ tốt có thể giúp bạn giữ mọi thứ gọn gàng, giảm các sai sót có thể tránh và dễ hơn trong việc trả lời câu hỏi từ đối tác hoặc cơ quan quản lý. Yêu cầu có thể khác nhau theo ngành và theo từng tiểu bang, vì vậy nghĩa vụ cụ thể của bạn có thể khác.

Tuân thủ HIPAA tốt thường bắt đầu bằng việc biết chính xác thông tin bệnh nhân nằm ở đâu. Nghĩa là xác định máy tính, điện thoại, phần mềm, tài khoản email, các công cụ trên đám mây và các hồ sơ giấy mà doanh nghiệp của bạn sử dụng, đồng thời hiểu ai có thể truy cập các tài nguyên đó.

Sau đó, bạn đặt các biện pháp bảo vệ thực tế xung quanh thông tin. Một số ví dụ phổ biến gồm mật khẩu mạnh, xác thực đa yếu tố, gọi là MFA (multi-factor authentication), giúp tăng thêm một bước khi đăng nhập, mã hóa thiết bị, cập nhật phần mềm định kỳ, kiểm soát quyền truy cập của người dùng, bản sao lưu an toàn, và quy trình bằng văn bản cho các tình huống thường gặp.

Bạn cũng cần yếu tố con người và quy trình, không chỉ công nghệ. Nhân sự nên được đào tạo về các nguyên tắc cơ bản về quyền riêng tư, doanh nghiệp nên có chính sách phù hợp với cách bạn vận hành thực tế, và bạn cần biết phải làm gì nếu có sự cố xảy ra. Một nhà cung cấp dịch vụ CNTT được quản lý tốt, thường gọi là MSP (Managed Service Provider), có thể giúp doanh nghiệp nhỏ thiết lập và hỗ trợ các hệ thống này, nhưng cũng có thể cần thêm tư vấn pháp lý và tư vấn tuân thủ.

Nếu bạn trao đổi với một MSP, bạn có thể nghe các thuật ngữ mang tính kỹ thuật. Managed IT services nghĩa là hỗ trợ liên tục cho máy tính, thiết bị, phần mềm và hệ thống của bạn. MSP là công ty cung cấp hỗ trợ liên tục đó.

MFA, hay xác thực đa yếu tố, giúp bảo vệ việc đăng nhập bằng cách yêu cầu nhiều hơn mật khẩu. EDR nghĩa là endpoint detection and response (phát hiện và phản hồi tại điểm cuối). Endpoint là một thiết bị như laptop, máy bàn hoặc điện thoại, còn EDR là phần mềm giúp phát hiện hoạt động đáng ngờ trên các thiết bị đó. Patching (cập nhật vá lỗi) là việc cài đặt các bản cập nhật nhằm khắc phục lỗi hoặc vấn đề bảo mật.

RMM nghĩa là remote monitoring and management (giám sát và quản trị từ xa). Đây là phần mềm mà nhiều MSP dùng để theo dõi tình trạng thiết bị, triển khai cập nhật và hỗ trợ hệ thống từ xa. Thỏa thuận mức dịch vụ, hay SLA (service level agreement), là phần trong hợp đồng nêu rõ thời gian phản hồi và các điều khoản hỗ trợ. vCIO, hay virtual Chief Information Officer (Giám đốc Công nghệ Thông tin ảo), là cố vấn bên ngoài giúp lập kế hoạch CNTT và ngân sách.

Về sao lưu, bạn có thể nghe cụm từ 3-2-1 backup. Điều đó nghĩa là giữ 3 bản sao của dữ liệu quan trọng, trên 2 loại hình lưu trữ khác nhau, với 1 bản sao được lưu ngoài cơ sở (offsite). Bạn cũng có thể nghe các thuật ngữ tuân thủ khác. PCI (payment card industry) là các quy định dành cho doanh nghiệp xử lý thanh toán bằng thẻ. SOC 2 là một khung báo cáo mà một số nhà cung cấp phần mềm dùng để thể hiện họ quản lý các kiểm soát bảo mật như thế nào. Những khái niệm này khác với HIPAA, nhưng đôi khi được nhắc cùng nhau tùy theo mô hình doanh nghiệp của bạn.

Một doanh nghiệp nhỏ đang hướng tới các thực hành HIPAA vững hơn thường rà soát cả vận hành và công nghệ. Mục tiêu không phải là mua mọi công cụ trên thị trường. Mục tiêu là đảm bảo cấu hình thực tế của bạn phù hợp với rủi ro thực tế, quy mô nhân sự và quy trình làm việc của bạn.

Nếu bạn chưa biết bắt đầu từ đâu, việc lập một danh sách đơn giản về thiết bị của mình, phần mềm, nhà cung cấp email, nơi lưu trữ tệp, phương pháp sao lưu, vai trò nhân sự và bất kỳ nhà cung cấp bên ngoài nào có liên quan đến thông tin bệnh nhân sẽ rất hữu ích. Điều đó giúp bạn có cái nhìn rõ hơn trước khi trao đổi với nhà cung cấp IT hoặc chuyên gia tư vấn tuân thủ.

Nếu bạn muốn được hỗ trợ hiểu các lựa chọn của mình, NodeBridge IT có thể giúp bạn tìm một nhà cung cấp IT được quản lý độc lập. Chúng tôi không phải là công ty IT và chúng tôi không truy cập vào hệ thống của bạn. Chúng tôi cung cấp hướng dẫn mang tính giáo dục và dịch vụ ghép nối miễn phí dựa trên nhu cầu của doanh nghiệp bạn.

Bạn cũng có thể xem thêm các câu trả lời theo ngôn ngữ dễ hiểu hơn hoặc tìm hiểu cách các dịch vụ IT được quản lý thường được thiết kế cho doanh nghiệp nhỏ.