Luật HIPAA và các quy tắc bảo mật thông tin sức khỏe

Ngày nay, tất cả chúng ta đều quan tâm đến việc bảo vệ sự riêng tư với lượng thông tin cá nhân được lưu trữ khổng lồ trên các nền tảng số. Như vậy những nhà cung cấp dịch vụ chăm sóc sức khoẻ đang làm gì để bảo vệ thông tin y tế của bạn.

Các bệnh viện, cơ sở y tế, các nhà cung cấp dịch vụ chăm sóc sức khoẻ nếu muốn lưu trữ, chuyển tiếp thông tin bệnh phân phải tuân theo các tiêu chuẩn nhất định. Làm thế nào mà bạn biết là mình có thể tin tưởng ai để trao các dữ liệu cá nhân và tại sao Luật HIPAA lại có thể giúp bạn bảo vệ sự riêng tư.

LUẬT HIPAA LÀ GÌ?

HIPAA là viết tắt của Federal Health Insurance Portability and Accountability Act, là luật nổi tiếng do chính phủ liên bang Hoa Kỳ ban hành năm 1996 nhằm thiết lập các quy tắc cho việc truy cập, xác thực, lưu trữ, kiểm toán và chuyển hồ sơ y tế điện tử. Luật này cho phép bệnh nhân có quyền đối với các thông tin sức khỏe của mình và khi nào thì các thông tin này được chia sẻ.  Luật cũng yêu cầu các bác sĩ, dược sĩ, các nhà cung cấp dịch vụ chăm sóc sức khỏe và chương trình y tế của bệnh nhân giải thích quyền lợi của họ và cách thông tin sức khỏe của họ có thể được sử dụng hoặc chia sẻ.

HIPAA ĐƯỢC ÁP DỤNG CHO NHỮNG CÁ NHÂN VÀ TỔ CHỨC NÀO?

Quy tắc bảo mật, cũng như tất cả các quy tắc đơn giản hóa về thủ tục hành chính áp dụng cho các cơ sở y tế và cho bất kỳ nhà cung cấp dịch vụ chăm sóc sức khỏe nào. 

Các ví dụ về người hoặc tổ chức không áp dụng luật HIPAA:

• Các công ty bán hàng tiêu dùng
• Các công ty kiểm tra di truyền
• Các cơ quan thực thi luật pháp
• Các công ty bảo hiểm 
• Trường học
• Nhà tuyển dụng của bạn

5 điều luật được quy định trong HIPAA

1. ​Luật bảo vệ sự riêng tư (Privacy rule)
2. Luật bảo mật thông tin điện tử (Security rule)
3. Luật chuyển tiếp dữ liệu (Transaction rule)
4. Luật bảo mật nhận diện danh tính (Identifier rules)
5. Các quy tắc thực thi (Enforcement rule)

NHỮNG THÔNG TIN NÀO ĐƯỢC BẢO VỆ THEO LUẬT HIPAA?

Những thông tin sức khỏe được bảo vệ (protected health information – PHI) bao gồm các dữ liệu nhân khẩu học giúp nhận dạng được cá nhân nào đó có liên quan đến:

• Thông tin về sức khỏe hoặc tình trạng sức khỏe trong quá khứ, hiện tại hoặc tương lai;
• Thông tin về cung cấp dịch vụ chăm sóc sức khỏe cho cá nhân;
• Thông tin thanh toán.

PHI bao gồm 18 loại thông tin nhận dạng:

1. Tên
2. Địa chỉ
3. Ngày (không bao gồm năm) liên quan trực tiếp đến một cá nhân, chẳng hạn như sinh nhật, ngày nhập học / xuất viện, ngày mất và tuổi chính xác của cá nhân trên 89 tuổi
4. Số điện thoại
5. Số fax
6. Địa chỉ email
7. Số an sinh xã hội
8. Số hồ sơ bệnh án
9. Số người thụ hưởng chương trình sức khỏe
10. Số tài khoản
11. Số chứng chỉ và giấy phép
12. Số nhận dạng phương tiện giao thông
13. Số nhận dạng thiết bị và số sê-ri
14. Web URL
15. Địa chỉ IP
16. Nhận dạng sinh trắc học như dấu vân tay, thu âm giọng nói, quét mống mắt và võng mạc
17. Ảnh toàn mặt và các ảnh khác có khả năng giúp nhận dạng bệnh nhân
18. Bất kỳ số liệu, đặc điểm hoặc mã nhận dạng chuyên biệt nào khác

Trong luật khám chữa bệnh Việt Nam (điều 8, mục 1, chương II) quy định bệnh nhân được quyền giữ bí mật thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án. Theo pháp luật Việt Nam tuy không có quy định cụ thể, chặt chẽ, rõ ràng, nhưng những thông tin sức khỏe của người bệnh vẫn được ngầm hiểu là phải tuyệt đối bảo mật. Vì thế, theo quan điểm của người làm trong ngành y, HIPAA đã trở thành quy chuẩn hành nghề hàng đầu của giới Y Khoa.