Các tổ chức chăm sóc sức khỏe (bác sĩ, bệnh viện, công ty bảo hiểm) phải xác minh rằng bất kỳ nhà cung cấp nào xử lý PHI (Protected Health Information) tuân thủ HIPAA.
ISO 27001: Tiêu Chuẩn An Ninh Thông Tin
ISO 27001 là tiêu chuẩn quốc tế để quản lý an ninh thông tin. Bao gồm:
- Kiểm soát truy cập (ai có thể truy cập dữ liệu)
- Mã hóa (dữ liệu đang được truyền và lưu trữ)
- Kiểm toán (ai truy cập dữ liệu khi nào)
- Phục hồi thảm họa (dữ liệu có thể được phục hồi nếu mất)
- Đánh giá rủi ro (định kỳ)
ISO 27001 được cấp bởi các công ty kiểm toán độc lập (ngoài bên). Chứng chỉ hợp lệ trong 3 năm, với kiểm toán hàng năm.
HIPAA BAA: Thỏa Thuận Người Liên Kết Kinh Doanh
BAA là một hợp đồng đồng ý giữa nhà cung cấp chăm sóc sức khỏe (người chỉ định) và bất kỳ nhà cung cấp nào xử lý PHI (người liên kết).
BAA phải bao gồm:
- Hạn Chế Sử Dụng: Nhà cung cấp chỉ có thể sử dụng PHI cho mục đích được phép (ví dụ: xử lý thanh toán).
- Tiết Lộ: Nhà cung cấp không thể tiết lộ PHI cho bên thứ ba mà không có sự chấp thuận.
- Bảo Mật: Nhà cung cấp phải thực hiện các biện pháp bảo mật thích hợp.
- Quyền Truy Cập: Cơ quan chỉ định phải có thể kiểm toán xem dữ liệu được xử lý như thế nào.
Sources: