Bảo vệ dữ liệu cá nhân trong các cơ sở y tế
An toàn thông tin - Ngày đăng : 11:38, 16/07/2021
Tuy nhiên với điều luật luật chữa bệnh (CURES Act) của Bộ Y Tế Và Dịch Vụ Nhân Sinh Hoa Kỳ (Department of Health and Human Services - HHS) có hiệu lực kể từ tháng 4, các nhà cung cấp dịch vụ chăm sóc sức khỏe sẽ phải đối mặt với nhiều khó khăn trong việc cấp quyền cho bệnh nhân truy nhập vào dữ liệu của họ và HHS đã đưa ra 8 trường hợp miễn trừ đối với các quy tắc này, bao gồm cả những miễn trừ về quyền riêng tư. Điều này giúp các nhà cung cấp đỡ mất thời gian hơn trong các quyết định về dữ liệu.
Tuy nhiên, bên cạnh những miễn trừ này, đạo luật CURES Act có kết thúc mở. Các nhà cung cấp thông tin y tế phải cung cấp HER cho đúng bệnh nhân và họ cần có công nghệ y tế để làm điều đó.
Rào cản quy định
Quy định trọng tâm của CURES Act là lệnh cấm chặt thông tin. Luật này yêu cầu các nhà cung cấp thông tin y tế hạn chế bệnh nhân truy nhập vào các EHR của họ. HHS đã công bố rộng rãi những quy tắc này và điều này nghĩa là những người nắm giữ hồ sơ sẽ gửi dữ liệu tới điện thoại thông minh của bệnh nhân một cách an toàn.
Nhưng vẫn có những lo ngại về bảo mật
Các nhà cung cấp thông tin y tế có thể gửi dữ liệu cho các bệnh nhân khi họ được bệnh nhân yêu cầu, nhưng CURES Act không phải luật duy nhất mà họ phải tuân thủ. Các điều luật trong HIPAA cũng như các quy định của tiểu bang và địa phương có thể áp dụng các hình phạt nặng đối với các tổ chức để dữ liệu của bệnh nhân vào tình trạng rủi ro. Các nhà cung cấp dịch vụ HER này muốn biết rằng những đối tác bên thứ ba của họ có thể đảm bảo an toàn thông tin giống như cách mà các bệnh nhân muốn truy nhập vào thông tin chăm sóc sức khỏe của họ hay không.
Yêu cầu cao ở đây là phải cung cấp thông tin này một cách an toàn, giống như cách người tiêu dùng "xử lý tài chính và việc đi lại của họ".
Thu hẹp khoảng cách riêng tư
Điểm nổi bật chính của một ứng dụng chăm sóc sức khỏe là những lưu ý về quyền riêng tư. Cụ thể, các công ty công nghệ y tế có thể tập trung và các tiêu chuẩn sau để các nhà cung cấp HER và các bệnh nhân yên tâm rằng dữ liệu của họ vẫn an toàn ngay cả khi những hồ sơ này trở nên dễ dàng truy nhập hơn.
Tính minh bạch: Người dùng có thể gửi dữ liệu chăm sóc sức khỏe, tải lên từ điện thoại thông mình của họ hoặc chuyển sang một nhà cung cấp HER trong sự tuân thủ theo lệnh ngăn chặn thông tin. Hướng dẫn rõ ràng về việc dữ liệu đến từ đâu và tới nơi nào để việc gửi dữ liệu được tạo ra minh bạch. Đây là bước cần thiết đầu tiên để đảm bảo quyền riêng tư.
Quy tắc bảo mật HIPPA thiết lập tiêu chuẩn để bảo vệ dữ liệu bệnh nhân nhạy cảm bằng cách tạo ra các tiêu chuẩn cho trao đổi điện tử, sự riêng tư và an ninh của thông tin y tế bệnh nhân bởi những người trong ngành y tế
Năm điều luật được quy định trong HIPAA
- 1- Luật bảo vệ sự riêng tư (Privacy rule)
- 2- Luật bảo mật thông tin điện tử (Security rule)
- 3- Luật chuyển tiếp dữ liệu (Transaction rule)
- 4- Luật bảo mật nhận diện danh tính (Identifier rules)
- 5- Các quy tắc thực thi (Enforcement rule)
Bảo vệ phía máy chủ: HIPAA quy định chặt chẽ việc những ai có thể truy nhập dữ liệu bệnh nhân, nghĩa là các công ty công nghệ y tế sẽ làm tốt việc xem xét bất kỳ chính sách BYOD hiện có nào. Dữ liệu được lưu trữ trên máy chủ của công ty có thể bao gồm thông tin thuộc phạm vi bảo mật của HIPAA, nghĩa là quyền truy nhập máy chủ phải được định cấu hình chỉ cho phép những cá nhân đã được xác minh truy nhập.
Xác thực đa yếu tố: Mục tiêu của HHS là làm cho thông tin sức khỏe có thể truy nhập như thông tin về tài chính thông qua điện thoại thông minh. Các ứng dụng công nghệ sức khỏe này có thể thiết lập một tiêu chuẩn để tăng cường bảo mật ngay từ đầu, vừa để đảm bảo chỉ bệnh nhân mới có quyền truy nhập dữ liệu và truyền tải tính chất hệ trọng tới những bệnh nhân đang muốn sử dụng những ứng dụng này.
Khả năng tương tác: Hệ thống chăm sóc sức khỏe bao gồm hàng nghìn bệnh viện, mạng lưới và nhà cung cấp với hàng chục nghìn nhân viên đang giữ cho hoạt động chăm sóc (và dữ liệu). Cố gắng và kiên quyết bảo vệ dữ liệu qua các cơ sở dữ liệu kế thừa này là một phần thách thức trong việc phát triển các API, nhưng đó là điều cần thiết. Việc lấy thông tin từ nhà cung cấp tới điện thoại thông minh của bệnh nhân và chuyển tiếp tới bác sỹ hoặc hệ thống của bệnh viện sẽ diễn ra an toàn trong ứng dụng.
Chính sách quyền riêng tư đối với công nghệ y tế
Việc thiết lập đúng ngay từ đầu sẽ rất quan trọng khi công nghệ y tế triển khai bộ quy tắc cuối cùng của CURES Act cho các ứng dụng. Xác thực đa yếu tố và giao diện người dùng (User Interface – UI) rõ ràng là một khởi đầu tốt, tuy nhiên chính sách bảo mật là cốt lõi của bất kỳ ứng dụng nào tập trung vào bảo mật.
Những tuyên bố này liệt kê các cách mà công ty thu thập và quản lý dữ liệu của người dùng thường bỏ qua mặc dù chúng lại rất quan trọng trong việc truyền đạt những gì người dùng có thể và nên dự phòng từ những ứng dụng chăm sóc sức khỏe của họ. Các công ty công nghệ y tế sẽ rất sáng suốt để đảm bảo những chính sách về quyền riêng tư của họ được các bệnh nhân đọc và hiểu một cách rõ dàng khi họ truy nhập các HER.
Thông tin chính mà bệnh nhân tìm kiếm có thể bao gồm:
Các biện pháp giảm thiểu rủi ro: Ẩn danh dữ liệu hoặc mã hóa danh tính là điều nên làm khi đưa thông tin về sức khỏe. Những giải pháp này và những biện pháp quan tâm đến quyền riêng tư khác làm giảm rủi ro liên quan đến vi phạm tiềm ẩn và những người dùng có thể nắm được những công nghệ nào được áp dụng để tăng cường bảo vệ dữ liệu cho họ.
Quyền truy nhập của bên thứ ba: Một trong những mối quan tâm chính xung quanh quyền riêng tư của dữ liệu chăm sóc sức khỏe nằm ở quảng cáo. Các công ty có thể nhắm mục tiêu vào các bệnh nhân bằng những hàng hóa và dịch vụ liên quan đến thông tin y tế của họ, nhưng điều này có thể không khả thi do các quy định của HIPAA. Khi sử dụng dữ liệu cần xử lý rõ ràng những gì một ứng dụng của bên thứ ba chia sẻ cho các bệnh nhân.
Quyền lợi của bệnh nhân: Các bệnh nhân sẽ có quyền truy nhập HER thông qua các ứng dụng công nghệ y tế, nhưng họ có thể nhận được những thông tin gì từ chính các ứng dụng? Thông tin về dữ liệu nào được thu thập và cho mục đích gì có thể được kết hợp với những hướng dẫn rõ ràng để có được thông tin cụ thể hơn về nhưng tệp tin dữ liệu người dùng trên ứng dụng.
Xây dựng tương lai của công nghệ y tế
Quyền riêng tư ngày càng thu hút sự tập trung của thế giới công nghệ và sự phát triển của các ứng dụng chăm sóc sức khỏe mới sử dụng các HER là những minh chứng cho các công ty công nghệ y tế. Để triển khai ứng dụng đúng cách đòi hỏi phải lập kế hoạch và nghiên cứu cẩn thận.
HHS biết điều này và họ đã triển khai thời hạn 18 tháng trước khi những yêu cầu HER có hiệu lực để các nhà cung cấp thông tin và các nhà phát triển IT y tế bắt kịp các quy định mới.
Từ nay đến tháng 10 năm 2022, các công ty công nghệ y tế sẽ đánh giá các tiêu chuẩn và chính sách về những quyền riêng tư. Trong khi thực thi các giải pháp tốt nhất về thiết kế, trải nghiệm người dùng và hiệu xuất sẽ duy trì tất cả mức độ phù hợp, các nhà phát triển cũng nên hướng tới tầm quan trọng của quyền riêng tư. Làm như vậy không chỉ giúp các nhà cung cấp dịch vụ HER thu hút được sự quan tâm của nhiều người hơn mà còn đảm bảo sự tin tưởng cho các bệnh nhân với những sự lựa chọn và sự minh bạch mà họ xứng đáng nhận được từ việc chăm sóc sức khỏe của mình./.