Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế (trang web HIPAA) đưa ra nhiều nguyên tắc khác nhau (được phê duyệt trở lại năm 1996) phải được thông qua bởi bất kỳ ai xử lý bất kỳ dữ liệu y tế điện tử nào.
Các hướng dẫn này quy định rằng tất cả các dịch vụ y tế và bệnh viện phải đảm bảo áp dụng các biện pháp cần thiết khi lưu, truy cập và chia sẻ bất kỳ dữ liệu y tế điện tử nào để giữ an toàn cho thông tin của bệnh nhân. Việc không tuân thủ các quy định của HIPAA về tiêu chuẩn an toàn có thể dẫn đến tiền phạt lớn và thậm chí mất giấy phép y tế.
Ai Cần Tuân thủ HIPAA?
Trong số những người phải tuân thủ HIPAA là bất kỳ tổ chức nào cung cấp hoặc trả tiền cho các dịch vụ chăm sóc sức khỏe. Điều này có thể bao gồm các trung tâm lâm sàng, chương trình sức khỏe và bất kỳ loại nhà cung cấp dịch vụ chăm sóc sức khỏe nào khác (chăm sóc, dịch vụ hoặc nguồn cung cấp liên quan đến sức khỏe của một cá nhân, bao gồm phòng ngừa, chẩn đoán, điều trị, phục hồi chức năng, chăm sóc duy trì hoặc giảm nhẹ, tư vấn, dịch vụ, đánh giá hoặc thủ tục liên quan đến sức khỏe thể chất, tình trạng tinh thần hoặc trạng thái chức năng của một cá nhân có ảnh hưởng đến cấu trúc hoặc chức năng của cơ thể).
Các thực thể kết hợp, thực hiện một số chức năng được liệt kê ở trên, cũng cần phải tuân thủ HIPAA. Một ví dụ về điều này là các trường đại học có bệnh viện. Bệnh viện đại học truyền thông tin sức khỏe cá nhân theo phương thức điện tử, do đó, thông tin này được HIPAA chi trả.
Mặt khác, hãy tưởng tượng rằng cùng một trường đại học này có một phòng thí nghiệm nghiên cứu không được tích hợp vào bệnh viện. Trong trường hợp này, phòng thí nghiệm này không cần phải tuân thủ HIPAA. Đó là bởi vì, mặc dù xử lý thông tin y tế, nó không có quyền truy cập vào thông tin giống như bệnh viện.
Tóm tắt ngắn gọn về các quy định của HIPAA
Với khẩu hiệu của HIPAA là “Thông tin sức khỏe của bạn, quyền của bạn” , không có gì ngạc nhiên khi công dân là trung tâm của Đạo luật này. Dưới đây là những quy định quan trọng nhất:
Truy cập thông tin: Bất kỳ ai cũng có thể có quyền truy cập vào thông tin sức khỏe của riêng mình. Họ có thể đề xuất các chỉnh sửa và nhận bản sao vật lý hoặc điện tử.
Chia sẻ thông tin: Công dân có thể cần chia sẻ thông tin với bác sĩ hoặc chuyên gia y tế vì bất kỳ lý do gì và với HIPAA, điều này là có thể, vì tất cả thông tin đều trực tuyến và họ có thể chọn người để chia sẻ.
Bảo vệ thông tin: Tất cả các thực thể cần tuân thủ HIPAA phải tuân theo các quy tắc HIPAA cụ thể như quy tắc bảo mật của HIPAA hoặc quy tắc bảo mật của HIPAA. Điều này liên quan đến việc chia sẻ thông tin, trong đó thông tin của bệnh nhân không thể được tiết lộ nếu không được phép (trừ những trường hợp cụ thể).
Trang web HIPAA và WordPress
Nếu bạn có một trang web y tế được xây dựng bằng WordPress, có thể bạn đang tự hỏi liệu nó có cần (và có thể) tuân thủ HIPAA hay không. Trên thực tế, nó không tập trung vào việc tuân thủ liên quan đến trang web, do đó, việc đưa ra bất kỳ yêu cầu HIPAA nào đối với các trang web là hơi mơ hồ.
Về vấn đề này, có một khái niệm quan trọng khác cần chạm vào:ePHI. Từ viết tắt này, là viết tắt của “Thông tin Y tế được Bảo vệ Điện tử”, đề cập đến bất kỳ thông tin nào ở định dạng kỹ thuật số có thể được sử dụng để xác định bệnh nhân. HIPAA có các yêu cầu bảo mật giống nhau đối với tất cả các loại PHI truyền, vật lý hoặc cách khác, làm cho nó trở thành một phần thiết yếu của việc tuân thủ HIPAA.
Với lưu ý này, việc áp dụng các biện pháp bảo vệ đáp ứng các yêu cầu của HIPAA về tính bảo mật, tính toàn vẹn và tính khả dụng của ePHI trở thành điều bắt buộc. Bất kỳ trang web nào có liên quan cần phải triển khai các biện pháp quản trị, vật lý, kỹ thuật và bảo mật để tính bảo mật của mọi thông tin sức khỏe được bảo vệ luôn được đảm bảo.
Điều đáng nói là một phần thiết yếu của bất kỳ chương trình tuân thủ HIPAA hiệu quả nào là Thỏa thuận liên kết kinh doanh (BAA). Nếu một tổ chức xử lý, sử dụng, phân phối hoặc truy cập thông tin sức khỏe được bảo vệ (PHI), thì họ đủ điều kiện là BAA theo quy định của HIPAA.
Cách tạo trang web của bạn HIPAA Tuân thủ?
Mặc dù không có cách nào dễ dàng để làm cho một trang web WordPress tuân thủ HIPAA, nhưng có một số bước có thể và cần được thực hiện.
Bắt đầu bằng cách phân tích các rủi ro tiềm ẩn
Tùy thuộc vào các hoạt động và mục đích của trang web, rủi ro có thể khác nhau khá nhiều, vì vậy không thể có một phân tích rủi ro chung để phù hợp với tất cả các trường hợp. Chủ sở hữu trang web nên biết về các cuộc tấn công mạng phổ biến và cố gắng xác định tất cả các tình huống mà ePHI sẽ được xử lý.
Tìm một Dịch vụ Lưu trữ Thích hợp
Trừ khi bạn sẽ tự chăm sóc việc lưu trữ trang web của mình, việc lựa chọn dịch vụ lưu trữ phù hợp là rất quan trọng. Việc tạo một trang web WordPress tuân thủ HIPAA là hoàn toàn vô giá trị nếu dịch vụ lưu trữ yếu và dễ bị tấn công.
Sau đó, điều quan trọng là phải sử dụng dịch vụ lưu trữ tuân thủ HIPAA, dịch vụ này sẽ cung cấp tường lửa mạnh mẽ, kết nối VPN được mã hóa để không ai có thể đánh hơi lưu lượng truy cập của bạn. Và cung cấp các bản sao lưu ngoại vi để dữ liệu không bao giờ bị mất, trong số các tính năng bảo mật hữu ích và quan trọng khác. Nếu bạn muốn chuyển sang nhà cung cấp dịch vụ lưu trữ tốt hơn, đây là bài đăng hữu ích về dịch vụ lưu trữ WordPress tốt nhất để bạn lựa chọn.
Khai thác sức mạnh của plugin
Một trong những tính năng mạnh nhất của nền tảng WordPress là nó có thể được nâng cao nhiều như thế nào bằng cách sử dụng các plugin. Việc tuân thủ HIPAA cũng trở nên dễ dàng nếu bạn sử dụng các plugin phù hợp.
Một ví dụ điển hình về điều này là HIPAA FORMS, một plugin WordPress cho phép trang web của bạn có các biểu mẫu web tuân thủ HIPAA. Nó sử dụng các plugin biểu mẫu thông thường, như Caldera Forms hoặc Gravity Forms và thêm một lớp bảo mật cho chúng. Nó bao gồm một trường chữ ký nơi người dùng có thể ký bằng cách kéo chuột hoặc bằng ngón tay trên màn hình cảm ứng.
Sau khi gửi, nó mã hóa dữ liệu và đẩy nó đến API dịch vụ HIPAA FORMS. Sau đó, nó lưu trữ dữ liệu trong một giải pháp lưu trữ tuân thủ HIPAA. Hãy nhớ rằng plugin này yêu cầu giấy phép trả phí.
Tùy chọn cho các plugin WordPress là vô tận. Bạn sẽ tìm thấy nhiều plugin bảo mật WordPress để lựa chọn.
Hãy cẩn thận với các plugin
Plugin là một điều kỳ diệu của WordPress nhưng cũng là một trong những điểm yếu nhất của nó về mặt bảo mật. Theo dữ liệu từ Wordfence, các lỗ hổng liên quan đến plugin đại diện cho hơn một nửa số điểm tấn công đã biết.
Để tránh điều này, hãy đảm bảo luôn lấy các plugin từ các nguồn chính thức. Cũng luôn luôn cập nhật chúng. Tất nhiên, nền tảng WordPress chính cũng vậy, vì nó cũng dễ gặp các vấn đề về bảo mật.
Lưu trữ ePHI Bên ngoài WordPress
Hầu hết các trang web được xây dựng trên WordPress khiến các trang web WordPress trở thành mục tiêu của tội phạm mạng. Vì WordPress không thực sự là nền tảng an toàn nhất hiện có, nên tránh lưu trữ dữ liệu ePHI ở đó.
Thảo luận vấn đề này với nhà cung cấp dịch vụ lưu trữ của bạn, để đảm bảo bạn nhận được giải pháp tốt nhất có thể tại đây. Với nhà cung cấp dịch vụ lưu trữ phù hợp, bạn có thể có được các vị trí lưu trữ bên ngoài và đảm bảo rằng tất cả dữ liệu được lưu trữ và truy xuất một cách an toàn theo cách được mã hóa.
Sử dụng tất cả các mẹo bảo mật phổ biến
Bảo mật là một chủ đề phổ biến trên Web. Có rất nhiều mẹo bảo mật WordPress mà người dùng có thể làm theo, nhưng rất ít người làm theo.
Các quy tắc bảo mật phổ biến mà một trang web tuân thủ HIPAA phải tuân theo là -
- Sử dụng mật khẩu mạnh
- Bật xác thực hai hoặc nhiều yếu tố
- Thay đổi tên tài khoản quản trị viên để tránh các cuộc tấn công brute-force, v.v.
Xác minh tất cả tài khoản người dùng mới
Một lớp bảo mật bổ sung khác liên quan đến việc ngăn người dùng tạo tài khoản mới trên trang web của bạn theo ý muốn. Đảm bảo rằng tất cả các yêu cầu tài khoản mới đều được xác minh bằng tay hoặc tự động để giảm thiểu rủi ro.
Kết luận
Thực tế là WordPress không được phát triển với HIPAA. Không có lõi HIPAA WordPress nhưng điều này không có nghĩa là người ta không thể làm cho một trang web được xây dựng trên nền tảng này tuân thủ Đạo luật đó. Với kiến thức và nỗ lực đúng đắn, nó có thể đạt được. Tuy nhiên, để tăng cơ hội làm như vậy và giảm thiểu rủi ro đến mức thấp nhất, hãy nhớ liên hệ với các bác sĩ chuyên khoa. Dù là cá nhân hay dịch vụ lưu trữ, họ phải quen thuộc với các trang web tuân thủ điều đó.
Đây là bài đăng của khách của Atlantic.net.