Health insurance portability and accountability act là gì năm 2024

Office for Civil Rights (OCR, Văn Phòng Phụ Trách về Dân Quyền) thuộc U.S. Department of Health and Human Services (HHS) thực thi các luật về dân quyền liên bang, luật tự do tôn giáo và tâm linh, Health Insurance Portability and Accountability Act (HIPAA), Privacy, Security, and Breach Notification Rules, và Patient Safety Act and Rule, tất cả cùng bảo vệ các quyền cơ bản của quý vị trong việc không bị phân biệt đối xử, quyền tự do tôn giáo, tâm linh, và quyền riêng tư về thông tin y tế ở các tổ chức được bao hàm.

Nếu quý vị cần giúp đỡ gởi đơn khiếu nại, xin gọi cho chúng tôi ti s 1-800-368-1019. Chúng tôi s cung cp thông dch viên nu quý v cn.

OCR ðã chuyn ng các T Thông Tin sau ðây sang nhiu ngôn ng. Nu quý v mun có bn dch ca bt k d kin nào trên trang mng lui ðin toán này, xin gi cho chúng tôi ti s 1-800-368-1019.

Các Quyền Công Dân

Các Luật Dân Quyền của Liên Bang giúp bảo vệ quý vị không bị đối xử bất công hoặc phân biệt đối xử bởi chủng tộc, màu da, nguồn gốc quốc gia, tình trạng khuyết tật, tuổi tác và giới tính.

Quyền Tự Do Tôn Giáo và Tâm Linh

Các Luật về Quyền Tự Do Tôn Giáo và Tâm Linh giúp bảo vệ quý vị không bị áp bức, phân biệt đối xử trên cơ sở tâm linh hoặc tôn giáo và khỏi những gánh nặng để tự do thực hành tôn giáo.

Quyền Riêng Tư về Thông Tin Y Tế

HIPAA Privacy Rule là một đạo luật liên bang cung cấp cho quý vị các quyền đối với thông tin y tế của quý vị và bộ các quy định và giới hạn về người có thể xem và nhận thông tin y tế của quý vị. Privacy Rule áp dụng cho tất cả các loại thông tin y tế được bảo vệ của các cá nhân, cho dù là thông tin điện tử, bằng văn bản hoặc lời nói. HIPAA Security Rule là một đạo luật liên bang yêu cầu an nình cho thông tin y tế ở định dạng điện tử. Ngoài ra, Patient Safety Act and Rule thiết lập một hệ thống báo cáo tự nguyện nhằm cải thiện dữ liệu sẵn có để tiếp cận và giải quyết các vấn đề về chất lượng chăm sóc y tế và an toàn bệnh nhân, và cung cấp các biện pháp bảo vệ tính bảo mật của các quan ngại về an toàn bệnh nhân.

* Những người sử dụng công nghệ hỗ trợ có thể không truy cập được đầy đủ thông tin trong các tệp này. Để được hỗ trợ, hãy liên hệ với Văn phòng Quyền Dân sự của HHS theo số (800) 368-1019, TDD miễn phí: (800) 537-7697, hoặc bằng cách gửi e-mail [email protected].

Ngày càng nhiều nhà cung cấp dịch vụ chăm sóc sức khỏe, người thanh toán và chuyên gia CNTT đang sử dụng dịch vụ đám mây dựa trên tiện ích của AWS để xử lý, lưu trữ và truyền tải thông tin sức khỏe được bảo vệ (PHI).

AWS cho phép các thực thể được bảo hiểm và các liên kết kinh doanh của họ tuân theo Đạo luật về Trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế 1996 (HIPAA) của Hoa Kỳ, được sử dụng môi trường AWS bảo mật để xử lý, lưu trữ và truyền thông tin sức khỏe được bảo vệ.

Để biết thông tin chi tiết về cách bạn có thể sử dụng AWS để xử lý và lưu trữ thông tin sức khỏe, hãy xem bài nghiên cứu chuyên sâu Xây dựng kiến trúc cho tính bảo mật và tuân thủ HIPAA trên Amazon Web Services.

Khách hàng trong lĩnh vực chăm sóc sức khỏe và khoa học cuộc sống của AWS

• HIPAA & HITECH là gì?

  Đạo luật về Trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế 1996 (HIPAA) là luật được thiết kế nhằm tạo điều kiện để người lao động Hoa Kỳ dễ dàng hơn trong việc duy trì phạm vi bảo hiểm y tế khi công việc có thay đổi hoặc bị mất việc. Điều luật cũng muốn khuyến khích sử dụng hồ sơ y tế điện tử để cải thiện hiệu suất và chất lượng của hệ thống chăm sóc sức khỏe Hoa Kỳ thông qua việc chia sẻ thông tin cải thiện. Cùng với việc tăng cường sử dụng hồ sơ y tế điện tử, HIPAA cũng bao gồm các điều khoản để bảo vệ sự an toàn và quyền riêng tư của thông tin sức khỏe được bảo vệ (PHI). PHI bao gồm một bộ dữ liệu lớn về y tế và sức khỏe có thể nhận dạng cá nhân, bao gồm thông tin bảo hiểm và thanh toán, dữ liệu chẩn đoán, dữ liệu chăm sóc lâm sàng và kết quả xét nghiệm như hình ảnh và kết quả kiểm tra. Các quy định của HIPAA áp dụng cho các thực thể được bảo hiểm, bao gồm bệnh viện, nhà cung cấp dịch vụ y tế, chương trình bảo hiểm sức khỏe do nhà tuyển dụng tài trợ, cơ sở nghiên cứu và công ty bảo hiểm giải quyết trực tiếp với bệnh nhân và xử lý dữ liệu bệnh nhân. Yêu cầu HIPAA để bảo vệ PHI cũng mở rộng cho các đối tác kinh doanh. Đạo luật Công nghệ thông tin y tế cho kinh tế y tế và Y tế lâm sàng (HITECH) đã mở rộng các quy định của HIPAA trong năm 2009. HIPAA và HITECH cùng nhau thiết lập một bộ tiêu chuẩn liên bang nhằm bảo vệ sự bảo mật và quyền riêng tư của PHI. Những điều khoản này được bao gồm trong những gì được gọi là quy tắc "Đơn giản hóa Hành chính". HIPAA và HITECH áp đặt các yêu cầu liên quan đến việc sử dụng và tiết lộ PHI, các biện pháp bảo vệ thích hợp để bảo vệ PHI, các quyền cá nhân và trách nhiệm quản lý. Để biết thêm thông tin về cách HIPAA và HITECH bảo vệ thông tin sức khỏe, hãy xem trang web Quyền riêng tư về thông tin sức khỏe từ Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ.

• HITRUST là gì?

  Đúng như tên gọi, Khuôn khổ bảo mật chung (CSF) của tổ chức Health Information Trust Alliance (HITRUST) "là khuôn khổ chứng nhận chuyên cung cấp cho các tổ chức một cách tiếp cận toàn diện, linh hoạt và hiệu quả để tuân thủ quy định và quản lý rủi ro. Được phát triển với sự cộng tác của các chuyên gia chăm sóc sức khỏe và bảo mật thông tin, HITRUST CSF hợp lý hóa các quy định và tiêu chuẩn liên quan tới chăm sóc sức khỏe thành một khuôn khổ bảo mật bao quát duy nhất". HITRUST CSF đóng vai trò hợp nhất các biện pháp kiểm soát bảo mật từ luật liên bang (như HIPAA và HITECH), luật tiểu bang (như Tiêu chuẩn bảo vệ thông tin cá nhân của người cư trú thuộc Khối Thịnh vượng chung của Massachusetts) và các khuôn khổ phi chính phủ (như Hội đồng Tiêu chuẩn bảo mật PCI) thành một khuôn khổ duy nhất được thiết kế cho nhu cầu chăm sóc sức khỏe. AWS cung cấp một nền tảng điện toán đáng tin cậy, có khả năng mở rộng và không tốn kém, có thể hỗ trợ các ứng dụng của khách hàng chăm sóc sức khỏe theo cách thức phù hợp với HIPAA, HITECH và HITRUST CSF.

• Phụ lục Liên kết Kinh doanh là gì?

  Theo quy định của HIPAA, các nhà cung cấp dịch vụ đám mây (CSP) như AWS được coi là liên kết kinh doanh. Phụ lục Liên kết Kinh doanh (BAA) là hợp đồng của AWS được yêu cầu theo các quy tắc HIPAA để đảm bảo rằng AWS bảo vệ thông tin sức khỏe được bảo vệ (PHI) một cách thích hợp. BAA cũng đóng vai trò giải thích rõ và giới hạn, nếu thích hợp, các trường hợp AWS sử dụng và tiết lộ PHI được phép, căn cứ vào mối quan hệ giữa AWS và khách hàng của chúng tôi, cùng các hoạt động hoặc dịch vụ đang được AWS thực hiện.

• AWS có ký một Phụ lục liên kết kinh doanh như được mô tả trong các quy tắc và quy định của HIPAA không?

  Có. AWS có một Phụ lục liên kết kinh doanh tiêu chuẩn (BAA) mà chúng tôi trình bày cho khách hàng để kí kết. Phụ lục này có cân nhắc các dịch vụ độc nhất mà AWS cung cấp và đáp ứng cho Mô hình chia sẻ trách nhiệm của AWS. Để xem xét, chấp nhận và quản lý trạng thái của BAA cho tài khoản của bạn, hãy đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS. Nếu bạn không có quyền truy cập vào tài khoản của mình, hãy yêu cầu tài khoản IAM miễn phí từ quản trị viên của bạn và yêu cầu quyền truy cập vào . Hướng dẫn từng bước: Tìm hiểu cách sử dụng AWS Artifact để chấp nhận thỏa thuận cho nhiều tài khoản trong tổ chức của bạn. (2:07) Xem cách sử dụng AWS Artifact để chấp nhận thỏa thuận trong tài khoản của bạn. (1:39)

• AWS có được chứng nhận theo HIPAA không?

  Không có chứng chỉ HIPAA cho nhà cung cấp dịch vụ đám mây (CSP) như AWS. Để đáp ứng các yêu cầu của HIPAA áp dụng cho mô hình hoạt động của chúng tôi, AWS điều chỉnh chương trình quản lý rủi ro HIPAA của chúng tôi cho phù hợp với FedRAMP và NIST 800-53, vốn là những tiêu chuẩn bảo mật cao hơn và tương ứng với Quy tắc bảo mật của HIPAA. NIST hỗ trợ sự điều chỉnh này và đã ban hành SP 800-66 Giới thiệu hướng dẫn tài nguyên về triển khai quy tắc bảo mật của HIPAA, ghi lại cách NIST 800-53 điều chỉnh theo Quy tắc bảo mật của HIPAA.

• Tôi có thể sử dụng những dịch vụ nào trong tài khoản AWS của mình nếu tôi có Phụ lục liên kết kinh doanh với AWS?

  Khách hàng có thể sử dụng bất kỳ dịch vụ AWS nào trong tài khoản được chỉ định làm tài khoản HIPAA, nhưng họ chỉ nên xử lý, lưu trữ và truyền thông tin sức khỏe được bảo vệ (PHI) trong các dịch vụ đủ điều kiện HIPAA được xác định trong Phụ lục liên kết kinh doanh (BAA). Để xem danh sách mới nhất về dịch vụ AWS hội đủ điều kiện HIPAA, hãy xem trang web Tham khảo dịch vụ hội đủ điều kiện HIPAA. AWS tuân theo một chương trình quản lý rủi ro dựa trên tiêu chuẩn để đảm bảo rằng các dịch vụ đủ điều kiện HIPAA đặc biệt hỗ trợ các quy trình bảo mật, kiểm soát và quản trị theo yêu cầu của HIPAA. Việc sử dụng các dịch vụ này để lưu trữ và xử lý PHI cho phép khách hàng của chúng tôi và AWS giải quyết các yêu cầu HIPAA áp dụng cho mô hình hoạt động dựa trên tiện ích của chúng tôi. AWS ưu tiên và thêm các dịch vụ đủ điều kiện mới dựa trên nhu cầu của khách hàng. Để biết thêm thông tin về chương trình liên kết kinh doanh của chúng tôi hoặc để yêu cầu các dịch vụ đủ điều kiện mới, vui lòng liên hệ với chúng tôi.

• Tôi là một đối tác của AWS SaaS có BAA và tôi bán các giải pháp SaaS của mình cho các nhà cung cấp dịch vụ chăm sóc sức khỏe hoặc các thực thể được bảo hiểm khác. Những thực thể được bảo hiểm đó có cần ký BAA với AWS không?

  Không. Đây là một tình huống rất phổ biến và nhiều đối tác giải pháp HIPAA đã chạy các gói Dịch vụ phần mềm (SaaS) trong AWS. Bạn là đối tác SaaS của AWS ký một Phụ lục Liên kết Kinh doanh (BAA) với AWS. Sau đó, mỗi nhà cung cấp dịch vụ chăm sóc sức khỏe hoặc thực thể được bảo hiểm ký một BAA chỉ với bạn, đối tác của SaaS của AWS. Nếu thực thể được bảo hiểm sử dụng giải pháp SaaS của bạn cũng là khách hàng trực tiếp của AWS với các hệ thống liên quan đến HIPAA, thì thực thể được bảo hiểm có thể cần một BAA với bạn và một BAA khác với AWS.

• Chương trình tuân thủ AWS HIPAA có yêu cầu tôi sử dụng Phiên bản chuyên dụng Amazon EC2 hoặc Máy chủ chuyên dụng để xử lý thông tin sức khỏe được bảo vệ không?

  Khách hàng của AWS và Đối tác của Amazon Partner Network (APN) đã ký hợp đồng liên kết kinh doanh (BAA) với AWS không bắt buộc phải sử dụng phiên bản chuyên dụng Amazon Elastic Compute Cloud (EC2) hoặc máy chủ chuyên dụng để xử lý thông tin sức khỏe được bảo vệ (PHI). Trước ngày 15/05/2017, chương trình tuân thủ HIPAA của AWS yêu cầu những khách hàng xử lý PHI bằng cách sử dụng Amazon EC2 phải sử dụng Phiên bản chuyên dụng hoặc Máy chủ chuyên dụng, nhưng yêu cầu này đã bị loại bỏ.

Tài nguyên HIPAA

Bạn có thắc mắc? Hãy kết nối với đại diện kinh doanh AWS

AWS sẽ ngừng hỗ trợ cho Internet Explorer vào 07/31/2022. Các trình duyệt được hỗ trợ là Chrome, Firefox, Edge và Safari. Tìm hiểu thêm »

Health Insurance Portability là gì?

HIPAA là viết tắt của Federal Health Insurance Portability and Accountability Act, là luật nổi tiếng do chính phủ liên bang Hoa Kỳ ban hành năm 1996 nhằm thiết lập các quy tắc cho việc truy cập, xác thực, lưu trữ, kiểm toán và chuyển hồ sơ y tế điện tử.

Luật Hipaa là gì?

Đạo luật về Trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế 1996 (HIPAA) là luật được thiết kế nhằm tạo điều kiện để người lao động Hoa Kỳ dễ dàng hơn trong việc duy trì phạm vi bảo hiểm y tế khi công việc có thay đổi hoặc bị mất việc.