Bảo mật thông tin cá nhân của bệnh nhân trong thời đại số
Một trong những sự cố lộ, lọt thông tin thường thấy là nhân viên y tế viết thông tin bệnh nhân lên tập giấy ghi chú, sau đó bỏ chúng vào thùng rác ở bàn làm việc. Vấn đề đáng lưu ý là nhiều khi nhân viên không nhận ra rằng họ đang vô tình tiết lộ thông tin nhạy cảm cho tội phạm mạng và hành vi này được coi là vi phạm.
Hiện tại phần lớn vẫn chưa có quy định về nhân viên y tế, nhân viên văn phòng và thậm chí một số nhân viên hỗ trợ lâm sàng, chăm sóc sức khỏe. Đây đang là một lỗ hổng lớn thu hút tội phạm mạng. Vậy vi phạm bắt nguồn từ đâu? Nhiều khi, rất khó để có thể xác định được nguồn gốc của việc vi phạm và liệu nó có phải là cố ý hay không.
Các dịch vụ thuê các chức năng chăm sóc sức khỏe có nguy cơ xâm phạm dữ liệu bệnh nhân
Bệnh nhân thường không biết thông tin dữ liệu của họ được thu thập và sử dụng với mục đích gì, dữ liệu đó sẽ được lưu trữ ở đâu. Họ cũng không biết cách cung cấp thông tin cá nhân của mình như thế nào khi gặp bác sĩ hoặc nhà cung cấp dịch vụ chăm sóc sức khỏe một cách an toàn.
Khi nhà cung cấp dịch vụ chăm sóc sức khỏe của bệnh nhân đó thay đổi, thông tin cá nhân của họ sẽ vẫn tồn tại lâu dài hay sẽ bị hủy sau khi được giao cho chuyên gia chăm sóc sức khỏe tiếp theo? Điều gì xảy ra khi bác sĩ sử dụng thông tin bệnh nhân để thực hiện dịch vụ thanh toán có trụ sở tại một quốc gia khác? Đạo luật về tính di động và trách nhiệm bảo hiểm y tế (HIPAA) có bao gồm các vấn đề này không? Câu trả lời ngắn gọn là không. Ngay cả với những thỏa thuận liên kết kinh doanh chặt chẽ nhất, phạm vi tiếp cận của HIPAA cũng không thể bảo vệ được thông tin riêng tư của bệnh nhân rơi vào tay kẻ xấu. Cho đến nay, chưa có luật nào yêu cầu nhà cung cấp phải tiết lộ điều này.
Giải pháp và Thách thức
HIPAA được ban hành vào năm 1996 với mục đích chính là bảo vệ thông tin nhạy cảm của bệnh nhân. Các mục tiêu khác của Đạo luật là chống lãng phí, gian lận và lạm dụng trong bảo hiểm y tế và cung cấp dịch vụ chăm sóc sức khỏe. Nó đưa ra các hình phạt nghiêm khắc hơn nhiều đối với những người vi phạm các quy định mới được áp đặt và đưa ra các bản án dài hơn cho những người muốn hình sự hóa việc chăm sóc sức khỏe. Ngay cả khi có các hình phạt tài chính nghiêm khắc đối với các vụ việc vi phạm, vấn đề rò rỉ thông tin riêng tư của bệnh nhân vẫn chưa giảm bớt và tiếp tục phát triển.
Trung tâm dịch vụ Medicare & Medicaid (CMS) đã dính vào vụ việc gian lận, sử dụng thông tin cá nhân của bệnh nhân suốt nhiều thập kỷ qua trong các chương trình do CMS quản lý và để sự việc vượt ngoài tầm kiểm soát. Là một phần của sáng kiến tiếp cận dịch vụ Medicare và Luật cấp phép lại CHIP năm 2015 (MACRA), Bộ Y tế và Dịch vụ nhân sinh (HHS) đã yêu cầu phát hành thẻ mới không còn hiển thị số an sinh xã hội của chủ thẻ từ trước tháng 4/2019. Trước đây, tội phạm chỉ cần một bản sao thẻ bảo hiểm Medicare của bệnh nhân và ngày tháng năm sinh là có thể thực hiện hành vi gian lận.
Một giải pháp được đề xuất cho thách thức này là yêu cầu các nhà cung cấp và cơ sở y tế đảm bảo tính bảo mật cho thông tin cá nhân của bệnh nhân và áp dụng các hình phạt bổ sung đối với những người tiết lộ dữ liệu được bảo mật của bệnh nhân.
Minh bạch
Vấn đề quan trọng chưa được quan tâm thích đáng trong nhiều thập kỷ qua là sự minh bạch cho bệnh nhân. Có một số dịch vụ trong cuộc sống mà người dùng không biết chính xác mình đang bị tính phí gì và khoản phí đó dùng để làm gì. Ví dụ như khi mang xe đi bảo dưỡng, chủ sở hữu nhận được một hóa đơn tổng trong đó không liệt kê rõ ràng những việc phải làm và chi tiết chi phí từng hạng mục. Người đó sẽ không có cách nào để xem xét những sửa chữa đó có hợp lý và cần thiết hay không. Chủ sở hữu không có cách nào để ước tính chi phí đó và buộc phải đồng ý trả chi phí bảo dưỡng vô lý.
Vì vậy, kiểm tra báo cáo của nhân viên in tài liệu một cách đơn giản như xác định ai điều hành, được truy cập và tải xuống các báo cáo có dữ liệu của bệnh nhân, điều này có thể giúp cải thiện khả năng xử lý của ban quản lý về những gì đang xảy ra với dữ liệu nhạy cảm của bệnh nhân một cách liên tục.
Một biện pháp bảo vệ mạnh mẽ có thể xác định các xu hướng và sự bất thường trong hành vi của mọi người, đó là bước đầu tiên trong việc ngăn chặn tội phạm mạng trước khi chúng bắt đầu.
Gần đây, một nhân viên tại bộ phận IT của Bang California đã sao chép hơn 1.400 kết quả xét nghiệm Covid mà không rõ lý do. Đoán được động cơ đằng sau của tội phạm mạng lĩnh vực chăm sóc sức khỏe đã giúp các chuyên gia biết được các manh mối để triển khai giải pháp công nghệ phù hợp, ngăn chặn cuộc tấn công trước khi chúng xảy ra.
Truy cập thời gian thực
Khi bệnh nhân có thể thấy những thay đổi xảy ra với hồ sơ sức khỏe của mình cũng là lúc hành vi trộm cắp và gian lận này có thể chấm dứt. Nếu người dùng nhận được thông báo về bất kỳ khoản phí mới nào phải trả trong tương lai thì điều đó sẽ cung cấp một giải pháp truy vết thời gian thực để có thể chống lại vấn đề này.
Kết luận
Trong thời đại chỉ cần một cú nhấp chuột là có thể thực hiện việc đặt hàng và giao hàng nhanh chóng, sự bảo mật thông tin sức khỏe cá nhân luôn được coi trọng. Việc đưa ra các quyết định sáng suốt, việc đồng ý cho phép những người xử lý thông tin này là việc cực kỳ quan trọng và cuối cùng trách nhiệm thuộc về bệnh nhân. Như trong nhiều khía cạnh khác của cuộc sống, trách nhiệm của cá nhân là quan trọng nhất. Khi có nghi ngờ về thông tin sức khỏe cá nhân của mình bị rò rỉ, bệnh nhân nên có các yêu cầu được biết ai có quyền truy cập vào dữ liệu của mình, khi nào sẽ được truy cập và thời gian có thể truy cập.
Phạm Bình Dũng