1. Mục đích

Mục đích của chính sách này là thiết lập các hướng dẫn toàn diện nhằm bảo vệ tính bảo mật và an toàn của thông tin thành viên trong Chương trình Quản lý Chăm sóc Nâng cao (ECM) và Hỗ trợ Cộng đồng (CS) của CalAIM. Chính sách này đảm bảo tuân thủ tất cả các luật liên bang và tiểu bang áp dụng, bao gồm Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA) và Đạo luật Bảo mật Thông tin Y tế California (CMIA). Bằng cách tuân thủ các hướng dẫn này, chúng tôi nhằm mục đích bảo vệ quyền riêng tư của thành viên và duy trì các tiêu chuẩn đạo đức cao nhất.

2. Phạm vi

Chính sách này áp dụng cho tất cả các cá nhân có quyền truy cập vào thông tin thành viên bí mật trong Chương trình CalAIM ECM & CS. Điều này bao gồm nhân viên, nhà thầu, tình nguyện viên và bất kỳ nhân viên liên quan nào. Mỗi cá nhân trong phạm vi này có trách nhiệm hiểu và tuân thủ các quy trình được nêu trong tài liệu này để bảo vệ tính bảo mật của thông tin thành viên.

3. Định nghĩa

Đối với mục đích của chính sách này, “Thông tin thành viên bí mật” đề cập đến bất kỳ thông tin cá nhân, y tế hoặc tài chính nào có thể xác định một thành viên. Điều này bao gồm Thông tin Y tế Được Bảo vệ (PHI) theo định nghĩa của HIPAA, bao gồm bất kỳ thông tin nào về tình trạng sức khỏe, việc cung cấp dịch vụ y tế hoặc thanh toán cho dịch vụ y tế có thể liên kết với một cá nhân. “Nhân viên được ủy quyền” là những cá nhân được cấp quyền truy cập vào thông tin bí mật vì điều này là cần thiết để họ thực hiện nhiệm vụ công việc một cách hiệu quả.

4. Tuyên bố chính sách

Chúng tôi cam kết bảo vệ toàn bộ thông tin bí mật của thành viên khỏi việc truy cập, sử dụng, tiết lộ, sửa đổi hoặc phá hủy trái phép. Việc truy cập vào thông tin này được kiểm soát nghiêm ngặt và chỉ được cấp cho nhân viên được ủy quyền cần thiết để thực hiện nhiệm vụ được giao. Việc tiết lộ trái phép thông tin bí mật bị cấm và có thể dẫn đến các biện pháp kỷ luật, bao gồm cả việc chấm dứt hợp đồng lao động. Tất cả nhân viên được yêu cầu tuân thủ chính sách này và duy trì tiêu chuẩn cao nhất về bảo mật.

5. Quy trình

5.1 Kiểm soát truy cập

Quyền truy cập vào thông tin thành viên bí mật được quản lý cẩn thận để đảm bảo chỉ những nhân viên được ủy quyền mới có thể truy cập. Chúng tôi tuân thủ nguyên tắc "quyền truy cập tối thiểu", chỉ cấp cho nhân viên mức độ truy cập tối thiểu cần thiết để thực hiện các nhiệm vụ công việc của họ. Để truy cập vào các hệ thống điện tử chứa thông tin bí mật, phải sử dụng thông tin đăng nhập an toàn, và những thông tin này không được chia sẻ hoặc tiết lộ cho người khác. Các cuộc kiểm tra định kỳ được thực hiện để xem xét và điều chỉnh quyền truy cập, đảm bảo chúng vẫn phù hợp khi vai trò và trách nhiệm của nhân viên thay đổi.

5.2 An ninh vật lý

Các tài liệu giấy tờ chứa thông tin bí mật được lưu trữ tại các vị trí an toàn, chẳng hạn như tủ khóa hoặc phòng có kiểm soát truy cập. Các trạm làm việc phải được khóa khi không có người trông coi, và màn hình máy tính nên được đặt sao cho không cho phép người không có quyền truy cập xem được. Việc truy cập vào các khu vực lưu trữ thông tin bí mật chỉ được phép cho nhân viên được ủy quyền, và khách thăm phải luôn có người đi kèm.

5.3 An ninh điện tử

Tất cả thông tin điện tử bí mật đều được bảo vệ bằng mã hóa trong quá trình lưu trữ và truyền tải. Hệ thống điện tử của chúng tôi được truy cập thông qua các mạng an toàn, được bảo vệ bằng mật khẩu, tường lửa và phần mềm chống virus. Nhân viên được yêu cầu sử dụng mật khẩu mạnh và thay đổi chúng định kỳ. Sao lưu dữ liệu điện tử được thực hiện định kỳ và lưu trữ an toàn để ngăn ngừa mất mát dữ liệu do sự cố hệ thống hoặc tình huống khẩn cấp. Các bản cập nhật bảo mật và bản vá được áp dụng kịp thời cho tất cả hệ thống để bảo vệ khỏi các lỗ hổng bảo mật.

5.4 Truyền dữ liệu

Khi truyền tải thông tin mật, chỉ sử dụng các kênh an toàn như email được mã hóa hoặc giao thức truyền tệp an toàn (SFTP). Nhân viên phải xác minh danh tính của người nhận trước khi truyền tải bất kỳ thông tin mật nào để đảm bảo thông tin chỉ được chia sẻ với các cá nhân được ủy quyền. Dưới bất kỳ hoàn cảnh nào, thông tin mật cũng không được truyền tải qua các kênh không an toàn hoặc đến các bên không được ủy quyền.

5.5 Xử lý dữ liệu

Việc xử lý đúng cách thông tin mật là điều cần thiết để duy trì an ninh. Dữ liệu điện tử phải được xóa vĩnh viễn bằng các phương pháp xóa an toàn ngăn chặn việc khôi phục, chẳng hạn như phần mềm xóa dữ liệu hoặc phá hủy vật lý phương tiện lưu trữ. Các tài liệu vật lý chứa thông tin mật phải được phá hủy bằng cách xé nhỏ hoặc đốt cháy để đảm bảo thông tin không thể được tái tạo hoặc khôi phục. Các hồ sơ về việc xử lý dữ liệu nên được lưu giữ theo quy định.

5.6 Đào tạo và Nâng cao nhận thức

Tất cả nhân viên mới đều phải tham gia khóa đào tạo nhập môn bao gồm các chính sách, quy trình và nghĩa vụ pháp lý liên quan đến bảo mật thông tin. Khóa đào tạo này đảm bảo nhân viên hiểu rõ tầm quan trọng của việc duy trì bảo mật thông tin và các bước cụ thể mà họ phải thực hiện để bảo vệ thông tin của thành viên. Đào tạo liên tục được cung cấp thông qua các khóa học cập nhật hàng năm và thông báo về bất kỳ thay đổi nào trong chính sách hoặc quy định. Nhân viên được khuyến khích cập nhật kiến thức về các thực hành tốt nhất trong lĩnh vực an ninh thông tin. Tất cả nhân viên phải ký kết thỏa thuận bảo mật, trong đó xác nhận trách nhiệm của họ trong việc xử lý thông tin bảo mật.

5.7 Báo cáo và xử lý sự cố

Trong trường hợp có nghi ngờ hoặc vi phạm thực tế về bảo mật, nhân viên phải báo cáo sự cố ngay lập tức cho Chuyên viên Tuân thủ hoặc cơ quan có thẩm quyền được chỉ định. Một cuộc điều tra nhanh chóng và toàn diện sẽ được tiến hành để đánh giá mức độ vi phạm, xác định tác động của nó và thực hiện các biện pháp để giảm thiểu rủi ro. Điều này có thể bao gồm các bước để kiểm soát vi phạm, khôi phục dữ liệu bị mất và ngăn chặn các sự cố tương tự trong tương lai. Các thành viên bị ảnh hưởng và các cơ quan có liên quan sẽ được thông báo theo quy định của pháp luật, tuân thủ các quy trình đã được thiết lập cho việc thông báo vi phạm. Hồ sơ về sự cố và các hành động ứng phó sẽ được lưu giữ.

5.8 Quyền lợi của thành viên

Thành viên có các quyền cụ thể liên quan đến thông tin cá nhân của mình. Họ có quyền truy cập thông tin cá nhân của mình theo yêu cầu và nhận bản sao hồ sơ của mình trong thời gian hợp lý. Thành viên có thể yêu cầu chỉnh sửa thông tin nếu phát hiện sai sót, và chúng tôi có nghĩa vụ thực hiện các điều chỉnh phù hợp. Chúng tôi cung cấp cho thành viên một thông báo về quyền riêng tư giải thích cách thông tin của họ được sử dụng và bảo vệ, đảm bảo tính minh bạch và tuân thủ các yêu cầu pháp lý. Thành viên cũng có quyền yêu cầu hạn chế việc sử dụng và tiết lộ thông tin của mình trong một số trường hợp, và chúng tôi sẽ đáp ứng các yêu cầu này khi có thể.

6. Tuân thủ và Thi hành

Để đảm bảo tuân thủ chính sách này, các cuộc kiểm tra tuân thủ định kỳ được thực hiện. Các cuộc kiểm tra này xem xét nhật ký truy cập, hồ sơ đào tạo và các biện pháp an ninh để xác định các khu vực không tuân thủ hoặc có tiềm năng cải thiện. Việc vi phạm chính sách này sẽ được xử lý nghiêm túc và có thể dẫn đến các biện pháp kỷ luật, bao gồm cả việc chấm dứt hợp đồng lao động. Tất cả nhân viên được yêu cầu tuân thủ tất cả các luật và quy định liên quan, và việc không tuân thủ có thể dẫn đến hậu quả pháp lý. Ban quản lý chịu trách nhiệm thực thi chính sách này và thực hiện các biện pháp khắc phục khi có vi phạm xảy ra.

7. Trách nhiệm

Tất cả nhân viên có trách nhiệm duy trì tính bảo mật của thông tin thành viên và báo cáo ngay lập tức bất kỳ vi phạm hoặc hoạt động đáng ngờ nào cho các cơ quan có thẩm quyền. Nhân viên cần cảnh giác và chủ động trong việc bảo vệ thông tin bảo mật, tuân thủ tất cả các quy trình và tiêu chuẩn tốt nhất được nêu trong chính sách này. Ban quản lý có trách nhiệm đảm bảo rằng các thành viên trong nhóm hiểu và tuân thủ các chính sách bảo mật, cung cấp hỗ trợ và tài nguyên khi cần thiết. Chuyên viên Tuân thủ chịu trách nhiệm giám sát việc thực hiện chính sách này, bao gồm phát triển các chương trình đào tạo, tiến hành kiểm toán và quản lý các quy trình ứng phó sự cố.

8. Tham khảo

Chính sách này được hướng dẫn bởi một số luật và quy định quan trọng, bao gồm:

• The Luật Bảo hiểm Y tế về Khả năng Di chuyển và Trách nhiệm (HIPAA), quy định các tiêu chuẩn quốc gia về bảo vệ thông tin y tế.
• The Luật Bảo mật Thông tin Y tế của California (CMIA), quy định này cung cấp các biện pháp bảo vệ bổ sung cho thông tin y tế tại bang California.
• The Hướng dẫn Chương trình CalAIM ECM & CS, quy định các yêu cầu cụ thể về việc quản lý và bảo vệ thông tin thành viên trong chương trình.

9. Kiểm tra và Sửa đổi

Chính sách này sẽ được xem xét hàng năm hoặc khi cần thiết do các thay đổi về quy định, điều chỉnh tổ chức hoặc các thiếu sót được phát hiện. Quy trình xem xét sẽ bao gồm đánh giá hiệu quả của các quy trình hiện tại, xem xét phản hồi từ nhân viên và cập nhật các thay đổi về luật pháp và công nghệ. Bất kỳ cập nhật hoặc sửa đổi nào sẽ được thông báo kịp thời cho tất cả nhân viên để đảm bảo tuân thủ liên tục và nhận thức đầy đủ. Nhân viên được khuyến khích đóng góp ý kiến về các cách cải thiện chính sách và việc thực hiện nó.

1. Mục đích

Mục đích của chính sách này là thiết lập một quy trình toàn diện để giám sát việc áp dụng các chính sách bảo mật trong chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của CalAIM. Chính sách này đảm bảo tổ chức tuân thủ đầy đủ các luật liên bang và tiểu bang hiện hành, bao gồm Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA) và các quy định bảo mật của tiểu bang California. Bằng cách áp dụng một phương pháp tiếp cận có cấu trúc, chúng tôi nhằm mục đích bảo vệ quyền riêng tư và an ninh của Thông tin Y tế Được Bảo vệ (PHI) và Thông tin Nhận dạng Cá nhân (PII), từ đó duy trì sự tin tưởng của các đối tượng hưởng lợi và các bên liên quan.

2. Phạm vi

Chính sách này áp dụng cho tất cả nhân viên, nhà thầu, tình nguyện viên và đối tác bên thứ ba tham gia vào chương trình CalAIM ECM & CS và có quyền truy cập vào thông tin y tế cá nhân (PHI) hoặc thông tin cá nhân (PII). Mỗi cá nhân trong phạm vi này cần hiểu rõ trách nhiệm của mình và tuân thủ các quy trình được nêu trong chính sách này để đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin nhạy cảm.

3. Định nghĩa

• Thông tin y tế được bảo vệ (PHI): Bất kỳ thông tin nào liên quan đến tình trạng sức khỏe của một cá nhân, việc cung cấp dịch vụ y tế hoặc thanh toán cho dịch vụ y tế có thể được liên kết với một cá nhân cụ thể. Điều này bao gồm hồ sơ y tế, thông tin thanh toán và bất kỳ dữ liệu nào khác có thể xác định một cá nhân và liên quan đến sức khỏe của họ.
• Thông tin nhận dạng cá nhân (PII): Thông tin có thể được sử dụng để xác định, liên hệ hoặc xác định vị trí của một cá nhân cụ thể, hoặc để xác định một cá nhân trong bối cảnh cụ thể. Điều này có thể bao gồm tên, địa chỉ, số an sinh xã hội và các dữ liệu cá nhân khác.
• Chương trình CalAIM ECM & CS: Chương trình "California Advancing and Innovating Medi-Cal Enhanced Care Management & Community Support" được thiết kế để cung cấp các dịch vụ quản lý chăm sóc toàn diện cho người thụ hưởng Medi-Cal, đặc biệt là những người có nhu cầu phức tạp.

4. Vai trò và Trách nhiệm

Chuyên viên Bảo mật Dữ liệu: Chuyên viên Bảo mật Dữ liệu chịu trách nhiệm giám sát việc tuân thủ tất cả các luật và quy định về bảo mật dữ liệu trong chương trình ECM & CS. Điều này bao gồm việc thực hiện các cuộc kiểm tra và đánh giá định kỳ để đảm bảo các chính sách bảo mật được triển khai hiệu quả. Chuyên viên Bảo mật Dữ liệu quản lý các sự cố hoặc vi phạm bảo mật dữ liệu, phối hợp điều tra và thực hiện các biện pháp khắc phục khi cần thiết. Họ là điểm liên hệ chính cho tất cả các vấn đề liên quan đến bảo mật dữ liệu và cung cấp hướng dẫn cho nhân viên và nhà thầu về các thực hành tốt nhất.

Quản lý Chương trình: Quản lý Chương trình có trách nhiệm triển khai các chính sách bảo mật trong chương trình ECM & CS. Họ đảm bảo rằng nhân viên được cung cấp đào tạo và tài nguyên phù hợp để hiểu và tuân thủ các yêu cầu về bảo mật. Quản lý Chương trình hợp tác với bộ phận Bảo mật.

Cán bộ chịu trách nhiệm giải quyết các vấn đề vi phạm quy định và thúc đẩy văn hóa nhận thức về quyền riêng tư trong suốt chương trình.

Tất cả nhân viên và nhà thầu: Mọi cá nhân có quyền truy cập vào thông tin y tế cá nhân (PHI) hoặc thông tin cá nhân (PII) trong chương trình ECM & CS đều phải tuân thủ nghiêm ngặt tất cả các chính sách và quy trình bảo mật. Nhân viên và nhà thầu phải báo cáo ngay lập tức bất kỳ vi phạm nghi ngờ hoặc trường hợp không tuân thủ nào cho Quản lý Bảo mật hoặc cơ quan có thẩm quyền được chỉ định. Họ có trách nhiệm bảo vệ thông tin nhạy cảm và tuân thủ các quy trình đã được thiết lập cho việc sử dụng, tiết lộ và tiêu hủy thông tin đó.

5. Chi tiết chính sách

5.1 Ứng dụng Chính sách Bảo mật

Kiểm soát truy cập: Quyền truy cập vào thông tin y tế cá nhân (PHI) và thông tin cá nhân (PII) chỉ được cấp cho nhân viên được ủy quyền cần thông tin này để thực hiện nhiệm vụ công việc của họ. Tổ chức áp dụng các biện pháp kiểm soát truy cập dựa trên vai trò, đảm bảo rằng mỗi cá nhân chỉ có quyền truy cập tối thiểu cần thiết để hoàn thành trách nhiệm của mình. Việc truy cập, sử dụng hoặc tiết lộ thông tin nhạy cảm mà không được ủy quyền là hoàn toàn bị cấm và có thể bị xử lý kỷ luật.

Xử lý dữ liệu: THÔNG TIN Y TẾ CÁ NHÂN (PHI) và THÔNG TIN CÁ NHÂN (PII) chỉ được sử dụng và tiết lộ cho các mục đích được ủy quyền, chẳng hạn như điều trị, thanh toán và hoạt động y tế, theo định nghĩa của HIPAA. Thông tin nhạy cảm phải được lưu trữ an toàn, dù ở dạng vật lý hay điện tử, và truyền tải bằng các phương pháp được phê duyệt, bao gồm mã hóa và kênh truyền thông an toàn. Nhân viên phải đảm bảo rằng PHI và PII không bị bỏ lại mà không có sự giám sát hoặc truy cập bởi các cá nhân không được ủy quyền, cả trong và ngoài nơi làm việc.

Thỏa thuận bảo mật: Tất cả nhân viên và nhà thầu đều phải ký kết thỏa thuận bảo mật như một điều kiện để được tuyển dụng hoặc hợp tác. Các thỏa thuận này quy định nghĩa vụ của cá nhân trong việc bảo vệ thông tin y tế cá nhân (PHI) và thông tin cá nhân (PII), đồng thời nêu rõ hậu quả của việc vi phạm các nghĩa vụ này. Các thỏa thuận bảo mật được lưu trữ trong hồ sơ và có hiệu lực trong suốt thời gian cá nhân đó liên kết với tổ chức.

5.2 Quy trình giám sát

Đào tạo và Giáo dục: Tổ chức yêu cầu tất cả nhân viên mới phải tham gia khóa đào tạo toàn diện về bảo mật thông tin trước khi được cấp quyền truy cập vào thông tin y tế cá nhân (PHI) hoặc thông tin cá nhân (PII). Khóa đào tạo này bao gồm các quy định pháp luật liên quan, chính sách của tổ chức và các phương pháp tốt nhất để bảo vệ thông tin nhạy cảm. Ngoài ra, các khóa đào tạo định kỳ hàng năm được tổ chức cho tất cả nhân viên để củng cố kiến thức của họ và thông báo về bất kỳ cập nhật hoặc thay đổi nào trong chính sách bảo mật.

Giám sát và Kiểm toán: Các cuộc kiểm tra định kỳ được thực hiện bởi Chuyên viên Bảo mật Dữ liệu để đánh giá việc tuân thủ các chính sách bảo mật và xác định các khu vực tiềm ẩn rủi ro. Các cuộc kiểm tra này có thể bao gồm việc xem xét nhật ký truy cập, theo dõi việc truyền dữ liệu và đánh giá hiệu quả của các biện pháp bảo mật. Tổ chức sử dụng các công cụ giám sát để phát hiện truy cập trái phép hoặc hoạt động bất thường có thể cho thấy vi phạm hoặc không tuân thủ.

Đánh giá rủi ro: Các đánh giá rủi ro định kỳ được thực hiện để xác định các lỗ hổng trong việc xử lý thông tin y tế cá nhân (PHI) và thông tin cá nhân (PII). Các đánh giá này đánh giá khả năng xảy ra và tác động tiềm tàng của các mối đe dọa khác nhau, chẳng hạn như truy cập trái phép, rò rỉ dữ liệu hoặc mất tính toàn vẹn của dữ liệu. Dựa trên kết quả đánh giá, tổ chức triển khai các chiến lược giảm thiểu rủi ro, chẳng hạn như nâng cao các biện pháp bảo mật, cập nhật chính sách hoặc cung cấp đào tạo bổ sung cho nhân viên.

Đánh giá chính sách: Các chính sách bảo mật được xem xét ít nhất một lần mỗi năm để đảm bảo chúng luôn tuân thủ các quy định pháp luật hiện hành, quy định và các tiêu chuẩn tốt nhất của ngành. Những thay đổi trong pháp luật, công nghệ hoặc quy trình tổ chức có thể yêu cầu cập nhật các chính sách. Mọi sửa đổi đều được ban lãnh đạo cấp cao phê duyệt và thông báo kịp thời cho tất cả các bên liên quan, kèm theo đào tạo bổ sung nếu cần thiết.

5.3 Báo cáo và Quản lý sự cố

Báo cáo sự cố: Nhân viên và nhà thầu phải báo cáo ngay lập tức bất kỳ vi phạm nào được nghi ngờ hoặc xác nhận liên quan đến Thông tin Y tế Cá nhân (PHI) hoặc Thông tin Cá nhân (PII) ngay khi phát hiện. Các báo cáo phải được gửi đến Chuyên viên Bảo mật theo quy trình báo cáo sự cố tiêu chuẩn của tổ chức. Việc báo cáo kịp thời cho phép tổ chức thực hiện các biện pháp nhanh chóng để kiểm soát và giảm thiểu tác động của sự cố.

Phản ứng sự cố: Khi nhận được báo cáo về một vụ vi phạm tiềm ẩn, Chuyên viên Bảo mật Dữ liệu sẽ tiến hành điều tra để xác định bản chất và phạm vi của sự cố. Tổ chức tuân thủ kế hoạch ứng phó sự cố đã được xác định, bao gồm các bước để kiểm soát, loại bỏ mối đe dọa, khôi phục hệ thống và thông báo cho các bên liên quan. Việc thông báo cho cá nhân và cơ quan quản lý được thực hiện theo quy định pháp luật, và tất cả các hành động được thực hiện đều được ghi chép chi tiết.

5.4 Giao tiếp và Nhận thức

Phổ biến chính sách: Tổ chức đảm bảo rằng các chính sách bảo mật và tài liệu liên quan được cung cấp một cách dễ dàng cho tất cả nhân viên và nhà thầu. Các chính sách này có thể truy cập thông qua mạng nội bộ của tổ chức, sổ tay nhân viên và trong các buổi hướng dẫn. Các kênh giao tiếp định kỳ như bản tin nội bộ hoặc cuộc họp nhóm được sử dụng để nhấn mạnh tầm quan trọng của việc bảo mật và thông báo về các cập nhật hoặc nhắc nhở mới.

Cơ chế phản hồi: Các kênh giao tiếp mở được thiết lập để nhân viên có thể đưa ra phản hồi hoặc đề xuất liên quan đến các thực hành bảo vệ quyền riêng tư. Điều này có thể bao gồm các cuộc khảo sát ẩn danh, hộp đề xuất hoặc giao tiếp trực tiếp với Chuyên viên Bảo vệ Quyền riêng tư hoặc ban quản lý. Tổ chức đánh giá cao ý kiến đóng góp từ nhân viên và sử dụng phản hồi để cải thiện các chính sách và quy trình bảo vệ quyền riêng tư.

6. Tuân thủ

Thực thi: Tổ chức thực thi việc tuân thủ các chính sách bảo mật thông qua các quy trình kỷ luật đã được thiết lập. Việc không tuân thủ có thể dẫn đến các biện pháp kỷ luật, bao gồm cả việc chấm dứt hợp đồng lao động. Đối với nhà thầu và đối tác, vi phạm các chính sách bảo mật có thể dẫn đến việc chấm dứt hợp đồng và các hành động pháp lý tiềm năng. Tổ chức cam kết đảm bảo mọi cá nhân phải chịu trách nhiệm về hành vi của mình để duy trì một văn hóa tuân thủ và liêm chính.

Nghĩa vụ pháp lý: Tổ chức có nghĩa vụ tuân thủ tất cả các luật bảo vệ quyền riêng tư liên bang và tiểu bang hiện hành, bao gồm HIPAA và Đạo luật Bảo vệ Quyền Riêng tư Người tiêu dùng California (CCPA). Việc tuân thủ các luật này không chỉ là yêu cầu pháp lý mà còn là yếu tố thiết yếu để duy trì niềm tin của các bên thụ hưởng và các bên liên quan. Tổ chức hợp tác đầy đủ với các cơ quan quản lý trong quá trình kiểm tra tuân thủ hoặc điều tra và thực hiện các biện pháp khắc phục cần thiết để giải quyết các phát hiện.

7. Rà soát và Cập nhật Chính sách

Chính sách này sẽ được xem xét hàng năm hoặc khi cần thiết do sự thay đổi trong luật pháp, quy định hoặc yêu cầu tổ chức. Quy trình xem xét bao gồm đánh giá hiệu quả của các chính sách hiện tại, xem xét phản hồi từ nhân viên và các bên liên quan, và tích hợp các phát triển pháp lý hoặc công nghệ mới. Các cập nhật đối với chính sách được phê duyệt bởi ban lãnh đạo cấp cao và thông báo cho tất cả nhân viên và nhà thầu một cách kịp thời. Đào tạo và tài nguyên được cung cấp để đảm bảo rằng mọi người hiểu và có thể triển khai các thay đổi một cách hiệu quả.

8. Tham khảo

Chính sách này được xây dựng dựa trên và tuân thủ các luật, quy định và hướng dẫn sau đây:

• Luật Bảo hiểm Y tế Di động và Trách nhiệm (HIPAA): Luật liên bang quy định các biện pháp bảo vệ quyền riêng tư và an ninh dữ liệu nhằm bảo vệ thông tin y tế.
• Luật Bảo vệ Quyền Riêng tư của Người Tiêu dùng California (CCPA): Luật của bang California nhằm tăng cường quyền riêng tư và bảo vệ người tiêu dùng cho cư dân của bang California.
• Hướng dẫn Chương trình CalAIM ECM & CS: Hướng dẫn do nhà nước ban hành về việc triển khai và vận hành Chương trình Quản lý Chăm sóc Nâng cao & Hỗ trợ Cộng đồng.
• Chính sách Bảo mật và An ninh của Tổ chức: Các chính sách nội bộ quy định việc xử lý thông tin nhạy cảm và nêu rõ cam kết của tổ chức đối với quyền riêng tư và an ninh.

1. Mục đích

Mục tiêu chính của chính sách này là xác định rõ trách nhiệm của tất cả nhân viên trong việc bảo vệ Thông tin Y tế Được Bảo vệ (PHI) trong Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của CalAIM. Bằng cách tuân thủ chính sách này, chúng tôi nhằm đảm bảo tuân thủ đầy đủ các luật liên bang và tiểu bang có liên quan, bao gồm Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA) và Đạo luật Bảo mật Thông tin Y tế California (CMIA). Bảo vệ PHI không chỉ là yêu cầu pháp lý mà còn là yếu tố cơ bản trong việc duy trì niềm tin và sự tin tưởng của những người mà chúng tôi phục vụ.

2. Phạm vi

Chính sách này áp dụng toàn diện cho tất cả nhân viên, nhà thầu, tình nguyện viên và bất kỳ cá nhân nào có quyền truy cập vào Thông tin Y tế Cá nhân (PHI) trong Chương trình CalAIM ECM & CS. Dù bạn ở vị trí hay cấp bậc nào trong tổ chức, nếu bạn xử lý PHI, bạn có nghĩa vụ tuân thủ các hướng dẫn và quy trình được nêu trong chính sách này.

3. Định nghĩa

Thông tin y tế được bảo vệ (PHI): PHI đề cập đến bất kỳ thông tin sức khỏe cá nhân nào có thể xác định được danh tính, được truyền tải hoặc lưu trữ dưới bất kỳ hình thức hoặc phương tiện nào. Điều này bao gồm các hồ sơ điện tử, tài liệu giấy và các cuộc trao đổi bằng lời nói chứa thông tin sức khỏe cá nhân.

Nhân viên: Đối với mục đích của chính sách này, “nhân viên” bao gồm tất cả các cá nhân làm việc trong Chương trình CalAIM ECM & CS. Điều này bao gồm nhân viên toàn thời gian và bán thời gian, nhà thầu độc lập, thực tập sinh và tình nguyện viên có thể tiếp xúc với Thông tin Y tế Cá nhân (PHI).

Chương trình CalAIM ECM & CS: Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng của Medi-Cal tại California được thiết kế để cung cấp các dịch vụ quản lý chăm sóc toàn diện cho người thụ hưởng Medi-Cal có nhu cầu sức khỏe phức tạp. Chương trình tập trung vào việc cung cấp chăm sóc tập trung vào người bệnh, giải quyết cả các yếu tố y tế và xã hội ảnh hưởng đến sức khỏe.

4. Tuyên bố chính sách

Tất cả nhân viên đều có trách nhiệm cá nhân và chuyên môn trong việc bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có của Thông tin Y tế Cá nhân (PHI). Điều này có nghĩa là phải tích cực ngăn chặn việc truy cập, sử dụng hoặc tiết lộ trái phép PHI dưới mọi hình thức. Việc tuân thủ chính sách này là bắt buộc, và nhân viên phải làm quen với tất cả các quy trình liên quan để đảm bảo rằng PHI được xử lý một cách thích hợp mọi lúc.

5. Trách nhiệm của nhân viên

5.1 Kiểm soát truy cập

Nhân viên phải truy cập thông tin y tế cá nhân (PHI) một cách nghiêm ngặt theo nguyên tắc "chỉ truy cập khi cần thiết", phù hợp trực tiếp với nhiệm vụ công việc của họ. Việc truy cập PHI vượt quá phạm vi cần thiết cho vai trò của bạn là bị cấm. Mỗi nhân viên phải sử dụng thông tin đăng nhập duy nhất và mật khẩu mạnh để truy cập vào các hệ thống điện tử chứa PHI. Việc chia sẻ thông tin đăng nhập với người khác là bị cấm tuyệt đối. Khi các thiết bị chứa PHI bị bỏ lại mà không có người trông coi, nhân viên phải đảm bảo rằng chúng được khóa hoặc đăng xuất để ngăn chặn truy cập trái phép.

5.2 Bảo mật và Quyền riêng tư

Bảo mật thông tin y tế cá nhân (PHI) là ưu tiên hàng đầu. Nhân viên chỉ được tiết lộ PHI cho những cá nhân được ủy quyền có nhu cầu hợp pháp về thông tin trong phạm vi nhiệm vụ của họ. Khi truyền tải PHI qua hình thức điện tử, nhân viên phải sử dụng các phương thức giao tiếp an toàn và được phê duyệt, chẳng hạn như email mã hóa hoặc cổng thông tin an toàn. Các cuộc thảo luận bằng lời nói liên quan đến PHI nên được tiến hành trong môi trường riêng tư để tránh tiết lộ thông tin một cách vô ý. Tránh thảo luận về PHI ở những khu vực công cộng hoặc bất kỳ nơi nào có thể bị người không được ủy quyền nghe lén.

5.3 Sử dụng và Tiết lộ Thông tin Y tế Cá nhân (PHI)

Nhân viên chỉ được sử dụng Thông tin Y tế Cá nhân (PHI) cho các mục đích được pháp luật cho phép, chẳng hạn như điều trị, thanh toán và hoạt động y tế. Bất kỳ việc sử dụng hoặc tiết lộ PHI ngoài các mục đích được phép này đều yêu cầu sự cho phép bằng văn bản rõ ràng từ cá nhân liên quan. Nhân viên phải thu thập sự cho phép này trước khi tiến hành các tiết lộ như vậy. Ngoài ra, nhân viên có trách nhiệm duy trì hồ sơ chính xác về bất kỳ tiết lộ nào của PHI theo yêu cầu của pháp luật, đảm bảo tính minh bạch và trách nhiệm trong việc xử lý PHI.

5.4 Các biện pháp bảo vệ vật lý và điện tử

Bảo vệ thông tin y tế cá nhân (PHI) đòi hỏi cả các biện pháp bảo mật vật lý và điện tử. Các tài liệu vật lý chứa PHI phải được lưu trữ trong tủ khóa hoặc phòng có kiểm soát truy cập để ngăn chặn việc truy cập trái phép. Thông tin y tế cá nhân điện tử (ePHI) phải được lưu trữ trên các máy chủ an toàn với các giao thức bảo mật phù hợp, bao gồm mã hóa khi cần thiết. Nhân viên phải đảm bảo rằng tất cả các thiết bị được sử dụng để truy cập PHI, như máy tính và thiết bị di động, đều được trang bị các biện pháp bảo mật cập nhật, bao gồm phần mềm chống virus và tường lửa.

5.5 Xử lý dữ liệu

Việc xử lý đúng cách thông tin y tế cá nhân (PHI) là rất quan trọng để ngăn chặn truy cập trái phép sau khi thông tin không còn cần thiết. Các tài liệu giấy chứa PHI phải được xé nhỏ hoặc đốt cháy trước khi tiêu hủy. Đối với dữ liệu điện tử, nhân viên phải sử dụng các phương pháp được phê duyệt để xóa vĩnh viễn PHI khỏi thiết bị trước khi chúng được tiêu hủy hoặc tái sử dụng. Việc chỉ xóa file là không đủ; dữ liệu phải được làm cho không thể khôi phục lại.

5.6 Báo cáo và Ứng phó sự cố

Trong trường hợp có nghi ngờ hoặc vi phạm thực tế liên quan đến Thông tin Y tế Cá nhân (PHI), nhân viên phải báo cáo sự cố ngay lập tức cho Chuyên viên Tuân thủ hoặc cơ quan có thẩm quyền được chỉ định. Việc báo cáo kịp thời cho phép tổ chức thực hiện các biện pháp khắc phục nhanh chóng để giảm thiểu bất kỳ tác động tiêu cực tiềm ẩn nào. Nhân viên phải hợp tác đầy đủ với các cuộc điều tra liên quan đến các vi phạm hoặc vi phạm tiềm ẩn, cung cấp thông tin chính xác và đầy đủ theo yêu cầu.

5.7 Đào tạo và tuân thủ

Tất cả nhân viên đều phải hoàn thành khóa đào tạo bắt buộc về bảo vệ thông tin y tế cá nhân (PHI) và tuân thủ HIPAA hàng năm. Khóa đào tạo này được thiết kế để cập nhật cho nhân viên về các thực hành tốt nhất, yêu cầu pháp lý và bất kỳ thay đổi nào trong chính sách và quy trình. Nhân viên cũng được yêu cầu theo dõi các thay đổi trong luật pháp và quy định có thể ảnh hưởng đến cách thức xử lý thông tin y tế cá nhân (PHI) trong tổ chức.

5.8 Các biện pháp trừng phạt đối với việc không tuân thủ

Việc không tuân thủ chính sách này có thể dẫn đến những hậu quả nghiêm trọng. Nhân viên vi phạm chính sách có thể phải đối mặt với các biện pháp kỷ luật, bao gồm cảnh cáo bằng lời nói hoặc bằng văn bản, đình chỉ công tác hoặc chấm dứt hợp đồng lao động, tùy thuộc vào mức độ nghiêm trọng của vi phạm. Ngoài ra, việc tiết lộ trái phép thông tin y tế cá nhân (PHI) có thể dẫn đến các hình phạt pháp lý, bao gồm phạt tiền và truy cứu trách nhiệm hình sự. Điều quan trọng là nhân viên phải hiểu rõ tính nghiêm trọng của trách nhiệm này và những hậu quả tiềm ẩn của việc không tuân thủ.

6. Quy trình

6.1 Kế hoạch ứng phó sự cố

Trong trường hợp xảy ra vi phạm thông tin y tế cá nhân (PHI), nhân viên phải tuân thủ kế hoạch ứng phó sự cố của tổ chức. Điều này bao gồm việc báo cáo ngay lập tức, kiểm soát sự cố nếu có thể, và ghi chép chi tiết tất cả các thông tin liên quan. Kế hoạch ứng phó sự cố nêu rõ các bước cụ thể cần thực hiện để xử lý sự cố, bao gồm thông báo cho các cá nhân bị ảnh hưởng và các cơ quan quản lý theo quy định của pháp luật.

6.2 Kiểm toán và Giám sát

Tổ chức thực hiện các cuộc kiểm toán định kỳ để đảm bảo tuân thủ các chính sách bảo vệ thông tin y tế cá nhân (PHI). Nhân viên có thể được yêu cầu tham gia vào các cuộc kiểm toán này bằng cách cung cấp quyền truy cập vào hồ sơ hoặc hệ thống và trả lời các câu hỏi về các hoạt động của họ. Các cuộc kiểm toán giúp xác định các điểm yếu tiềm ẩn trong các biện pháp bảo mật và tạo cơ hội để cải thiện.

6.3 Sử dụng thiết bị cá nhân

Nhân viên muốn sử dụng thiết bị cá nhân để truy cập thông tin y tế cá nhân (PHI) phải được tổ chức cấp phép trước. Các thiết bị cá nhân được cấp phép phải tuân thủ các tiêu chuẩn bảo mật của tổ chức, bao gồm việc cài đặt phần mềm bảo mật cụ thể, kích hoạt mã hóa thiết bị và đồng ý với khả năng xóa từ xa trong trường hợp thiết bị bị mất hoặc bị đánh cắp.

7. Tuân thủ và Thi hành

Để duy trì các tiêu chuẩn cao nhất về bảo vệ thông tin y tế cá nhân (PHI), tổ chức sẽ tiến hành các cuộc kiểm tra và đánh giá tuân thủ định kỳ. Nhân viên được yêu cầu hợp tác đầy đủ với các nỗ lực này. Bất kỳ vi phạm nào đối với chính sách này sẽ được xử lý kịp thời theo quy trình kỷ luật của tổ chức. Các biện pháp thi hành không chỉ nhằm khắc phục hành vi cá nhân mà còn để duy trì tính toàn vẹn của cam kết của tổ chức trong việc bảo vệ thông tin y tế cá nhân.

8. Kiểm tra và Sửa đổi

Chính sách này sẽ được xem xét kỹ lưỡng hàng năm để đảm bảo nó luôn cập nhật với các thay đổi trong luật pháp, quy định và thực tiễn tổ chức. Nhân viên được khuyến khích đưa ra phản hồi về chính sách và đề xuất các cải tiến. Các cập nhật đối với chính sách sẽ được thông báo đến toàn thể nhân viên, những người có trách nhiệm tự làm quen với các thay đổi.

1. Mục đích

Mục đích của chính sách này là thiết lập các hướng dẫn và quy trình toàn diện để xử lý và xử phạt việc sử dụng hoặc lạm dụng thông tin y tế được bảo vệ (PHI) một cách cẩu thả trong Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của CalAIM. Chính sách này nhằm đảm bảo tuân thủ nghiêm ngặt tất cả các luật liên bang và tiểu bang có liên quan, bao gồm Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA) và Đạo luật Bảo mật Thông tin Y tế California (CMIA). Bằng cách nêu rõ các kỳ vọng và hậu quả, chúng tôi mong muốn bảo vệ tính bảo mật, tính toàn vẹn và an ninh của PHI, từ đó duy trì niềm tin của những cá nhân mà chúng tôi phục vụ.

2. Phạm vi

Chính sách này áp dụng cho tất cả các cá nhân có quyền truy cập vào Thông tin Y tế Cá nhân (PHI) trong Chương trình CalAIM ECM & CS. Điều này bao gồm, nhưng không giới hạn, nhân viên, nhà thầu, tình nguyện viên, thực tập sinh và đối tác kinh doanh. Chính sách này áp dụng cho bất kỳ ai tương tác với PHI dưới bất kỳ hình thức nào, bao gồm cả chăm sóc bệnh nhân trực tiếp, các chức năng hành chính hoặc dịch vụ hỗ trợ.

3. Định nghĩa

Thông tin y tế được bảo vệ (PHI): Thuật ngữ này đề cập đến bất kỳ thông tin nào, bao gồm dữ liệu dân số, liên quan đến tình trạng sức khỏe thể chất hoặc tinh thần trong quá khứ, hiện tại hoặc tương lai của một cá nhân, việc cung cấp dịch vụ y tế hoặc thanh toán cho các dịch vụ y tế, có thể được sử dụng để xác định danh tính của cá nhân đó. Thông tin y tế cá nhân (PHI) có thể tồn tại dưới nhiều hình thức khác nhau, chẳng hạn như hồ sơ điện tử, tài liệu giấy hoặc giao tiếp bằng lời nói.

Sử dụng cẩu thả hoặc lạm dụng: Mô tả bất kỳ hành động hoặc sự thiếu hành động nào thể hiện việc không thực hiện mức độ cẩn trọng phù hợp trong việc xử lý Thông tin Y tế Cá nhân (PHI), dẫn đến việc truy cập, tiết lộ, sửa đổi hoặc phá hủy trái phép thông tin đó. Điều này bao gồm cả các hành động cố ý và vô ý làm suy yếu tính bảo mật và an toàn của PHI.

Chương trình CalAIM ECM & CS: Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng Medi-Cal của California (California Advancing and Innovating Medi-Cal Enhanced Care Management & Community Support Program). Đây là một sáng kiến của bang nhằm cung cấp các dịch vụ quản lý chăm sóc toàn diện cho người thụ hưởng Medi-Cal có nhu cầu phức tạp, tập trung vào chăm sóc toàn diện cho người bệnh và cải thiện kết quả sức khỏe.

4. Tuyên bố chính sách

Tất cả nhân viên liên quan đến Chương trình CalAIM ECM & CS được yêu cầu xử lý Thông tin Y tế Cá nhân (PHI) với sự bảo mật tuyệt đối và chuyên nghiệp. Việc sử dụng hoặc lạm dụng PHI một cách cẩu thả là hoàn toàn bị cấm. Bất kỳ vi phạm nào đối với chính sách này sẽ dẫn đến các biện pháp kỷ luật, bao gồm đào tạo lại, đình chỉ công việc, chấm dứt hợp đồng lao động hoặc hợp đồng dịch vụ, và có thể phải chịu hậu quả pháp lý. Tổ chức cam kết thực thi chính sách này một cách nhất quán và công bằng để bảo vệ quyền lợi và sự riêng tư của cá nhân, đồng thời tuân thủ các nghĩa vụ pháp lý và đạo đức.

5. Quy trình

5.1. Truy cập và Sử dụng Thông tin Y tế Cá nhân (PHI)

Nhân viên được phép truy cập thông tin y tế cá nhân (PHI) một cách nghiêm ngặt theo nguyên tắc "cần biết" để thực hiện các nhiệm vụ công việc cụ thể của họ. Khi xử lý PHI, cá nhân phải sử dụng các phương pháp an toàn cho việc truyền tải và lưu trữ, chẳng hạn như email được mã hóa, chuyển file an toàn và tủ đựng tài liệu có khóa cho các tài liệu vật lý. Trước khi tiết lộ PHI, nhân viên phải xác minh danh tính và quyền hạn của bên yêu cầu để đảm bảo họ có quyền truy cập hợp pháp. Tất cả các thiết bị và hệ thống điện tử được sử dụng để truy cập PHI phải được bảo vệ bằng mật khẩu và tuân thủ các quy trình bảo mật mạng của tổ chức.

5.2. Báo cáo vi phạm

Nếu cá nhân nào nghi ngờ hoặc phát hiện bất kỳ hành vi lạm dụng, truy cập trái phép hoặc vi phạm an ninh liên quan đến Thông tin Y tế Cá nhân (PHI), họ có nghĩa vụ báo cáo ngay lập tức cho Chuyên viên Tuân thủ hoặc cơ quan có thẩm quyền được chỉ định. Báo cáo phải bao gồm tất cả các chi tiết liên quan để hỗ trợ việc điều tra kỹ lưỡng. Nhân viên được yêu cầu hợp tác đầy đủ với bất kỳ cuộc điều tra nội bộ hoặc bên ngoài nào, cung cấp thông tin trung thực và đầy đủ để hỗ trợ giải quyết vấn đề một cách kịp thời.

5.3. Đào tạo

Tất cả nhân viên phải hoàn thành khóa đào tạo bắt buộc về việc xử lý thông tin y tế cá nhân (PHI), chính sách bảo mật và các quy trình bảo mật ngay khi được tuyển dụng và hàng năm sau đó. Khóa đào tạo sẽ bao gồm các nội dung như nhận diện thông tin y tế cá nhân (PHI), hiểu biết về luật bảo mật, các phương pháp đúng đắn để xử lý và tiêu hủy thông tin y tế cá nhân (PHI), cũng như các quy trình báo cáo vi phạm. Nhân viên cũng có trách nhiệm cập nhật thông tin về bất kỳ thay đổi hoặc điều chỉnh nào đối với các luật, quy định hoặc chính sách tổ chức có thể ảnh hưởng đến nhiệm vụ của họ.

6. Phạt và các biện pháp kỷ luật

Các hình phạt đối với việc sử dụng hoặc lạm dụng thông tin y tế cá nhân (PHI) một cách cẩu thả sẽ được xác định dựa trên mức độ nghiêm trọng, ý định và hoàn cảnh xung quanh vi phạm. Tổ chức có quyền xem xét lịch sử tuân thủ của cá nhân khi quyết định các biện pháp kỷ luật phù hợp.

6.1. Vi phạm nhẹ

Vi phạm nhỏ là những hành động vô ý không gây ra hậu quả nghiêm trọng nhưng cho thấy sự thiếu sót trong việc tuân thủ các quy trình đúng đắn. Ví dụ bao gồm việc vô tình xem thông tin y tế cá nhân (PHI) không liên quan đến nhiệm vụ công việc của mình hoặc quên đăng xuất khỏi máy tính làm việc, có thể khiến thông tin bị lộ ra cho những người không được ủy quyền.

• Vi phạm lần đầu: Cá nhân sẽ nhận được một cảnh cáo bằng lời và phải tham gia đào tạo lại ngay lập tức về các chính sách và quy trình liên quan đến Thông tin Y tế Cá nhân (PHI).
• Vi phạm lần thứ hai: Một cảnh cáo bằng văn bản sẽ được ban hành, và nhân viên sẽ phải tham gia các buổi đào tạo bổ sung tập trung vào các quy trình bảo mật và quyền riêng tư.
• Các vi phạm tiếp theo: Các vi phạm tiếp theo có thể dẫn đến việc đình chỉ công tác mà không được trả lương hoặc chấm dứt hợp đồng lao động, tùy thuộc vào hoàn cảnh cụ thể và hồ sơ thành tích làm việc tổng thể của cá nhân.

6.2. Vi phạm ở mức độ trung bình

Vi phạm ở mức độ trung bình bao gồm các hành vi có thể tiềm ẩn nguy cơ tiết lộ thông tin y tế cá nhân (PHI) cho các bên không được ủy quyền hoặc thể hiện sự coi thường các quy trình đã được thiết lập. Các ví dụ bao gồm chia sẻ PHI với nhân viên không được ủy quyền hoặc để PHI dưới dạng vật lý hoặc điện tử không được bảo vệ an toàn.

• Vi phạm lần đầu: Cá nhân sẽ nhận được một cảnh cáo bằng văn bản và phải tham gia các buổi đào tạo lại bắt buộc. Tùy theo mức độ nghiêm trọng, việc đình chỉ có thể được xem xét.
• Vi phạm lần thứ hai: Người lao động có thể bị đình chỉ công tác mà không được trả lương, và việc đánh giá lại vai trò và quyền truy cập của họ sẽ được tiến hành để xác định xem có cần điều chỉnh gì để ngăn chặn các sự cố tương tự trong tương lai hay không.
• Các vi phạm tiếp theo: Việc chấm dứt hợp đồng lao động hoặc thỏa thuận hợp đồng có thể xảy ra, kèm theo khả năng báo cáo cá nhân đó cho các hội đồng cấp phép chuyên nghiệp hoặc cơ quan quản lý để tiến hành các biện pháp tiếp theo.

6.3. Vi phạm nghiêm trọng

Vi phạm nghiêm trọng là những hành vi cố ý hoặc sự cẩu thả lặp đi lặp lại gây ra thiệt hại nghiêm trọng hoặc đe dọa nghiêm trọng đến quyền riêng tư của cá nhân. Các ví dụ bao gồm việc cố ý tiết lộ thông tin y tế cá nhân (PHI) vì lợi ích cá nhân, với ý đồ xấu, hoặc không sửa chữa hành vi cẩu thả sau khi đã nhận được cảnh báo trước đó.

• Các hành động cần thực hiện ngay lập tức: Cá nhân sẽ bị chấm dứt hợp đồng lao động hoặc quan hệ hợp đồng ngay lập tức. Quyền truy cập vào tất cả các hệ thống và cơ sở vật chất của tổ chức sẽ bị thu hồi ngay lập tức.
• Hậu quả pháp lý: Tổ chức sẽ báo cáo vụ việc cho các cơ quan quản lý có thẩm quyền, chẳng hạn như Văn phòng Quyền Công dân (OCR) thuộc Bộ Y tế và Dịch vụ Nhân sinh (HHS), và có thể khởi kiện dân sự hoặc hình sự đối với cá nhân liên quan. Tổ chức cũng có thể hợp tác với các cơ quan thực thi pháp luật trong các cuộc điều tra hoặc thủ tục pháp lý.

7. Trách nhiệm

7.1. Nhân viên và Nhà thầu

Tất cả nhân viên và nhà thầu đều có trách nhiệm tuân thủ nghiêm ngặt các chính sách và quy trình liên quan đến Thông tin Y tế Cá nhân (PHI). Điều này bao gồm việc chủ động bảo vệ PHI, sử dụng PHI một cách phù hợp và ngăn chặn việc truy cập hoặc tiết lộ PHI trái phép. Các cá nhân phải báo cáo ngay lập tức bất kỳ vi phạm nghi ngờ hoặc thực tế nào và tham gia đầy đủ vào tất cả các hoạt động đào tạo và giáo dục bắt buộc để đảm bảo tuân thủ các quy định pháp luật hiện hành và tiêu chuẩn của tổ chức.

7.2. Quản lý

Các nhà quản lý và giám sát viên có trách nhiệm thực thi chính sách này một cách nhất quán và công bằng. Họ cần đảm bảo rằng đội ngũ của mình hiểu rõ tầm quan trọng của việc bảo mật thông tin y tế cá nhân (PHI) và cung cấp các nguồn lực và hỗ trợ cần thiết để tuân thủ. Ban quản lý phải theo dõi việc tuân thủ chính sách của nhân viên, giải quyết các vấn đề một cách chủ động và áp dụng các biện pháp kỷ luật phù hợp khi có vi phạm xảy ra.

7.3. Chuyên viên tuân thủ

Chuyên viên Tuân thủ chịu trách nhiệm giám sát việc triển khai và thực thi chính sách này. Vai trò này bao gồm thực hiện các cuộc kiểm tra định kỳ, điều tra các vi phạm được báo cáo, lưu trữ hồ sơ về các sự cố và biện pháp khắc phục, cũng như cập nhật chính sách khi cần thiết. Chuyên viên Tuân thủ đóng vai trò là nguồn thông tin hỗ trợ nhân viên trong việc giải đáp các thắc mắc hoặc lo ngại liên quan đến việc xử lý thông tin y tế cá nhân (PHI) và các vấn đề tuân thủ.

8. Giám sát và Kiểm toán

Để đảm bảo tuân thủ liên tục các quy trình xử lý thông tin y tế cá nhân (PHI), tổ chức sẽ tiến hành các hoạt động giám sát và kiểm toán định kỳ. Các hoạt động này có thể bao gồm kiểm tra nhật ký truy cập, đánh giá các biện pháp bảo mật và đánh giá việc tuân thủ các yêu cầu đào tạo. Bất kỳ sai sót hoặc vi phạm nào được phát hiện trong quá trình kiểm toán sẽ được xử lý ngay lập tức. Các biện pháp khắc phục có thể bao gồm đào tạo bổ sung, điều chỉnh chính sách hoặc các biện pháp kỷ luật theo quy định của chính sách này.

9. Tham khảo

Chính sách này được xây dựng dựa trên và tuân thủ các luật và hướng dẫn sau:

• Luật Bảo hiểm Y tế Di động và Trách nhiệm (HIPAA) năm 1996: Luật liên bang quy định các tiêu chuẩn quốc gia về bảo vệ hồ sơ y tế cá nhân và các thông tin sức khỏe cá nhân khác.
• Luật Bảo mật Thông tin Y tế của California (CMIA): Luật của bang California quy định các biện pháp bảo vệ bổ sung đối với tính bảo mật của thông tin y tế.
• Hướng dẫn Chương trình CalAIM ECM & CS: Hướng dẫn cụ thể theo từng bang nêu rõ các yêu cầu và kỳ vọng đối với Chương trình Quản lý Chăm sóc Nâng cao & Hỗ trợ Cộng đồng trong khuôn khổ CalAIM.

10. Đánh giá chính sách

Chính sách này sẽ được xem xét chính thức hàng năm hoặc khi cần thiết do sự thay đổi trong các luật, quy định hoặc thực hành tổ chức liên quan. Quá trình xem xét sẽ bao gồm đánh giá hiệu quả của chính sách, tiếp thu ý kiến phản hồi từ các bên liên quan và thực hiện các cập nhật cần thiết để đảm bảo tuân thủ liên tục và bảo vệ thông tin y tế cá nhân (PHI).

1. Mục đích

Sự bảo mật thông tin của người tham gia là yếu tố cơ bản của Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của CalAIM. Chính sách này được thiết lập để cung cấp các hướng dẫn và quy trình rõ ràng cho việc báo cáo kịp thời bất kỳ vi phạm bảo mật nào, dù là nghi ngờ hay thực tế. Bằng cách tuân thủ chính sách này, chúng tôi đảm bảo tuân thủ các yêu cầu pháp lý, bảo vệ thông tin của người tham gia và duy trì niềm tin mà cá nhân và cộng đồng mà chúng tôi phục vụ đã đặt vào chúng tôi.

2. Phạm vi

Chính sách này áp dụng cho tất cả các cá nhân tham gia vào Chương trình CalAIM ECM & CS, bao gồm nhân viên, nhà thầu, tình nguyện viên và đối tác xử lý thông tin cá nhân của người tham gia. Chính sách này bao gồm tất cả các hình thức Thông tin Y tế Được Bảo vệ (PHI) và Thông tin Nhận dạng Cá nhân (PII), dù được lưu trữ hoặc truyền tải dưới dạng điện tử, trên giấy tờ hoặc được truyền đạt bằng lời nói.

3. Định nghĩa

Vi phạm nghĩa vụ bảo mật: Vi phạm bảo mật đề cập đến việc thu thập, truy cập, sử dụng hoặc tiết lộ trái phép thông tin y tế cá nhân (PHI) hoặc thông tin cá nhân (PII) làm ảnh hưởng đến tính bảo mật hoặc quyền riêng tư của thông tin đó. Điều này bao gồm các trường hợp thông tin bị truy cập bởi các cá nhân không có quyền truy cập hợp lệ hoặc được sử dụng cho mục đích không được phép theo chính sách của tổ chức hoặc các quy định pháp luật hiện hành.

Thông tin y tế được bảo vệ (PHI): PHI bao gồm bất kỳ thông tin nào liên quan đến tình trạng sức khỏe của một cá nhân, việc cung cấp dịch vụ y tế hoặc thanh toán cho dịch vụ y tế có thể được liên kết với một cá nhân cụ thể. Điều này bao gồm một loạt các loại dữ liệu, chẳng hạn như hồ sơ y tế, lịch sử sức khỏe, kết quả xét nghiệm và thông tin bảo hiểm.

Thông tin nhận dạng cá nhân (PII): PII là bất kỳ dữ liệu nào có thể xác định, liên hệ hoặc xác định vị trí của một cá nhân cụ thể, hoặc có thể được sử dụng kết hợp với các nguồn khác để xác định một cá nhân cụ thể. Các ví dụ bao gồm tên, địa chỉ, số an sinh xã hội và ngày sinh.

4. Tuyên bố chính sách

Tất cả nhân viên có nghĩa vụ duy trì tiêu chuẩn bảo mật cao nhất đối với thông tin của người tham gia. Trong trường hợp nghi ngờ hoặc phát hiện vi phạm bảo mật, việc báo cáo sự cố ngay lập tức sau khi phát hiện là bắt buộc. Báo cáo kịp thời là yếu tố quan trọng để triển khai các biện pháp khắc phục kịp thời, tuân thủ các nghĩa vụ pháp lý và giảm thiểu tác động tiêu cực đối với các cá nhân bị ảnh hưởng. Việc báo cáo chậm trễ có thể làm trầm trọng thêm tác động của vi phạm và dẫn đến việc không tuân thủ các yêu cầu quy định.

5. Quy trình báo cáo vi phạm

Hành động ngay lập tức khi phát hiện

Khi có nghi ngờ hoặc xác nhận về vi phạm, cá nhân phát hiện sự cố phải thực hiện ngay các bước để báo cáo. Điểm liên hệ đầu tiên nên là người quản lý trực tiếp của họ. Báo cáo nên được thực hiện bằng lời nói và càng sớm càng tốt để đảm bảo hành động kịp thời. Nếu người quản lý không có mặt, hoặc nếu cá nhân cho rằng không phù hợp để báo cáo cho họ, nên liên hệ trực tiếp với Chuyên viên Bảo mật Dữ liệu được chỉ định hoặc Bộ phận Tuân thủ.

Cung cấp thông tin chi tiết

Khi báo cáo sự cố, cá nhân nên cung cấp chi tiết đầy đủ để hỗ trợ phản ứng hiệu quả. Điều này bao gồm:

• Mô tả sự cố: Một bản tường trình rõ ràng và súc tích về những gì đã xảy ra, bao gồm cách thức và thời điểm vi phạm được phát hiện.
• Các loại thông tin bị lộ: Xác định các loại thông tin y tế cá nhân (PHI) hoặc thông tin cá nhân (PII) cụ thể đã bị lộ trong vụ vi phạm.
• Các cá nhân bị ảnh hưởng: Thông tin về số lượng và, nếu có thể xác định, danh tính của các cá nhân có thông tin bị lộ.
• Các biện pháp khẩn cấp đã được thực hiện: Các biện pháp đã được thực hiện để kiểm soát hoặc giảm thiểu sự cố vi phạm nên được mô tả.

Hoàn thành Báo cáo sự cố

Sau khi nhận được báo cáo ban đầu bằng lời nói, cá nhân phải hoàn thành mẫu báo cáo sự cố chính thức do Bộ phận Tuân thủ cung cấp. Tài liệu này phải ghi lại tất cả các chi tiết đã biết về vi phạm và được nộp ngay lập tức. Việc ghi chép chính xác là rất quan trọng để tuân thủ pháp luật và để hướng dẫn quá trình điều tra và phản ứng tiếp theo.

Bảo mật thông tin trong quá trình báo cáo

Trong suốt quá trình báo cáo, việc duy trì tính bảo mật tuyệt đối là điều bắt buộc. Chi tiết về vụ vi phạm không được tiết lộ cho các cá nhân không có thẩm quyền. Việc thảo luận về vụ việc ngoài các kênh báo cáo và điều tra chính thức có thể dẫn đến việc tiết lộ thông tin không được phép và có thể làm ảnh hưởng đến tính toàn vẹn của cuộc điều tra.

6. Quy trình điều tra

Khởi xướng cuộc điều tra

Chuyên viên Bảo mật có trách nhiệm tiến hành điều tra trong vòng 24 giờ kể từ khi sự cố vi phạm được báo cáo. Mục tiêu của cuộc điều tra là xác định phạm vi, nguyên nhân và tác động tiềm tàng của sự cố vi phạm. Cuộc điều tra cũng sẽ đánh giá xem sự cố vi phạm có xuất phát từ các vấn đề hệ thống hay chỉ là các sự cố riêng lẻ.

Hợp tác và Hỗ trợ

Tất cả nhân viên được yêu cầu hợp tác đầy đủ với cuộc điều tra. Điều này bao gồm cung cấp thông tin bổ sung theo yêu cầu, tham gia phỏng vấn và hỗ trợ xác định các yếu tố góp phần gây ra sự cố. Sự hợp tác là yếu tố quan trọng để đảm bảo cuộc điều tra được tiến hành một cách toàn diện và hiệu quả.

Đánh giá và Lập hồ sơ

Cuộc điều tra sẽ đánh giá mức độ vi phạm, bao gồm số lượng cá nhân bị ảnh hưởng và mức độ nhạy cảm của thông tin bị lộ. Tất cả kết quả điều tra sẽ được ghi chép chi tiết, và tài liệu ghi chép sẽ được lưu trữ an toàn để bảo vệ tính bảo mật và tuân thủ các yêu cầu pháp lý.

7. Giảm thiểu và Thông báo

Các biện pháp kiểm soát khẩn cấp

Khi phát hiện vi phạm, các biện pháp khẩn cấp sẽ được thực hiện để kiểm soát sự cố và ngăn chặn việc truy cập hoặc tiết lộ trái phép thêm. Điều này có thể bao gồm việc bảo vệ các tài liệu vật lý, vô hiệu hóa các tài khoản người dùng bị xâm phạm hoặc các hành động khác phù hợp với tính chất của vi phạm.

Tuân thủ pháp luật và Thông báo

Tổ chức sẽ tuân thủ tất cả các nghĩa vụ pháp lý liên quan đến thông báo vi phạm. Điều này bao gồm:

• Thông báo cho các cá nhân bị ảnh hưởng: Các cá nhân có thông tin bị lộ sẽ được thông báo kịp thời theo quy định của pháp luật. Thông báo sẽ bao gồm thông tin về vụ vi phạm, các bước mà cá nhân có thể thực hiện để bảo vệ bản thân và những biện pháp mà tổ chức đang thực hiện để giải quyết tình huống.
• Báo cáo cho các cơ quan quản lý: Tổ chức sẽ báo cáo vi phạm cho các cơ quan quản lý có liên quan, chẳng hạn như Bộ Y tế và Dịch vụ Nhân sinh (HHS) theo quy định của HIPAA, nếu cần thiết.
• Tương tác với cơ quan thực thi pháp luật: Nếu có nghi ngờ về hoạt động phạm tội, các cơ quan chức năng có thẩm quyền sẽ được thông báo.

Các biện pháp khắc phục

Dựa trên kết quả của cuộc điều tra, tổ chức sẽ thực hiện các biện pháp khắc phục để ngăn chặn các vi phạm trong tương lai. Điều này có thể bao gồm việc sửa đổi chính sách và quy trình, tăng cường các biện pháp an ninh, cung cấp đào tạo bổ sung cho nhân viên hoặc các biện pháp phù hợp khác.

8. Đào tạo và Giáo dục

Các chương trình đào tạo bắt buộc

Tất cả nhân viên đều phải tham gia khóa đào tạo hàng năm về chính sách bảo mật thông tin và an ninh dữ liệu. Khóa đào tạo sẽ bao gồm:

• Hiểu về PHI và PII: Định nghĩa và ví dụ để đảm bảo sự rõ ràng về những gì được coi là thông tin bí mật.
• Yêu cầu pháp lý: Tổng quan về các luật và quy định liên quan đến bảo mật thông tin, bao gồm HIPAA và các luật cụ thể của từng bang.
• Xác định và Báo cáo Vi phạm: Hướng dẫn nhận diện các vi phạm tiềm ẩn và quy trình báo cáo chúng.
• Các phương pháp tốt nhất về bảo mật dữ liệu: Các chiến lược bảo vệ thông tin bí mật trong các hoạt động hàng ngày.

Giáo dục liên tục

Ngoài việc đào tạo hàng năm, tổ chức sẽ cung cấp đào tạo liên tục thông qua các bản cập nhật, bản tin hoặc cuộc họp để cập nhật cho nhân viên về các thay đổi trong chính sách, các mối đe dọa mới nổi hoặc các yêu cầu quy định mới.

9. Chính sách không trả đũa

Bảo vệ cho việc báo cáo thiện chí

Tổ chức cam kết tạo ra một môi trường nơi nhân viên có thể báo cáo các vi phạm mà không lo ngại bị trả thù. Những cá nhân báo cáo các vi phạm nghi ngờ hoặc thực tế với thiện chí sẽ được bảo vệ theo chính sách này. Việc trả thù đối với bất kỳ cá nhân nào vì đã báo cáo vi phạm là hoàn toàn bị cấm và sẽ không được dung thứ.

Hậu quả của việc trả đũa

Bất kỳ hành vi trả đũa nào cũng sẽ bị xử lý kỷ luật, bao gồm cả việc chấm dứt hợp đồng lao động hoặc thỏa thuận hợp đồng. Nhân viên được khuyến khích báo cáo bất kỳ lo ngại nào về hành vi trả đũa đến Bộ phận Tuân thủ hoặc Bộ phận Nhân sự.

10. Các biện pháp kỷ luật

Trách nhiệm đối với việc không tuân thủ

Nhân viên không tuân thủ chính sách này có thể phải chịu các biện pháp kỷ luật. Việc không tuân thủ bao gồm không báo cáo các vi phạm, xử lý sai thông tin bí mật hoặc cản trở cuộc điều tra.

Phạm vi các biện pháp kỷ luật

Các biện pháp kỷ luật sẽ được áp dụng tương xứng với mức độ nghiêm trọng của vi phạm và có thể bao gồm:

• Cảnh cáo bằng lời nói hoặc bằng văn bản: Đối với các vi phạm nhẹ hoặc lần vi phạm đầu tiên.
• Đào tạo lại bắt buộc: Để khắc phục những thiếu sót trong kiến thức hoặc hiểu biết.
• Tạm ngưng: Tạm thời đình chỉ công tác để chờ kết quả điều tra tiếp theo.
• Chấm dứt: Đối với các vi phạm nghiêm trọng hoặc tái diễn.
• Hành động pháp lý: Trong các trường hợp liên quan đến sự cẩu thả nghiêm trọng, hành vi cố ý vi phạm hoặc vi phạm pháp luật, có thể khởi kiện.

11. Rà soát và cập nhật chính sách

Quy trình đánh giá định kỳ

Chính sách này sẽ được xem xét chính thức ít nhất một lần mỗi năm hoặc thường xuyên hơn nếu cần thiết do sự thay đổi trong luật pháp, quy định hoặc các thực hành tổ chức. Việc xem xét sẽ đánh giá hiệu quả của chính sách và tích hợp các cập nhật cần thiết.

Thông báo về các thay đổi

Bất kỳ sự điều chỉnh nào đối với chính sách sẽ được thông báo kịp thời đến toàn bộ nhân viên. Các cập nhật sẽ được phân phối qua các kênh thông tin chính thức, và có thể tổ chức các buổi đào tạo bổ sung hoặc các buổi thông tin để đảm bảo sự hiểu biết và tuân thủ.

1. Mục đích

Mục đích của chính sách này là thiết lập các hướng dẫn và quy trình toàn diện để bảo vệ quyền truy cập vật lý vào các cơ sở tham gia Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của California Advancing and Innovating Medi-Cal (CalAIM). Bảo vệ quyền truy cập vật lý là yếu tố quan trọng để đảm bảo an toàn cho nhân viên, khách hàng và khách thăm, đồng thời bảo vệ thông tin nhạy cảm và tài sản của tổ chức. Chính sách này nhằm giảm thiểu rủi ro liên quan đến việc truy cập trái phép, trộm cắp và các vi phạm tiềm ẩn có thể ảnh hưởng đến tính toàn vẹn của hoạt động và tuân thủ các yêu cầu pháp lý và quy định.

2. Phạm vi

Chính sách này áp dụng cho tất cả các cá nhân truy cập vào các cơ sở vật chất của [Tên Công ty] nơi diễn ra các hoạt động của Chương trình CalAIM ECM & CS. Điều này bao gồm nhân viên ở mọi cấp độ, nhà thầu, nhà cung cấp, nhân viên tạm thời, thực tập sinh, tình nguyện viên và khách thăm. Chính sách này áp dụng cho tất cả các địa điểm vật lý do công ty sở hữu, thuê hoặc vận hành, bao gồm văn phòng, phòng khám, trung tâm dữ liệu và bất kỳ địa điểm ngoài trụ sở chính nào nơi công ty thực hiện hoạt động kinh doanh.

3. Định nghĩa

• Nhân viên được ủy quyền: Các cá nhân được cấp quyền truy cập vào các khu vực cụ thể của cơ sở dựa trên trách nhiệm công việc của họ và sau khi hoàn tất các quy trình phê duyệt phù hợp.
• Các khu vực nhạy cảm: Các khu vực trong cơ sở chứa thông tin mật, hệ thống quan trọng hoặc thực hiện các hoạt động bị hạn chế. Ví dụ bao gồm phòng máy chủ, khu vực lưu trữ hồ sơ và văn phòng điều hành.
• Kiểm soát truy cập vật lý: Các biện pháp an ninh như khóa cửa, hệ thống kiểm soát truy cập điện tử, máy quét sinh trắc học, nhân viên an ninh và thiết bị giám sát được sử dụng để kiểm soát việc ra vào cơ sở.

4. Chi tiết chính sách

4.1 Các biện pháp kiểm soát an ninh vật lý

Tất cả các điểm vào cơ sở phải được bảo vệ để ngăn chặn truy cập trái phép. Điều này bao gồm việc lắp đặt và bảo trì các rào cản vật lý như cửa khóa, cổng an ninh và cổng xoay. Cơ sở phải sử dụng các hệ thống kiểm soát truy cập tiên tiến, bao gồm thẻ từ, máy quét sinh trắc học hoặc mã số nhận dạng cá nhân (PIN), để xác thực danh tính của những người muốn vào, đặc biệt là vào các khu vực nhạy cảm.

Biển báo rõ ràng và dễ nhìn phải được đặt tại tất cả các khu vực hạn chế, ghi rõ rằng việc tiếp cận chỉ được phép đối với nhân viên được ủy quyền và nêu rõ các yêu cầu để vào khu vực. Hệ thống chiếu sáng đủ sáng phải được duy trì xung quanh biên giới và tại tất cả các lối vào để tăng cường khả năng quan sát và ngăn chặn việc tiếp cận trái phép. Nhân viên an ninh có thể được bố trí tại các vị trí quan trọng để giám sát việc vào khu vực, hỗ trợ các thủ tục kiểm soát tiếp cận và phản ứng với các sự cố.

Các cuộc kiểm tra định kỳ và bảo dưỡng phải được thực hiện trên tất cả các thiết bị an ninh vật lý để đảm bảo hoạt động tối ưu. Mọi sự cố hoặc hỏng hóc phải được báo cáo ngay lập tức cho đội ngũ quản lý cơ sở vật chất và được sửa chữa kịp thời để duy trì tính toàn vẹn của các biện pháp an ninh.

4.2 Quy trình kiểm soát truy cập

Quyền truy cập vào cơ sở và các khu vực nhạy cảm của cơ sở được cấp dựa trên nguyên tắc quyền truy cập tối thiểu. Mỗi cá nhân được cấp mức truy cập tối thiểu cần thiết để thực hiện các nhiệm vụ công việc cụ thể của mình. Trước khi cấp quyền truy cập, phải nộp đơn yêu cầu chính thức và được phê duyệt bởi người giám sát của cá nhân đó và bộ phận an ninh. Quy trình phê duyệt này đảm bảo rằng chỉ những người có nhu cầu chính đáng mới được truy cập vào các khu vực nhạy cảm.

Việc chia sẻ thông tin đăng nhập, chẳng hạn như thẻ từ hoặc mã PIN, là hoàn toàn bị cấm. Mỗi cá nhân phải chịu trách nhiệm về tính bảo mật của thông tin đăng nhập của mình và phải báo cáo ngay lập tức cho bộ phận an ninh trong trường hợp thông tin đăng nhập bị mất hoặc bị đánh cắp. Việc báo cáo kịp thời cho phép vô hiệu hóa thông tin đăng nhập bị xâm phạm để ngăn chặn truy cập trái phép.

Phòng An ninh sẽ tiến hành kiểm tra định kỳ các nhật ký truy cập và mức độ ủy quyền. Các cuộc kiểm tra này giúp phát hiện các nỗ lực truy cập trái phép, đảm bảo quyền truy cập vẫn phù hợp với trách nhiệm công việc hiện tại và phát hiện các bất thường có thể cho thấy một vụ vi phạm an ninh.

4.3 Quản lý khách tham quan

Tất cả khách tham quan đến cơ sở đều phải tuân thủ các quy trình quản lý khách tham quan được thiết kế để bảo vệ an ninh của cơ sở và những người làm việc tại đây. Khi đến, khách tham quan phải đăng ký tại quầy lễ tân, cung cấp giấy tờ tùy thân do cơ quan nhà nước cấp để xác minh. Họ sẽ được cấp thẻ nhận dạng tạm thời, phải đeo thẻ này một cách rõ ràng trong suốt thời gian ở trong khuôn viên cơ sở.

Khách tham quan phải được nhân viên có thẩm quyền hướng dẫn trong suốt thời gian tham quan. Điều này đảm bảo rằng khách tham quan không vô tình tiếp cận các khu vực bị hạn chế hoặc nhạy cảm và các hoạt động của họ trong cơ sở được giám sát. Khách tham quan thông thường chỉ được phép vào các khu vực không nhạy cảm trừ khi họ đã nhận được sự cho phép rõ ràng từ ban quản lý để tiếp cận các khu vực nhạy cảm cụ thể vì mục đích hợp pháp.

Khi kết thúc chuyến thăm, khách tham quan phải trả lại thẻ nhận dạng tạm thời và làm thủ tục ra về tại quầy lễ tân. Nhân viên lễ tân sẽ kiểm tra để đảm bảo tất cả khách tham quan đã ra về và không có thẻ nhận dạng tạm thời nào bị thất lạc.

4.4 Trách nhiệm của nhân viên

Nhân viên đóng vai trò quan trọng trong việc duy trì an ninh vật lý của cơ sở. Họ phải hoàn thành khóa đào tạo nhận thức về an ninh khi được tuyển dụng và tham gia các khóa đào tạo nâng cao hàng năm hoặc khi cần thiết. Khóa đào tạo này bao gồm các nội dung về tầm quan trọng của an ninh vật lý, quy trình truy cập vào các khu vực nhạy cảm và các quy định về báo cáo các sự cố an ninh.

Các nhân viên có trách nhiệm bảo vệ các tài liệu bí mật, bao gồm cả tài liệu vật lý và điện tử. Điều này bao gồm việc khóa tủ đựng tài liệu, bảo vệ tài liệu khi không sử dụng và đảm bảo rằng các trạm làm việc được khóa khi không có người trông coi. Các nhân viên phải luôn cảnh giác và báo cáo ngay lập tức cho cấp trên hoặc bộ phận an ninh về bất kỳ hoạt động đáng ngờ, cá nhân không được phép hoặc vi phạm an ninh nào.

Trong trường hợp chấm dứt hợp đồng lao động hoặc thay đổi trách nhiệm công việc, tất cả quyền truy cập phải được thu hồi hoặc điều chỉnh ngay lập tức. Phòng Nhân sự, phối hợp với Phòng An ninh, có trách nhiệm đảm bảo rằng nhân viên nghỉ việc trả lại toàn bộ tài sản của công ty, bao gồm các thông tin đăng nhập, và quyền truy cập của họ vào cơ sở vật chất và hệ thống thông tin được chấm dứt.

4.5 Giám sát và theo dõi

Cơ sở sẽ áp dụng hệ thống giám sát và theo dõi toàn diện để nâng cao an ninh. Hệ thống camera giám sát sẽ được lắp đặt tại tất cả các điểm ra vào, lối ra và các khu vực nhạy cảm. Các camera này sẽ hoạt động tuân thủ đầy đủ các quy định và luật pháp về bảo vệ dữ liệu cá nhân, đảm bảo việc giám sát được thực hiện một cách đạo đức và hợp pháp.

Hình ảnh giám sát sẽ được lưu trữ an toàn trong khoảng thời gian được quy định bởi các yêu cầu pháp lý hoặc chính sách của công ty, thường là tối thiểu 90 ngày. Quyền truy cập vào hình ảnh giám sát chỉ được cấp cho nhân viên được ủy quyền và chỉ được sử dụng cho mục đích an ninh. Bộ phận an ninh có trách nhiệm thường xuyên xem xét hình ảnh để phát hiện và điều tra bất kỳ hoạt động đáng ngờ hoặc sự cố an ninh nào.

Hệ thống báo động sẽ được lắp đặt để phát hiện các nỗ lực truy cập trái phép, vi phạm hoặc các sự cố an ninh khác. Các hệ thống này sẽ được kết nối với trạm giám sát trung tâm có nhân viên an ninh trực, có thể phản ứng kịp thời với bất kỳ cảnh báo nào.

4.6 Phản ứng khẩn cấp và sự cố

Tổ chức cam kết đảm bảo an toàn cho toàn bộ nhân viên trong các tình huống khẩn cấp. Tất cả các lối thoát hiểm khẩn cấp phải được đánh dấu rõ ràng bằng biển báo có đèn chiếu sáng và luôn được giữ thông thoáng, không có vật cản để đảm bảo việc sơ tán an toàn và nhanh chóng. Kế hoạch sơ tán phải được lập cho từng cơ sở, chi tiết các quy trình xử lý cho các tình huống khẩn cấp khác nhau như hỏa hoạn, thiên tai hoặc các mối đe dọa an ninh.

Các kế hoạch sơ tán này sẽ được thông báo đến tất cả nhân viên thông qua các buổi đào tạo và được treo ở những vị trí dễ thấy trong toàn bộ cơ sở. Các buổi diễn tập định kỳ sẽ được tổ chức để nhân viên làm quen với các tuyến đường và quy trình sơ tán. Phản hồi từ các buổi diễn tập này sẽ được sử dụng để nâng cao hiệu quả của các kế hoạch ứng phó khẩn cấp.

Trong trường hợp xảy ra vi phạm an ninh hoặc tình huống khẩn cấp, Kế hoạch Ứng phó Sự cố phải được tuân thủ. Kế hoạch này quy định rõ vai trò và trách nhiệm của nhân viên, các quy trình liên lạc, cũng như các bước để giảm thiểu sự cố và khôi phục hoạt động bình thường. Các bộ dụng cụ sơ cứu và thông tin liên lạc khẩn cấp sẽ được cung cấp đầy đủ tại tất cả các khu vực trong cơ sở để hỗ trợ trong trường hợp xảy ra chấn thương hoặc tình huống y tế khẩn cấp.

4.7 Tuân thủ và Thi hành

Việc tuân thủ chính sách này là bắt buộc đối với tất cả nhân viên truy cập vào cơ sở. Việc không tuân thủ có thể dẫn đến các biện pháp kỷ luật, bao gồm cảnh cáo bằng lời nói hoặc bằng văn bản, đình chỉ công tác, chấm dứt hợp đồng lao động hoặc khởi kiện, tùy thuộc vào mức độ nghiêm trọng của vi phạm. Tổ chức cam kết thực thi chính sách này một cách công bằng và nhất quán.

Công ty phải đảm bảo rằng tất cả các biện pháp an ninh vật lý tuân thủ các quy định liên bang, tiểu bang và địa phương hiện hành, bao gồm Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA) và các hướng dẫn do Cục Dịch vụ Y tế California (DHCS) ban hành.

Các nhân viên được khuyến khích báo cáo bất kỳ lo ngại hoặc đề xuất nào liên quan đến an ninh vật lý cho người quản lý trực tiếp hoặc bộ phận an ninh. Phản hồi này rất quan trọng cho việc cải thiện liên tục các biện pháp an ninh.

5. Đánh giá chính sách

Chính sách này sẽ được xem xét toàn diện ít nhất hàng năm hoặc mỗi khi có những thay đổi đáng kể trong môi trường pháp lý hoặc các thực hành tổ chức. Quá trình xem xét sẽ bao gồm các bên liên quan chính, bao gồm đại diện từ các bộ phận an ninh, nhân sự, pháp lý và vận hành. Mục tiêu là đảm bảo rằng chính sách vẫn hiệu quả, phù hợp và tuân thủ tất cả các luật và quy định hiện hành.

Bất kỳ sự điều chỉnh nào đối với chính sách sẽ được thông báo đến toàn bộ nhân viên thông qua các kênh chính thức, và sẽ cung cấp thêm các khóa đào tạo khi cần thiết để đảm bảo sự hiểu biết và tuân thủ.

6. Tham khảo

• Quy định của Sở Dịch vụ Y tế California (DHCS): Cung cấp các hướng dẫn và yêu cầu đối với dịch vụ y tế tại California, mà phải tuân thủ trong quá trình triển khai Chương trình CalAIM ECM & CS.
• Luật Bảo hiểm Y tế Di động và Trách nhiệm (HIPAA): Luật liên bang quy định các tiêu chuẩn về bảo vệ thông tin sức khỏe nhạy cảm của bệnh nhân.

1. Mục đích

Mục tiêu chính của chính sách này là thiết lập các hướng dẫn và quy trình toàn diện nhằm bảo vệ quyền truy cập điện tử vào thông tin bệnh nhân nhạy cảm trong Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của California Advancing and Innovating Medi-Cal (CalAIM). Bằng việc triển khai chính sách này, chúng tôi đảm bảo tuân thủ tất cả các luật liên bang và tiểu bang có liên quan, bao gồm Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA), từ đó thúc đẩy tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin y tế điện tử.

2. Phạm vi

Chính sách này áp dụng cho tất cả các cá nhân tham gia vào Chương trình CalAIM ECM & CS, bao gồm nhân viên, nhà thầu, tình nguyện viên và đối tác có bất kỳ hình thức truy cập nào vào thông tin bệnh nhân điện tử và các hệ thống liên quan. Chính sách này bao gồm tất cả thông tin sức khỏe được bảo vệ điện tử (ePHI) được tạo ra, lưu trữ, truyền tải hoặc nhận qua hình thức điện tử trong phạm vi của chương trình.

3. Định nghĩa

Đối với mục đích của chính sách này:

• Thông tin y tế được bảo vệ điện tử (ePHI): Điều này đề cập đến bất kỳ thông tin y tế được bảo vệ nào được xử lý dưới dạng điện tử, bao gồm việc tạo ra, lưu trữ, truyền tải hoặc nhận thông tin đó.
• Người dùng: Bất kỳ cá nhân nào được ủy quyền truy cập thông tin y tế cá nhân điện tử (ePHI) trong các hệ thống liên quan đến Chương trình CalAIM ECM & CS.
• Xác thực: Quy trình được sử dụng để xác minh danh tính của người dùng hoặc hệ thống, đảm bảo rằng quyền truy cập chỉ được cấp cho những cá nhân được ủy quyền.

4. Tuyên bố chính sách

4.1 Tuân thủ pháp luật và quy định

Tất cả các truy cập điện tử vào thông tin bệnh nhân phải được thực hiện tuân thủ nghiêm ngặt các quy định của pháp luật liên bang và tiểu bang, bao gồm nhưng không giới hạn ở:

• Luật Bảo mật và An ninh Thông tin Y tế (HIPAA) quy định các tiêu chuẩn quốc gia về bảo vệ thông tin y tế.
• Luật Bảo mật Thông tin Y tế của California (CMIA), quy định về việc bảo mật và tiết lộ thông tin y tế trong phạm vi bang.
• Bất kỳ quy định liên bang và tiểu bang nào khác có liên quan đến việc bảo vệ thông tin y tế.

4.2 Kiểm soát truy cập

Quyền truy cập vào thông tin y tế cá nhân điện tử (ePHI) phải được kiểm soát và quản lý cẩn thận để ngăn chặn truy cập trái phép:

• Quyền truy cập dựa trên vai trò: Quyền truy cập vào thông tin y tế cá nhân điện tử (ePHI) sẽ được cấp dựa trên vai trò và trách nhiệm cụ thể của người dùng trong Chương trình CalAIM ECM & CS. Điều này đảm bảo rằng các cá nhân chỉ có quyền truy cập vào thông tin cần thiết cho các chức năng công việc của họ.
• Nguyên tắc Quyền hạn Tối thiểu: Người dùng sẽ được cấp quyền truy cập tối thiểu—hoặc quyền hạn—cần thiết để thực hiện công việc của mình một cách hiệu quả. Điều này giúp giảm thiểu rủi ro truy cập trái phép hoặc rò rỉ dữ liệu.
• Quy trình cấp phép: Tất cả các quyền truy cập phải được cấp phép chính thức bởi người giám sát hoặc quản trị viên chương trình có thẩm quyền. Quy trình này bao gồm một quy trình phê duyệt có văn bản để đảm bảo trách nhiệm giải trình.

4.3 Các biện pháp xác thực

Để bảo vệ khỏi truy cập trái phép, các biện pháp xác thực mạnh mẽ sẽ được triển khai:

• Mã định danh người dùng duy nhất: Mỗi người dùng sẽ được cấp một mã ID người dùng duy nhất để đảm bảo rằng tất cả các hoạt động có thể được theo dõi và ghi nhận chính xác.
• Chính sách mật khẩu mạnh: Người dùng phải tạo mật khẩu mạnh đáp ứng các yêu cầu về độ phức tạp, chẳng hạn như độ dài tối thiểu và bao gồm sự kết hợp của chữ cái, số và ký tự đặc biệt. Mật khẩu phải được thay đổi định kỳ để duy trì tính bảo mật.
• Xác thực đa yếu tố (MFA): MFA (Xác thực hai yếu tố) sẽ được áp dụng, đặc biệt cho truy cập từ xa và các hệ thống được coi là có rủi ro cao, nhằm bổ sung thêm một lớp bảo mật ngoài việc chỉ sử dụng mật khẩu.

4.4 Mã hóa dữ liệu

Mã hóa là yếu tố quan trọng để bảo vệ thông tin y tế cá nhân (ePHI) khỏi truy cập trái phép trong quá trình truyền tải và lưu trữ:

• Mã hóa trong quá trình truyền tải: Tất cả thông tin y tế điện tử (ePHI) được truyền qua mạng phải được mã hóa bằng các giao thức mã hóa tiêu chuẩn ngành như TLS hoặc SSL. Điều này đảm bảo rằng dữ liệu bị chặn trong quá trình truyền tải không thể được đọc bởi các bên không được ủy quyền.
• Mã hóa khi lưu trữ: Thông tin y tế cá nhân (ePHI) được lưu trữ trên máy chủ, cơ sở dữ liệu, laptop và các thiết bị khác cũng phải được mã hóa để bảo vệ dữ liệu trong trường hợp bị đánh cắp vật lý hoặc truy cập trái phép.

4.5 An ninh vật lý

Quyền truy cập vật lý vào phần cứng và cơ sở vật chất lưu trữ thông tin y tế điện tử (ePHI) phải được bảo mật:

• Cơ sở an ninh: Các khu vực như phòng máy chủ phải có hệ thống kiểm soát truy cập, sử dụng khóa, thẻ truy cập hoặc hệ thống sinh trắc học để ngăn chặn việc truy cập trái phép.
• Bảo mật thiết bị: Các thiết bị di động như laptop và tablet nên được khóa bằng khóa hoặc để ở những nơi an toàn khi không sử dụng. Người dùng phải đảm bảo rằng các thiết bị này không được để lại mà không có người trông coi ở những khu vực không an toàn.

4.6 Kiểm soát giám sát và kiểm toán

Theo dõi liên tục và kiểm toán là yếu tố quan trọng để phát hiện và xử lý các trường hợp truy cập trái phép:

• Ghi nhật ký hoạt động: Hệ thống phải ghi lại nhật ký chi tiết về tất cả các lần truy cập vào thông tin y tế cá nhân điện tử (ePHI), bao gồm ID người dùng, ngày, giờ và tính chất của các hoạt động được thực hiện. Điều này tạo ra một bản ghi kiểm tra để đảm bảo trách nhiệm.
• Kiểm toán định kỳ: Nhân viên được chỉ định sẽ thường xuyên kiểm tra nhật ký hệ thống và nhật ký truy cập để phát hiện bất kỳ truy cập trái phép hoặc hoạt động bất thường nào có thể cho thấy một mối đe dọa an ninh.
• Hệ thống phát hiện xâm nhập: Việc triển khai hệ thống phát hiện xâm nhập (IDS) sẽ giúp theo dõi lưu lượng mạng để phát hiện các hoạt động đáng ngờ và cung cấp cảnh báo về các lỗ hổng bảo mật tiềm ẩn.

4.7 Đào tạo và Nâng cao nhận thức

Giáo dục người dùng là yếu tố quan trọng để duy trì các tiêu chuẩn bảo mật:

• Các chương trình đào tạo bắt buộc: Tất cả người dùng phải hoàn thành khóa đào tạo toàn diện về quyền riêng tư và an ninh trước khi được cấp quyền truy cập vào thông tin y tế cá nhân điện tử (ePHI). Khóa đào tạo này sẽ bao gồm các nội dung như nhận diện các nỗ lực lừa đảo, cách xử lý thông tin nhạy cảm đúng cách và quy trình báo cáo các sự cố an ninh.
• Các khóa đào tạo nâng cao hàng năm: Người dùng bắt buộc phải tham gia các buổi đào tạo hàng năm để cập nhật các chính sách và quy trình bảo mật mới nhất.
• Giao tiếp thường xuyên: Tổ chức sẽ cung cấp các bản cập nhật liên tục, bản tin hoặc thông báo nhắc nhở để đảm bảo các biện pháp bảo mật luôn được ưu tiên hàng đầu trong các hoạt động hàng ngày của người dùng.

4.8 Phản ứng sự cố

Phản ứng kịp thời đối với các sự cố an ninh là yếu tố quan trọng để giảm thiểu rủi ro:

• Báo cáo ngay lập tức: Người dùng phải báo cáo ngay lập tức bất kỳ sự cố an ninh nghi ngờ hoặc thực tế nào, chẳng hạn như thiết bị bị mất hoặc truy cập trái phép, cho nhân viên an ninh được chỉ định hoặc bộ phận CNTT.
• Kế hoạch ứng phó sự cố: Một kế hoạch ứng phó sự cố đã được thiết lập sẽ hướng dẫn các hành động của tổ chức trong việc xử lý và giảm thiểu các vi phạm an ninh. Kế hoạch này bao gồm các bước để kiểm soát, loại bỏ, khôi phục và phân tích sau sự cố.
• Yêu cầu thông báo: Trong trường hợp xảy ra vi phạm liên quan đến thông tin y tế cá nhân điện tử (ePHI), tổ chức sẽ thông báo cho các cá nhân bị ảnh hưởng và các cơ quan có thẩm quyền liên quan theo đúng các quy định pháp luật và quy định hiện hành.

4.9 Quyền truy cập của bên thứ ba

Quản lý quyền truy cập của bên thứ ba là yếu tố quan trọng để duy trì an ninh:

• Thỏa thuận Đối tác Kinh doanh (BAAs): Tất cả các bên thứ ba cần truy cập vào thông tin y tế cá nhân điện tử (ePHI) phải ký kết một thỏa thuận chính thức nêu rõ trách nhiệm của họ trong việc bảo vệ thông tin này.
• Quy trình thẩm định: Trước khi cấp quyền truy cập, tổ chức sẽ tiến hành đánh giá kỹ lưỡng các biện pháp bảo mật của bên thứ ba để đảm bảo chúng đáp ứng các tiêu chuẩn yêu cầu.
• Theo dõi liên tục: Tổ chức sẽ theo dõi việc tuân thủ các yêu cầu bảo mật của các bên thứ ba một cách liên tục.

4.10 Sao lưu và khôi phục dữ liệu

Đảm bảo tính sẵn có của thông tin y tế cá nhân điện tử (ePHI) là yếu tố quan trọng để duy trì sự liên tục trong chăm sóc y tế:

• Sao lưu dữ liệu định kỳ: Tổ chức sẽ thực hiện sao lưu định kỳ dữ liệu y tế cá nhân (ePHI) vào các vị trí an toàn để ngăn ngừa mất mát dữ liệu do sự cố hệ thống, thảm họa hoặc các sự kiện bất ngờ khác.
• Lưu trữ an toàn các bản sao lưu: Dữ liệu sao lưu phải được lưu trữ an toàn, với mã hóa và các biện pháp kiểm soát truy cập tương đương với các hệ thống chính.
• Kiểm tra quy trình khôi phục: Việc kiểm tra định kỳ các quy trình sao lưu và khôi phục dữ liệu sẽ được thực hiện để đảm bảo rằng dữ liệu có thể được khôi phục một cách hiệu quả và chính xác trong trường hợp mất dữ liệu.

4.11 Xử lý thông tin y tế cá nhân điện tử (ePHI)

Việc xử lý đúng cách thông tin y tế cá nhân (ePHI) là cần thiết để ngăn chặn truy cập trái phép sau khi dữ liệu không còn cần thiết:

• Các phương pháp xóa an toàn: Các phương tiện điện tử chứa thông tin y tế cá nhân điện tử (ePHI) phải được tiêu hủy bằng các phương pháp đảm bảo dữ liệu không thể được khôi phục, chẳng hạn như xóa từ tính, cắt nhỏ hoặc sử dụng các công cụ phần mềm chuyên dụng để xóa an toàn.
• Hồ sơ về việc xử lý: Tất cả các quy trình xử lý chất thải phải được ghi chép đầy đủ, bao gồm ngày tháng, phương pháp và nhân viên tham gia, để đảm bảo tuân thủ và trách nhiệm.

5. Trách nhiệm

5.1 Quản lý chương trình

Quản lý chương trình chịu trách nhiệm đảm bảo việc triển khai và thực thi hiệu quả chính sách này. Điều này bao gồm việc phân bổ các nguồn lực cần thiết cho các biện pháp an ninh và chương trình đào tạo, cũng như thúc đẩy văn hóa tuân thủ và nâng cao nhận thức về an ninh trong toàn tổ chức.

5.2 Nhân viên an ninh

Cán bộ an ninh được chỉ định chịu trách nhiệm giám sát việc tuân thủ tất cả các chính sách và quy trình an ninh. Nhiệm vụ bao gồm thực hiện các đánh giá rủi ro và kiểm toán định kỳ để xác định các lỗ hổng tiềm ẩn, phối hợp các nỗ lực ứng phó sự cố trong trường hợp xảy ra vi phạm an ninh, và cập nhật thông tin về các thay đổi trong luật pháp và công nghệ có thể ảnh hưởng đến các thực hành an ninh.

5.3 Người dùng

Tất cả người dùng có quyền truy cập vào thông tin y tế cá nhân điện tử (ePHI) phải tuân thủ nghiêm ngặt các chính sách và quy trình bảo mật được nêu trong tài liệu này. Người dùng cũng phải luôn cảnh giác và báo cáo ngay lập tức bất kỳ sự cố bảo mật hoặc lỗ hổng tiềm ẩn nào cho các cơ quan có thẩm quyền trong tổ chức.

6. Thực thi

Việc không tuân thủ chính sách này là một vấn đề nghiêm trọng có thể dẫn đến các biện pháp kỷ luật, bao gồm cả việc chấm dứt hợp đồng lao động hoặc thỏa thuận hợp đồng. Ngoài ra, cá nhân có thể phải đối mặt với các hình phạt pháp lý theo luật liên bang hoặc luật của bang đối với các vi phạm liên quan đến việc xử lý sai trái thông tin y tế được bảo vệ.

7. Kiểm tra và Sửa đổi

Chính sách này sẽ được xem xét chính thức hàng năm hoặc mỗi khi có những thay đổi đáng kể trong các quy định liên quan hoặc công nghệ. Quá trình xem xét sẽ bao gồm đánh giá hiệu quả của các biện pháp bảo mật hiện tại và thực hiện các cập nhật cần thiết để đối phó với các mối đe dọa mới hoặc yêu cầu tuân thủ.

8. Tham khảo

• Quy tắc Bảo mật HIPAA: 45 CFR Phần 160 và các Phụ lục A và E của Phần 164, quy định các tiêu chuẩn quốc gia về bảo vệ thông tin sức khỏe có thể xác định cá nhân.
• Quy tắc Bảo mật HIPAA: 45 CFR Phần 160 và các Phụ lục A và C của Phần 164, quy định các tiêu chuẩn về an ninh của thông tin y tế được bảo vệ dưới dạng điện tử.
• Luật Bảo mật Thông tin Y tế của California (CMIA): Luật của bang quy định về tính bảo mật và việc tiết lộ thông tin y tế.
• Hướng dẫn của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST): Hướng dẫn của Chính phủ cung cấp khung khổ để nâng cao an ninh mạng cho cơ sở hạ tầng quan trọng.

1. Mục đích

Mục đích của chính sách này là thiết lập các quy trình và hướng dẫn toàn diện để đảm bảo an ninh cho các biện pháp kiểm soát phương tiện truyền thông và thiết bị trong chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của California Advancing and Innovating Medi-Cal (CalAIM). Chính sách này nhằm bảo vệ thông tin bệnh nhân nhạy cảm, duy trì tuân thủ các luật và quy định liên quan, đồng thời ngăn chặn mọi truy cập, tiết lộ, sửa đổi hoặc phá hủy dữ liệu trái phép. Bằng cách áp dụng các hướng dẫn này, chúng tôi nỗ lực duy trì các tiêu chuẩn cao nhất về an ninh và tính toàn vẹn của dữ liệu, từ đó xây dựng niềm tin giữa bệnh nhân, nhân viên và các bên liên quan tham gia vào chương trình.

2. Phạm vi

Chính sách này áp dụng cho tất cả các cá nhân liên quan đến chương trình CalAIM ECM & CS, bao gồm nhưng không giới hạn ở nhân viên, nhà thầu, tư vấn viên, nhân viên tạm thời và bất kỳ nhân viên nào khác xử lý hoặc có quyền truy cập vào các phương tiện và thiết bị điện tử hoặc vật lý chứa thông tin nhạy cảm. Chính sách này bao gồm tất cả các hoạt động liên quan đến việc sử dụng, lưu trữ, vận chuyển và tiêu hủy các phương tiện và thiết bị có thể chứa Thông tin Y tế Được Bảo vệ (PHI), Thông tin Nhận dạng Cá nhân (PII) hoặc các dữ liệu nhạy cảm khác liên quan đến chương trình.

3. Định nghĩa

• Phương tiện truyền thông: Thuật ngữ này đề cập đến bất kỳ thiết bị lưu trữ vật lý hoặc điện tử nào chứa dữ liệu. Điều này bao gồm ổ cứng, ổ USB, đĩa CD, đĩa DVD, băng từ và tài liệu giấy. Thiết bị lưu trữ có thể là loại di động hoặc cố định và được sử dụng để lưu trữ, truyền tải hoặc lưu trữ lâu dài thông tin.
• Thiết bị: Gồm các thiết bị điện tử như máy tính để bàn, laptop, máy tính bảng, điện thoại thông minh và bất kỳ thiết bị phần cứng nào khác được sử dụng để truy cập, xử lý hoặc lưu trữ dữ liệu chương trình. Các thiết bị có thể thuộc sở hữu của tổ chức hoặc được phép sử dụng theo chính sách Mang Thiết Bị Riêng (BYOD).
• Thông tin nhạy cảm: Bất kỳ dữ liệu nào được bảo vệ bởi các luật và quy định về quyền riêng tư. Điều này bao gồm, nhưng không giới hạn ở, Thông tin Y tế Được Bảo vệ (PHI), liên quan đến tình trạng sức khỏe hoặc dịch vụ y tế của một cá nhân, và Thông tin Nhận Dạng Cá Nhân (PII), có thể được sử dụng để xác định một cá nhân, chẳng hạn như số an sinh xã hội, địa chỉ và thông tin tài chính.

4. Tuyên bố chính sách

Để đảm bảo an ninh thông tin nhạy cảm trong chương trình CalAIM ECM & CS, các nguyên tắc sau đây được thiết lập:

• Bảo mật của phương tiện truyền thông và thiết bị: Tất cả các phương tiện truyền thông và thiết bị chứa thông tin nhạy cảm phải được bảo vệ một cách thích hợp để ngăn chặn truy cập trái phép. Điều này bao gồm việc triển khai cả các biện pháp bảo vệ vật lý và kỹ thuật.
• Mã hóa: Tất cả các phương tiện lưu trữ điện tử và thiết bị chứa thông tin nhạy cảm phải sử dụng các phương pháp mã hóa được phê duyệt. Mã hóa đóng vai trò là hàng rào bảo vệ quan trọng trong việc bảo vệ tính toàn vẹn và tính bảo mật của dữ liệu.
• Hạn chế truy cập: Quyền truy cập vào các phương tiện truyền thông và thiết bị phải được giới hạn nghiêm ngặt cho nhân viên được ủy quyền. Các mức độ ủy quyền phải được phân bổ dựa trên nguyên tắc "quyền hạn tối thiểu", đảm bảo rằng mỗi cá nhân chỉ có quyền truy cập vào thông tin cần thiết cho vai trò của họ.
• Việc xử lý đúng cách: Các phương tiện truyền thông và thiết bị không còn được sử dụng phải được xử lý theo các quy trình đúng đắn để ngăn chặn bất kỳ khả năng khôi phục dữ liệu hoặc truy cập trái phép nào. Điều này bao gồm các phương pháp xóa dữ liệu an toàn và phá hủy vật lý.
• Kiểm toán định kỳ: Các cuộc kiểm toán và đánh giá định kỳ sẽ được thực hiện để đảm bảo tuân thủ liên tục chính sách này. Các đánh giá này sẽ giúp xác định các điểm yếu tiềm ẩn và các lĩnh vực cần cải thiện.

5. Quy trình

5.1. Danh mục phương tiện và thiết bị

Một danh sách chính xác và cập nhật về tất cả các phương tiện và thiết bị được sử dụng trong chương trình phải được duy trì. Danh sách này nên bao gồm các chi tiết như loại thiết bị, số seri, người dùng được phân công và phân loại dữ liệu được lưu trữ. Việc dán nhãn đúng cách cho các phương tiện và thiết bị là điều cần thiết để chỉ ra mức độ nhạy cảm của thông tin mà chúng chứa, điều này giúp thực thi các quy trình xử lý phù hợp.

5.2. Kiểm soát truy cập

Các cơ chế xác thực mạnh mẽ phải được triển khai để hạn chế quyền truy cập vào các thiết bị và thông tin nhạy cảm mà chúng chứa đựng. Điều này bao gồm việc áp dụng chính sách mật khẩu mạnh, quét sinh trắc học hoặc các phương pháp xác thực đa yếu tố. Quyền truy cập nên được cấp dựa trên trách nhiệm công việc và được xem xét định kỳ để điều chỉnh theo bất kỳ thay đổi nào về vai trò hoặc tình trạng việc làm. Các nỗ lực truy cập trái phép phải được ghi lại và điều tra ngay lập tức.

5.3. Mã hóa

Các công nghệ mã hóa được phê duyệt phải được áp dụng cho tất cả dữ liệu nhạy cảm được lưu trữ trên các phương tiện và thiết bị điện tử. Các khóa mã hóa phải được quản lý an toàn, với quyền truy cập bị hạn chế để ngăn chặn việc giải mã dữ liệu trái phép. Các quy trình phải được thiết lập cho việc tạo, phân phối, lưu trữ, xoay vòng và hủy bỏ khóa để duy trì tính toàn vẹn của quá trình mã hóa.

5.4. An ninh vật lý

Các biện pháp bảo vệ vật lý là yếu tố quan trọng trong việc ngăn chặn truy cập trái phép vào các phương tiện lưu trữ và thiết bị. Tất cả các phương tiện lưu trữ vật lý nên được lưu trữ trong tủ khóa hoặc phòng an toàn có các biện pháp kiểm soát truy cập như thẻ từ hoặc máy quét sinh trắc học. Thiết bị không bao giờ được để lại mà không có người giám sát trong các khu vực không an toàn. Khách truy cập nên được hướng dẫn trong các khu vực có thông tin nhạy cảm, và cần duy trì nhật ký truy cập của khách.

5.5. Vận chuyển phương tiện truyền thông và thiết bị

Khi vận chuyển các phương tiện truyền thông hoặc thiết bị chứa thông tin nhạy cảm, phải sử dụng các phương pháp bảo mật để bảo vệ chúng khỏi mất mát hoặc trộm cắp. Các phương tiện truyền thông vật lý phải được đặt trong các hộp khóa, và các giao dịch dữ liệu điện tử phải được mã hóa từ đầu đến cuối. Phải giữ một bản ghi chi tiết cho tất cả các phương tiện truyền thông và thiết bị được mang ra khỏi khu vực an toàn, ghi chép ngày, giờ, mục đích của việc mang ra và nhân viên tham gia vào quá trình vận chuyển.

5.6. Vận chuyển và tiêu hủy

Trước khi tiêu hủy, tất cả dữ liệu phải được xóa vĩnh viễn khỏi các phương tiện và thiết bị điện tử bằng các phương pháp làm sạch dữ liệu được phê duyệt như degaussing hoặc ghi đè. Đối với các phương tiện vật lý chứa thông tin nhạy cảm, các phương pháp như cắt nhỏ, đốt cháy hoặc nghiền nát phải được áp dụng để đảm bảo dữ liệu không thể được khôi phục. Các hồ sơ về tất cả các hoạt động tiêu hủy và phá hủy phải được lưu giữ cẩn thận, bao gồm chi tiết về các vật phẩm bị phá hủy, phương pháp được sử dụng và nhân viên tham gia vào quá trình.

5.7. Báo cáo sự cố

Mọi sự cố liên quan đến việc mất mát, trộm cắp hoặc truy cập trái phép vào phương tiện truyền thông hoặc thiết bị phải được báo cáo ngay lập tức cho nhân viên an ninh được chỉ định. Việc báo cáo kịp thời là điều cần thiết để triển khai kế hoạch ứng phó sự cố, bao gồm các bước để kiểm soát, loại bỏ, khôi phục và thông báo cho các bên liên quan nếu cần thiết. Nhân viên cần được đào tạo để nhận biết các sự cố an ninh tiềm ẩn và hiểu rõ tầm quan trọng của việc báo cáo kịp thời.

5.8. Đào tạo và Nâng cao nhận thức

Các buổi đào tạo định kỳ phải được tổ chức để hướng dẫn toàn bộ nhân viên về các biện pháp bảo mật thông tin và thiết bị. Nội dung đào tạo nên bao gồm các chủ đề như nhận diện các cuộc tấn công lừa đảo (phishing), cách xử lý thông tin nhạy cảm đúng cách, và các quy trình được nêu trong chính sách này. Khi công nghệ và các mối đe dọa bảo mật phát triển, tài liệu đào tạo phải được cập nhật để phản ánh các tiêu chuẩn tốt nhất mới nhất. Hiểu biết của nhân viên nên được đánh giá định kỳ thông qua các bài kiểm tra hoặc đánh giá.

6. Vai trò và Trách nhiệm

• Quản lý Chương trình: Quản lý Chương trình chịu trách nhiệm đảm bảo tuân thủ toàn diện chính sách này. Điều này bao gồm việc phân bổ các nguồn lực cần thiết cho việc triển khai chính sách, thúc đẩy văn hóa nhận thức về an ninh và giải quyết các vấn đề vi phạm chính sách.
• Nhân viên an ninh: Chuyên viên An ninh chịu trách nhiệm giám sát các biện pháp an ninh liên quan đến phương tiện truyền thông và thiết bị. Nhiệm vụ bao gồm thực hiện các cuộc kiểm tra định kỳ, quản lý phản ứng sự cố, cập nhật các quy trình an ninh và cung cấp hướng dẫn về các vấn đề an ninh cho nhân viên.
• Nhân viên và Cán bộ: Tất cả nhân viên phải tuân thủ nghiêm ngặt các hướng dẫn và quy trình được nêu trong chính sách này. Họ có trách nhiệm bảo vệ các phương tiện truyền thông và thiết bị được giao phó, báo cáo ngay lập tức các sự cố an ninh hoặc mối quan ngại, và tham gia các chương trình đào tạo bắt buộc.

7. Tuân thủ và Thi hành

Việc tuân thủ chính sách này là bắt buộc đối với tất cả nhân viên liên quan đến chương trình CalAIM ECM & CS. Việc không tuân thủ có thể dẫn đến các biện pháp kỷ luật, bao gồm từ việc đào tạo bổ sung và cảnh cáo đến việc chấm dứt hợp đồng lao động hoặc thỏa thuận hợp đồng. Trong trường hợp vi phạm liên quan đến vi phạm pháp luật hoặc quy định, có thể tiến hành các biện pháp pháp lý. Các cuộc kiểm tra tuân thủ định kỳ sẽ được thực hiện, và bất kỳ thiếu sót nào được phát hiện phải được khắc phục ngay lập tức.

8. Kiểm tra và Sửa đổi

Chính sách này sẽ được xem xét kỹ lưỡng ít nhất hàng năm hoặc mỗi khi có những thay đổi đáng kể về công nghệ, yêu cầu pháp lý hoặc cấu trúc tổ chức. Các điều chỉnh sẽ được thực hiện khi cần thiết để đảm bảo chính sách vẫn hiệu quả và phù hợp. Tất cả các cập nhật sẽ được thông báo cho nhân viên liên quan, và tài liệu đào tạo sẽ được điều chỉnh cho phù hợp. Phản hồi từ nhân viên được khuyến khích để nâng cao hiệu quả của chính sách.

1. Mục đích

Mục tiêu chính của chính sách này là thiết lập các yêu cầu toàn diện về các biện pháp bảo vệ vật lý nhằm bảo vệ các trạm làm việc trong Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của CalAIM. Các biện pháp bảo vệ này là cần thiết để ngăn chặn truy cập trái phép, mất cắp, hư hỏng hoặc mất mát thông tin nhạy cảm, bao gồm Thông tin Y tế Được Bảo vệ Điện tử (ePHI). Bằng cách triển khai các biện pháp này, chúng tôi nỗ lực duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của dữ liệu nhạy cảm, đảm bảo tuân thủ các quy định liên bang và tiểu bang có liên quan.

2. Phạm vi

Chính sách này áp dụng cho tất cả nhân viên, nhà thầu, tình nguyện viên và bất kỳ cá nhân nào có quyền truy cập vào các trạm làm việc trong cơ sở của Chương trình CalAIM ECM & CS. Chính sách này bao gồm tất cả các địa điểm vật lý nơi các trạm làm việc được sử dụng hoặc lưu trữ, bao gồm văn phòng, phòng họp và môi trường làm việc từ xa liên quan đến chương trình.

3. Định nghĩa

• Trạm làm việc: Bất kỳ thiết bị tính toán điện tử nào, chẳng hạn như máy tính để bàn, laptop, máy tính bảng hoặc các thiết bị tương tự, cùng với các phương tiện điện tử được lưu trữ trong môi trường xung quanh nó. Điều này bao gồm bất kỳ thiết bị nào thực hiện các chức năng như xử lý, lưu trữ hoặc truyền tải dữ liệu.
• Các biện pháp bảo vệ vật lý: Các biện pháp vật lý, chính sách và quy trình được triển khai để bảo vệ hệ thống thông tin điện tử, các tòa nhà và thiết bị liên quan khỏi các nguy cơ tự nhiên và môi trường, cũng như sự xâm nhập trái phép. Các biện pháp bảo vệ này được thiết kế để ngăn chặn việc truy cập vật lý vào thiết bị và cơ sở vật chất bởi các cá nhân không được ủy quyền.

4. Tuyên bố chính sách

4.1 Vị trí an toàn của các trạm làm việc

Tất cả các trạm làm việc phải được đặt trong khu vực an toàn có kiểm soát truy cập để ngăn chặn người không được ủy quyền xem hoặc truy cập vào chúng. Điều này có nghĩa là các trạm làm việc nên được đặt xa các khu vực công cộng và không nên dễ dàng nhìn thấy hoặc truy cập bởi người qua lại. Ví dụ, việc đặt các trạm làm việc gần quầy lễ tân, hành lang hoặc phòng họp không được khuyến khích trừ khi có các biện pháp an ninh phù hợp được áp dụng. Nếu các trạm làm việc phải được đặt trong các khu vực như vậy, cần áp dụng các biện pháp bảo vệ bổ sung như màn hình bảo mật, rào cản vật lý hoặc kiểm soát truy cập có giám sát để bảo vệ thông tin nhạy cảm hiển thị trên màn hình.

4.2 Kiểm soát truy cập

Việc truy cập vào các khu vực có máy trạm phải được giới hạn riêng cho nhân viên được ủy quyền. Điều này bao gồm việc triển khai các biện pháp kiểm soát truy cập vật lý như cửa khóa, thẻ truy cập hoặc hệ thống sinh trắc học để đảm bảo rằng chỉ những cá nhân có quyền truy cập hợp lệ mới có thể vào các khu vực này. Khách thăm hoặc bất kỳ cá nhân nào không được ủy quyền phải luôn có nhân viên được ủy quyền đi kèm khi ở trong các khu vực có máy trạm. Chính sách đi kèm này giúp ngăn chặn truy cập trái phép vào thông tin nhạy cảm và đảm bảo rằng khách thăm không vô tình vi phạm các quy trình bảo mật.

4.3 Các biện pháp an ninh vật lý

Để bảo vệ các trạm làm việc khỏi trộm cắp hoặc việc di dời trái phép, cần áp dụng các biện pháp an ninh vật lý. Điều này bao gồm việc sử dụng khóa vật lý, dây an ninh hoặc vỏ bảo vệ để cố định thiết bị khi không có người trông coi. Ví dụ, laptop nên được khóa vào bàn làm việc bằng dây an ninh, và máy tính để bàn nên được cố định để ngăn chặn việc di dời dễ dàng. Trong các khu vực chung hoặc không được bảo vệ, các biện pháp này đặc biệt quan trọng. Ngoài ra, các phòng máy chủ và khu vực chứa cơ sở hạ tầng quan trọng nên được trang bị các biện pháp an ninh nâng cao, như camera giám sát và hệ thống báo động, để ngăn chặn truy cập trái phép và cung cấp khả năng giám sát.

4.4 Bảo vệ màn hình

Để ngăn chặn việc xem trái phép thông tin nhạy cảm hiển thị trên màn hình, nên sử dụng các màn hình bảo mật hoặc bộ lọc. Các thiết bị này giới hạn góc nhìn của màn hình, khiến cho những người xung quanh khó có thể đọc được nội dung hiển thị trừ khi họ đứng trực tiếp trước màn hình. Hơn nữa, tất cả các trạm làm việc phải được cấu hình để tự động khóa sau một khoảng thời gian không hoạt động không quá năm phút. Cơ chế khóa tự động này đảm bảo rằng nếu nhân viên rời khỏi trạm làm việc của mình, nó không thể bị truy cập bởi những người không được ủy quyền. Nhân viên cũng được khuyến khích khóa màn hình thủ công khi rời khỏi trạm làm việc mà không có người trông coi, ngay cả trong thời gian ngắn.

4.5 Chính sách bàn làm việc gọn gàng

Chính sách bàn làm việc gọn gàng phải được thực thi để đảm bảo rằng tất cả tài liệu và vật liệu nhạy cảm được lưu trữ an toàn khi không sử dụng. Nhân viên phải thu dọn tất cả tài liệu nhạy cảm khỏi bàn làm việc vào cuối mỗi ngày làm việc và lưu trữ chúng trong ngăn kéo hoặc tủ khóa. Điều này bao gồm các ghi chú, bản in, thiết bị lưu trữ di động và bất kỳ vật liệu nào chứa thông tin bí mật. Bằng cách giữ cho bàn làm việc không có tài liệu nhạy cảm, chúng ta giảm thiểu rủi ro truy cập trái phép và duy trì môi trường làm việc chuyên nghiệp. Nhân viên cũng cần đảm bảo rằng bảng trắng và bảng thông báo không hiển thị thông tin nhạy cảm.

4.6 Kiểm soát môi trường

Các trạm làm việc phải được bảo vệ khỏi các rủi ro môi trường như rò rỉ nước, nhiệt độ quá cao, bụi bẩn và sốc điện. Điều này bao gồm việc đặt các thiết bị xa các khu vực dễ bị rò rỉ hoặc tràn đổ, chẳng hạn như dưới các đơn vị điều hòa không khí hoặc gần các cửa sổ có thể bị rò rỉ trong mưa. Nên sử dụng các thiết bị chống sốc điện và nguồn điện liên tục (UPS) để bảo vệ khỏi sốc điện và mất điện. Ngoài ra, nhân viên nên tránh ăn uống gần các trạm làm việc để phòng ngừa các sự cố tràn đổ có thể gây hư hỏng thiết bị hoặc dẫn đến mất dữ liệu.

4.7 Xử lý thiết bị

Tất cả các thiết bị điện tử phải trải qua quy trình xóa dữ liệu an toàn trước khi thanh lý hoặc tái sử dụng để đảm bảo thông tin nhạy cảm không bị rò rỉ một cách vô ý. Điều này bao gồm việc xóa hoặc phá hủy an toàn các phương tiện lưu trữ dữ liệu theo các tiêu chuẩn tốt nhất của ngành và yêu cầu pháp lý. Các thiết bị không nên được vứt bỏ vào thùng rác thông thường mà phải được thanh lý theo các quy trình tái chế thân thiện với môi trường và tuân thủ các quy định áp dụng, chẳng hạn như các hướng dẫn của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) về xóa dữ liệu trên phương tiện lưu trữ.

4.8 Báo cáo và Phản hồi

Trong trường hợp xảy ra trộm cắp, mất mát hoặc truy cập trái phép vào các trạm làm việc, việc báo cáo ngay lập tức các sự cố này cho bộ phận được chỉ định, chẳng hạn như Nhân viên An ninh hoặc Bộ phận Công nghệ Thông tin, là điều cần thiết. Việc báo cáo kịp thời cho phép thực hiện các biện pháp nhanh chóng để giảm thiểu rủi ro tiềm ẩn, bao gồm cả việc truy cập trái phép vào dữ liệu nhạy cảm. Kế hoạch ứng phó sự cố cần được thiết lập để xử lý các vi phạm an ninh liên quan đến trạm làm việc. Kế hoạch này cần nêu rõ các quy trình cụ thể để ứng phó với sự cố, bao gồm các bước cách ly, loại bỏ, khôi phục và thông báo. Các buổi diễn tập và đào tạo định kỳ nên được tổ chức để đảm bảo tất cả nhân viên đều quen thuộc với các quy trình ứng phó sự cố.

5. Trách nhiệm

5.1 Nhân viên và Người dùng được ủy quyền

Các nhân viên và người dùng được ủy quyền có trách nhiệm tuân thủ tất cả các chính sách và quy trình bảo vệ vật lý được nêu trong tài liệu này. Họ phải luôn cảnh giác trong việc bảo vệ các trạm làm việc và thông tin nhạy cảm khỏi truy cập trái phép. Điều này bao gồm việc tuân thủ các thực hành tốt nhất để bảo mật thiết bị, chẳng hạn như khóa màn hình khi không sử dụng và bảo vệ các thiết bị di động khi di chuyển. Ngoài ra, nhân viên phải báo cáo ngay lập tức các hoạt động đáng ngờ, sự cố an ninh hoặc các lỗ hổng tiềm ẩn cho các cơ quan có thẩm quyền để có thể can thiệp kịp thời.

5.2 Quản lý

Ban lãnh đạo có trách nhiệm đảm bảo rằng các đội ngũ của mình được thông tin đầy đủ về chính sách này và tuân thủ các yêu cầu của nó. Họ nên tổ chức các chương trình đào tạo và nâng cao nhận thức để giáo dục nhân viên về tầm quan trọng của an ninh vật lý và các biện pháp cụ thể mà họ cần thực hiện. Các nhà quản lý cũng nên dẫn dắt bằng gương mẫu bằng cách tuân thủ nghiêm ngặt chính sách này và thúc đẩy văn hóa an ninh trong các đội ngũ của mình. Họ có trách nhiệm giải quyết các vấn đề vi phạm và cung cấp các nguồn lực cần thiết để triển khai các biện pháp bảo vệ yêu cầu.

5.3 Nhân viên An ninh/Phòng Công nghệ Thông tin

Cán bộ An ninh và Phòng Công nghệ Thông tin có trách nhiệm giám sát việc triển khai các biện pháp bảo vệ vật lý trên toàn tổ chức. Họ chịu trách nhiệm xây dựng và duy trì các chính sách và quy trình liên quan đến an ninh vật lý, đồng thời đảm bảo rằng các chính sách này luôn cập nhật với các yêu cầu pháp lý mới nhất và các tiêu chuẩn tốt nhất của ngành. Các cuộc kiểm tra và đánh giá định kỳ nên được thực hiện để đánh giá mức độ tuân thủ chính sách và xác định các lĩnh vực cần cải thiện. Trong trường hợp xảy ra sự cố an ninh, Nhân viên An ninh và Phòng Công nghệ Thông tin phối hợp các nỗ lực ứng phó, bao gồm điều tra, giảm thiểu tác động và thông tin liên lạc với các bên liên quan.

6. Tuân thủ

Tuân thủ chính sách này là bắt buộc đối với tất cả nhân viên và nhân viên liên kết. Việc không tuân thủ có thể dẫn đến các biện pháp kỷ luật, bao gồm cả việc chấm dứt hợp đồng lao động hoặc thỏa thuận hợp đồng. Các biện pháp này là cần thiết để duy trì tính toàn vẹn của hệ thống an ninh của tổ chức và tuân thủ các nghĩa vụ pháp lý. Ngoài ra, cá nhân có thể phải đối mặt với các hình phạt pháp lý theo các luật liên bang và tiểu bang hiện hành, bao gồm các quy định của Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA) và Đạo luật Bảo mật Thông tin Y tế California (CMIA). Tổ chức cam kết thực thi chính sách này để bảo vệ thông tin nhạy cảm và duy trì niềm tin của những người mà chúng tôi phục vụ.

7. Tham khảo

Chính sách này được hướng dẫn bởi một số quy định và hướng dẫn quan trọng sau:

• Luật Bảo hiểm Y tế Di động và Trách nhiệm (HIPAA), 45 CFR Phần 164: Quy định các tiêu chuẩn quốc gia về an ninh thông tin y tế điện tử được bảo vệ.
• Luật Bảo mật Thông tin Y tế của California (CMIA): Quy định về việc bảo mật và công bố thông tin y tế tại California.
• Hướng dẫn Chương trình CalAIM ECM & CS: Cung cấp các hướng dẫn cụ thể và các thực hành tốt nhất cho Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng.

Các tài liệu tham khảo này đóng vai trò là khung nền tảng cho các biện pháp an ninh vật lý của chúng tôi và đảm bảo rằng các chính sách của chúng tôi tuân thủ các yêu cầu pháp lý và quy định.

8. Kiểm tra và Sửa đổi

Chính sách này sẽ được xem xét chính thức hàng năm hoặc khi cần thiết để phù hợp với các thay đổi trong quy định, tiến bộ công nghệ hoặc thực hành tổ chức. Quy trình xem xét bao gồm đánh giá hiệu quả của các biện pháp bảo vệ hiện tại, đánh giá mức độ tuân thủ và cập nhật chính sách để giải quyết các lỗ hổng được xác định hoặc các mối đe dọa mới nổi. Tất cả các sửa đổi phải được phê duyệt bởi cơ quan có thẩm quyền và thông báo cho tất cả nhân viên và các bên liên quan để đảm bảo tuân thủ liên tục và nâng cao nhận thức.

1. Mục đích

Mục đích của chính sách này là thiết lập các hướng dẫn toàn diện để bảo vệ thông tin bí mật dưới dạng lời nói, văn bản và điện tử trong tổ chức, đặc biệt liên quan đến Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của California Advancing and Innovating Medi-Cal (CalAIM). Bằng việc triển khai chính sách này, tổ chức nhằm đảm bảo tuân thủ tất cả các luật liên bang và tiểu bang có liên quan, bao gồm Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA), và duy trì các tiêu chuẩn cao nhất về tính toàn vẹn và bảo mật cho tất cả thông tin nhạy cảm.

2. Phạm vi

Chính sách này áp dụng cho tất cả các cá nhân có liên quan đến tổ chức, bao gồm nhân viên, nhà thầu, tình nguyện viên, thực tập sinh và bất kỳ cá nhân nào có quyền truy cập vào thông tin bí mật liên quan đến Chương trình CalAIM ECM & CS. Chính sách này bao gồm tất cả các hình thức thông tin bí mật—miệng, văn bản và điện tử—và nêu rõ trách nhiệm của tất cả các bên trong việc bảo vệ thông tin này khỏi việc truy cập, sử dụng, tiết lộ, sửa đổi hoặc phá hủy trái phép.

3. Định nghĩa

Thông tin bí mật là bất kỳ dữ liệu hoặc thông tin nào mang tính riêng tư, nhạy cảm hoặc độc quyền. Điều này bao gồm, nhưng không giới hạn ở, Thông tin Y tế Được Bảo vệ (PHI), Thông tin Nhận dạng Cá nhân (PII), hồ sơ tài chính và bất kỳ thông tin tổ chức độc quyền nào. PHI là bất kỳ thông tin nào liên quan đến tình trạng sức khỏe của một cá nhân, việc cung cấp dịch vụ y tế hoặc thanh toán cho dịch vụ y tế có thể được liên kết với một cá nhân cụ thể. Thông tin Y tế Được Bảo vệ Điện tử (ePHI) là PHI được tạo ra, lưu trữ, truyền tải hoặc nhận qua hình thức điện tử. Nhân viên được định nghĩa là nhân viên, tình nguyện viên, thực tập sinh và bất kỳ cá nhân nào mà hành vi của họ, trong quá trình thực hiện công việc cho tổ chức, nằm dưới sự kiểm soát trực tiếp của tổ chức, bất kể họ có được trả lương bởi tổ chức hay không.

4. Tuyên bố chính sách

Tổ chức cam kết bảo vệ tất cả các hình thức thông tin bí mật khỏi việc truy cập, sử dụng, tiết lộ, sửa đổi hoặc phá hủy trái phép. Tất cả các thành viên trong tổ chức phải xử lý thông tin bí mật một cách có trách nhiệm và tuân thủ các quy định pháp luật và chính sách của tổ chức. Quyền truy cập vào thông tin bí mật chỉ được cấp cho những cá nhân cần thiết để thực hiện nhiệm vụ công việc của họ. Bất kỳ vi phạm hoặc nghi ngờ vi phạm thông tin bí mật nào cũng phải được báo cáo ngay lập tức theo quy trình báo cáo sự cố của tổ chức.

5. Quy trình

5.1. Kiểm soát truy cập

Quyền truy cập vào thông tin mật được cấp dựa trên nguyên tắc "quyền truy cập tối thiểu", có nghĩa là cá nhân chỉ được cấp mức truy cập tối thiểu cần thiết để thực hiện các nhiệm vụ công việc của mình. Nhân viên phải sử dụng ID người dùng duy nhất và mật khẩu mạnh khi truy cập vào các hệ thống điện tử chứa thông tin mật. Mật khẩu phải được giữ bí mật và không được chia sẻ với người khác. Quyền truy cập vật lý vào các khu vực lưu trữ thông tin mật, như tủ hồ sơ hoặc phòng máy chủ, phải được kiểm soát thông qua khóa, thẻ truy cập hoặc các biện pháp an ninh khác. Khách thăm phải được hộ tống khi vào các khu vực có thể truy cập thông tin mật.

5.2. Xử lý thông tin bí mật

Khi xử lý thông tin bằng lời nói, nhân viên cần đảm bảo rằng các cuộc trò chuyện liên quan đến thông tin bí mật được tiến hành trong môi trường riêng tư để tránh việc người không có thẩm quyền nghe lén. Điều này bao gồm việc chú ý đến môi trường xung quanh trong các văn phòng mở, thang máy, căng-tin hoặc các khu vực công cộng.

Đối với thông tin bằng văn bản, các tài liệu vật lý chứa thông tin bí mật nên được lưu trữ tại các vị trí an toàn khi không sử dụng. Điều này có thể bao gồm việc giữ tài liệu trong các ngăn kéo hoặc tủ khóa. Khi vận chuyển tài liệu, chúng nên được giữ trong các folder hoặc bao bì an toàn và không được để lại mà không có người trông coi.

Thông tin điện tử phải được lưu trữ trên các máy chủ an toàn với mã hóa phù hợp và các biện pháp kiểm soát truy cập. Nhân viên nên đăng xuất hoặc khóa máy tính khi không sử dụng để ngăn chặn truy cập trái phép. Các thiết bị điện tử như laptop, tablet và smartphone chứa thông tin bí mật nên được kích hoạt các tính năng bảo mật như mật khẩu hoặc khóa sinh trắc học.

5.3. Việc truyền tải thông tin bí mật

Thông tin mật nên được truyền tải bằng các phương thức an toàn. Khi gửi các thông tin điện tử, nhân viên nên sử dụng dịch vụ email mã hóa hoặc các giao thức truyền tệp an toàn. Thông tin mật không nên được gửi qua các kênh không an toàn như email thông thường hoặc tin nhắn tức thì trừ khi có các biện pháp bảo mật phù hợp được áp dụng.

Khi fax thông tin bí mật, nhân viên nên xác nhận số fax của người nhận trước khi gửi và sử dụng một trang bìa có kèm theo tuyên bố bảo mật. Họ cũng nên xác minh rằng người nhận có thể nhận fax để ngăn chặn truy cập trái phép.

5.4. Xử lý thông tin bí mật

Việc tiêu hủy tài liệu mật phải được thực hiện một cách an toàn. Tài liệu giấy phải được cắt nhỏ bằng máy cắt giấy cắt ngang hoặc đặt vào thùng rác an toàn dành riêng cho tài liệu mật. Các phương tiện điện tử chứa thông tin mật, như ổ cứng, USB hoặc đĩa CD, phải được xóa sạch bằng các phương pháp tiêu hủy dữ liệu được phê duyệt hoặc phá hủy vật lý để ngăn chặn việc khôi phục dữ liệu.

5.5. Sử dụng thiết bị cá nhân

Nếu nhân viên được phép sử dụng thiết bị cá nhân để truy cập thông tin mật, các thiết bị này phải tuân thủ chính sách bảo mật của tổ chức. Điều này bao gồm cài đặt phần mềm bảo mật, kích hoạt mã hóa thiết bị và tuân thủ chính sách mật khẩu. Thông tin mật không được lưu trữ trên thiết bị cá nhân trừ khi được phép rõ ràng và được bảo vệ an toàn. Nếu thiết bị cá nhân bị mất hoặc bị đánh cắp, sự cố phải được báo cáo ngay lập tức.

5.6. Đào tạo và Nâng cao nhận thức

Tất cả nhân viên đều phải tham gia khóa đào tạo về bảo vệ thông tin bí mật khi được tuyển dụng và định kỳ hàng năm sau đó. Các chương trình đào tạo sẽ bao gồm các nội dung như nhận diện thông tin bí mật, quy trình xử lý đúng đắn, nghĩa vụ pháp lý và quy trình báo cáo trong trường hợp vi phạm hoặc nghi ngờ vi phạm. Đào tạo bổ sung có thể được cung cấp khi có sự thay đổi trong luật pháp, quy định hoặc chính sách tổ chức để đảm bảo tuân thủ liên tục.

6. Trách nhiệm

Tất cả các thành viên trong lực lượng lao động có trách nhiệm hiểu và tuân thủ chính sách này. Họ phải xử lý thông tin bí mật một cách thích hợp và báo cáo ngay lập tức bất kỳ vi phạm nghi ngờ hoặc thực tế nào. Các giám sát viên và quản lý có trách nhiệm bổ sung là đảm bảo rằng đội ngũ của họ hiểu chính sách và tuân thủ các hướng dẫn của nó. Họ nên tạo điều kiện tiếp cận đào tạo và sẵn sàng giải đáp bất kỳ câu hỏi hoặc thắc mắc nào liên quan đến việc xử lý thông tin bí mật.

Chuyên viên An ninh Thông tin chịu trách nhiệm giám sát việc triển khai các biện pháp an ninh nhằm bảo vệ thông tin bí mật. Điều này bao gồm việc theo dõi việc tuân thủ chính sách, thực hiện các đánh giá an ninh định kỳ và xử lý các sự cố liên quan đến thông tin bí mật.

7. Giám sát và Tuân thủ

Tổ chức sẽ tiến hành các cuộc kiểm tra và đánh giá định kỳ để giám sát việc tuân thủ chính sách này. Điều này có thể bao gồm việc xem xét nhật ký truy cập, thực hiện kiểm tra thực tế và đánh giá các biện pháp kiểm soát an ninh. Việc không tuân thủ chính sách có thể dẫn đến các biện pháp kỷ luật, bao gồm cả việc chấm dứt hợp đồng lao động. Tổ chức có quyền thực hiện các biện pháp pháp lý nếu cần thiết.

8. Thông báo vi phạm

Trong trường hợp xảy ra vi phạm thông tin bí mật, tổ chức sẽ tuân thủ tất cả các luật và quy định hiện hành liên quan đến việc thông báo cho các cá nhân bị ảnh hưởng và các cơ quan chức năng. Điều này bao gồm việc tiến hành một cuộc điều tra kỹ lưỡng để xác định phạm vi của vi phạm, giảm thiểu thiệt hại và thực hiện các biện pháp để ngăn chặn các sự cố tương tự trong tương lai. Các cá nhân bị ảnh hưởng sẽ được thông báo kịp thời, và tổ chức sẽ hợp tác với các cơ quan quản lý theo yêu cầu.

9. Kiểm tra và Sửa đổi

Chính sách này sẽ được xem xét hàng năm và cập nhật khi cần thiết để phản ánh các thay đổi trong luật pháp, quy định hoặc thực tiễn tổ chức. Phản hồi từ nhân viên và bài học kinh nghiệm từ các sự cố sẽ được xem xét trong quá trình xem xét để nâng cao hiệu quả của chính sách.

10. Tham khảo

Chính sách này được xây dựng dựa trên và tuân thủ Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA), Đạo luật Bảo mật Thông tin Y tế của California (CMIA) và các luật liên bang và tiểu bang khác có liên quan. Nó cũng phù hợp với các chính sách nội bộ của tổ chức về an ninh thông tin và quyền riêng tư.

Giới thiệu

Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của CalAIM cam kết cung cấp dịch vụ quản lý chăm sóc chất lượng cao đồng thời tuân thủ các tiêu chuẩn cao nhất về bảo mật và bảo vệ dữ liệu. Trong môi trường mà thông tin nhạy cảm được xử lý thường xuyên, việc có các chính sách mạnh mẽ quy định quyền truy cập vào dữ liệu bảo mật là điều cần thiết. Chính sách Kiểm soát Truy cập này thiết lập khung khổ toàn diện để cấp, điều chỉnh và thu hồi quyền truy cập vào thông tin bảo mật dựa trên vai trò công việc trong chương trình. Chính sách được thiết kế để đảm bảo rằng tất cả nhân viên có quyền truy cập phù hợp với trách nhiệm công việc của họ và tính bảo mật của thông tin nhạy cảm được duy trì tuân thủ tất cả các luật và quy định áp dụng.

Phạm vi

Chính sách này áp dụng cho tất cả các cá nhân có quyền truy cập vào thông tin bí mật trong Chương trình CalAIM ECM & CS, bao gồm nhưng không giới hạn ở nhân viên, nhà thầu, tình nguyện viên, thực tập sinh và cố vấn. Chính sách này áp dụng cho tất cả các hình thức dữ liệu bí mật, dù được lưu trữ dưới dạng điện tử, trên giấy hay được truyền đạt bằng lời nói. Chính sách này bao gồm tất cả các hệ thống tổ chức, mạng lưới, cơ sở dữ liệu và địa điểm vật lý nơi thông tin bí mật được lưu trữ hoặc truy cập.

Tuyên bố chính sách

Quyền truy cập vào thông tin mật là một đặc quyền đi kèm với trách nhiệm lớn. Chương trình CalAIM ECM & CS áp dụng các nguyên tắc "quyền truy cập tối thiểu" và "quyền truy cập dựa trên vai trò" (RBAC) để quản lý quyền truy cập vào dữ liệu nhạy cảm. Theo chính sách này, quyền truy cập được phân bổ cẩn thận để đảm bảo rằng mỗi cá nhân chỉ có mức độ truy cập tối thiểu cần thiết để thực hiện các nhiệm vụ cụ thể của mình. Quyền truy cập phải được điều chỉnh ngay lập tức khi có bất kỳ thay đổi nào trong vai trò hoặc tình trạng việc làm của cá nhân, bao gồm thăng chức, chuyển ngang, giáng chức hoặc chấm dứt hợp đồng. Phương pháp này giúp giảm thiểu rủi ro truy cập trái phép và bảo vệ tính toàn vẹn và bảo mật của thông tin nhạy cảm.

Vai trò và Trách nhiệm

Giám đốc Chương trình

Giám đốc Chương trình chịu trách nhiệm cuối cùng về việc triển khai và thực thi Chính sách Kiểm soát Truy cập này. Điều này bao gồm việc phê duyệt định nghĩa vai trò, xác định mức độ truy cập phù hợp cho các vị trí khác nhau và đảm bảo rằng chính sách này phù hợp với mục tiêu tổ chức và các yêu cầu pháp lý. Giám đốc Chương trình cũng hợp tác với các bộ phận khác để giải quyết các vấn đề liên quan đến kiểm soát truy cập và bảo vệ dữ liệu.

Phòng Nhân sự

Phòng Nhân sự (HR) đóng vai trò quan trọng trong việc quản lý quyền truy cập. Phòng HR có trách nhiệm thông báo cho Phòng Công nghệ Thông tin (IT) và Chuyên viên Tuân thủ về tất cả các thay đổi nhân sự, bao gồm việc tuyển dụng mới, thay đổi vị trí công việc và chấm dứt hợp đồng. Việc thông báo này phải được thực hiện kịp thời để đảm bảo điều chỉnh quyền truy cập một cách kịp thời. Phòng HR cũng có nhiệm vụ đảm bảo rằng mô tả công việc phản ánh chính xác các yêu cầu và trách nhiệm về quyền truy cập liên quan đến từng vị trí, từ đó hỗ trợ việc áp dụng các biện pháp kiểm soát truy cập phù hợp.

Phòng Công nghệ Thông tin

Phòng Công nghệ Thông tin (IT) chịu trách nhiệm quản lý các khía cạnh kỹ thuật của hệ thống kiểm soát truy cập. Điều này bao gồm việc cấu hình và duy trì các hệ thống thực thi quyền truy cập, xử lý các yêu cầu được ủy quyền để cấp, điều chỉnh hoặc thu hồi quyền truy cập, và đảm bảo rằng các biện pháp kiểm soát truy cập hoạt động chính xác. Phòng IT duy trì các bản ghi kiểm tra chi tiết về việc truy cập thông tin mật, điều này là cần thiết để theo dõi tuân thủ và điều tra các sự cố bảo mật tiềm ẩn. Ngoài ra, IT hợp tác với Phòng Nhân sự (HR) và các giám sát viên để đảm bảo rằng quyền truy cập được điều chỉnh phù hợp với trách nhiệm công việc hiện tại.

Chuyên viên tuân thủ

Chuyên viên Tuân thủ chịu trách nhiệm giám sát việc tuân thủ chính sách này và đảm bảo tổ chức tuân thủ tất cả các luật và quy định liên quan, chẳng hạn như HIPAA. Vai trò này bao gồm việc thực hiện các cuộc kiểm toán định kỳ và đánh giá quyền truy cập để xác minh rằng quyền truy cập được phân bổ một cách phù hợp và không có trường hợp truy cập trái phép nào xảy ra. Chuyên viên Tuân thủ cũng chịu trách nhiệm phát triển và triển khai các chương trình đào tạo về bảo mật thông tin, bảo vệ dữ liệu và tuân thủ quy định để hướng dẫn nhân viên về trách nhiệm của họ theo chính sách này.

Các giám sát viên và quản lý

Các giám sát viên và quản lý có trách nhiệm trực tiếp trong việc khởi tạo yêu cầu truy cập cho các thành viên trong nhóm của mình. Họ phải đảm bảo rằng các yêu cầu này phản ánh chính xác quyền truy cập cần thiết cho từng vai trò của thành viên trong nhóm. Các giám sát viên cũng có trách nhiệm giám sát việc tuân thủ chính sách truy cập của nhóm, giải quyết các vấn đề vi phạm và báo cáo ngay lập tức cho bộ phận Nhân sự (HR) và Công nghệ thông tin (IT) về bất kỳ thay đổi nào trong tình trạng việc làm hoặc vai trò của nhân viên. Họ đóng vai trò quan trọng trong việc nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu và bảo mật thông tin trong nhóm của mình.

Nhân viên và Người dùng được ủy quyền

Mọi nhân viên và người dùng được ủy quyền truy cập thông tin bí mật phải sử dụng quyền truy cập đó một cách có trách nhiệm. Người dùng chỉ được truy cập thông tin mà họ đã được ủy quyền rõ ràng và phải duy trì tính bảo mật của bất kỳ thông tin nào họ xử lý. Họ không được chia sẻ thông tin đăng nhập của mình với người khác và phải báo cáo ngay lập tức cho người quản lý, Bộ phận Công nghệ Thông tin hoặc Chuyên viên Tuân thủ về bất kỳ trường hợp truy cập trái phép hoặc vi phạm an ninh nào được nghi ngờ. Nhân viên cũng được yêu cầu tham gia các buổi đào tạo bắt buộc để cập nhật thông tin về các chính sách và thực hành tốt nhất liên quan đến bảo vệ dữ liệu.

Quy trình

Quyền truy cập cho nhân viên mới

Khi một nhân viên mới gia nhập tổ chức, Phòng Nhân sự (HR) sẽ khởi động quy trình cấp quyền truy cập. Phòng Nhân sự phải gửi yêu cầu cấp quyền truy cập chính thức đến Phòng Công nghệ Thông tin (IT), trong đó nêu rõ vai trò của nhân viên mới và các quyền truy cập cụ thể cần thiết. Yêu cầu này phải dựa trên các hồ sơ truy cập đã được định nghĩa trước, phù hợp với vị trí của nhân viên. Trước khi cấp quyền truy cập, nhân viên mới phải hoàn thành khóa đào tạo bắt buộc về bảo mật thông tin, chính sách bảo vệ dữ liệu và các quy định liên quan như HIPAA. Phòng CNTT sau đó sẽ cấu hình các quyền truy cập cần thiết, đảm bảo nhân viên có các công cụ cần thiết để thực hiện công việc một cách hiệu quả đồng thời tuân thủ nguyên tắc quyền truy cập tối thiểu.

Thay đổi quyền truy cập khi thay đổi vai trò

Trong trường hợp vai trò của nhân viên thay đổi—do thăng chức, chuyển công tác hoặc tái cơ cấu—người quản lý phải thông báo ngay lập tức cho cả bộ phận Nhân sự (HR) và bộ phận Công nghệ thông tin (IT). Yêu cầu điều chỉnh quyền truy cập phải được gửi, nêu rõ những thay đổi trong trách nhiệm và các điều chỉnh cần thiết tương ứng về quyền truy cập. Phòng Công nghệ Thông tin sẽ xem xét yêu cầu và điều chỉnh quyền truy cập của nhân viên cho phù hợp. Nếu vai trò mới liên quan đến việc xử lý các loại thông tin mật khác nhau hoặc yêu cầu cấp phép bảo mật bổ sung, nhân viên phải hoàn thành bất kỳ khóa đào tạo bổ sung nào cần thiết trước khi được cấp quyền truy cập mới.

Xóa quyền truy cập khi chấm dứt hợp đồng

Khi một nhân viên chấm dứt hợp đồng lao động, dù là tự nguyện hay bắt buộc, Phòng Nhân sự có trách nhiệm khởi động quy trình thu hồi quyền truy cập. Phòng Nhân sự phải thông báo ngay lập tức cho Phòng Công nghệ Thông tin (IT) sau khi nhận được thông báo về việc chấm dứt hợp đồng. Phòng Công nghệ Thông tin phải thu hồi toàn bộ quyền truy cập của nhân viên trước khi kết thúc ngày làm việc cuối cùng của họ. Điều này bao gồm vô hiệu hóa tài khoản mạng, thu hồi quyền truy cập vào các ứng dụng và cơ sở dữ liệu, và thu hồi các thiết bị thuộc sở hữu của tổ chức. Phòng Nhân sự cũng phải thu hồi tất cả các thiết bị truy cập vật lý từ nhân viên nghỉ việc, chẳng hạn như thẻ nhận dạng, chìa khóa và thẻ truy cập, để ngăn chặn việc truy cập vật lý trái phép vào cơ sở vật chất của tổ chức.

Kiểm tra định kỳ quyền truy cập

Để đảm bảo tuân thủ liên tục các chính sách kiểm soát truy cập, Chuyên viên Tuân thủ và Bộ phận Công nghệ Thông tin tiến hành kiểm tra định kỳ sáu tháng một lần đối với tất cả quyền truy cập. Trong quá trình kiểm tra này, họ xác minh rằng quyền truy cập của từng cá nhân vẫn phù hợp với vai trò và trách nhiệm hiện tại của họ. Quy trình kiểm tra bao gồm kiểm tra nhật ký truy cập, xác nhận phân công vai trò và đảm bảo không có quyền truy cập trái phép nào được cấp. Bất kỳ sự không nhất quán nào được phát hiện sẽ được ghi chép và báo cáo cho Giám đốc Chương trình để thực hiện các biện pháp khắc phục ngay lập tức. Phương pháp chủ động này giúp ngăn chặn các vi phạm an ninh và duy trì tính toàn vẹn của thông tin bí mật.

Nhật ký kiểm toán và Giám sát

Phòng Công nghệ Thông tin (IT) duy trì các bản ghi kiểm tra toàn diện ghi lại mọi truy cập vào thông tin bí mật. Các bản ghi này ghi lại các chi tiết như danh tính người dùng, dữ liệu được truy cập, thời gian truy cập và các hành động được thực hiện. Các bản ghi kiểm tra được xem xét định kỳ hàng quý để phát hiện bất kỳ mô hình truy cập trái phép hoặc hoạt động đáng ngờ nào. Nếu phát hiện bất kỳ bất thường nào, Phòng Công nghệ Thông tin sẽ hợp tác với Chuyên viên Tuân thủ để điều tra vụ việc một cách kỹ lưỡng. Các biện pháp thích hợp sau đó được thực hiện để giải quyết các vấn đề bảo mật, có thể bao gồm các biện pháp kỷ luật đối với cá nhân vi phạm chính sách.

Quy trình truy cập khẩn cấp

Trong trường hợp đặc biệt khi cần truy cập ngay lập tức vào thông tin mật để xử lý tình huống khẩn cấp, có thể cấp quyền truy cập tạm thời. Quyền truy cập này yêu cầu sự phê duyệt rõ ràng từ Giám đốc Chương trình hoặc đại diện được ủy quyền. Yêu cầu truy cập khẩn cấp phải được ghi chép đầy đủ, bao gồm lý do truy cập và thông tin cụ thể cần thiết. Bộ phận Công nghệ Thông tin sẽ cấp quyền truy cập tạm thời và giám sát tất cả các hoạt động được thực hiện theo quy định này. Quyền truy cập khẩn cấp sẽ bị thu hồi ngay khi không còn cần thiết, và một cuộc đánh giá sau sự kiện sẽ được tiến hành để đánh giá tính phù hợp của quyền truy cập và cập nhật chính sách hoặc quy trình nếu cần thiết.

Tuân thủ và Thi hành

Tuân thủ Chính sách Kiểm soát Truy cập này là bắt buộc đối với tất cả cá nhân nằm trong phạm vi áp dụng của chính sách. Việc không tuân thủ có thể dẫn đến các biện pháp kỷ luật, bao gồm khiển trách, đình chỉ công tác, chấm dứt hợp đồng lao động hoặc hợp đồng, và có thể khởi kiện nếu vi phạm pháp luật. Tổ chức coi trọng các vi phạm do những rủi ro tiềm ẩn mà chúng gây ra cho khách hàng, đối tác và uy tín của tổ chức. Tất cả nhân viên được yêu cầu báo cáo bất kỳ vi phạm nghi ngờ nào của chính sách này cho người quản lý, Chuyên viên Tuân thủ hoặc thông qua các kênh báo cáo đã được thiết lập mà không sợ bị trừng phạt.

Định nghĩa

Thông tin bí mật

Thông tin bí mật là bất kỳ dữ liệu nào được bảo vệ theo khung pháp lý hoặc quy định, bao gồm nhưng không giới hạn ở Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA). Điều này bao gồm thông tin sức khỏe cá nhân (PHI), thông tin nhận dạng cá nhân (PII), hồ sơ tài chính, thông tin kinh doanh độc quyền và bất kỳ dữ liệu nào khác mà tổ chức có nghĩa vụ bảo vệ khỏi việc tiết lộ trái phép.

Kiểm soát truy cập dựa trên vai trò (RBAC)

Kiểm soát truy cập dựa trên vai trò (Role-Based Access Control) là một phương pháp bảo mật trong đó quyền truy cập được gán cho các vai trò cụ thể trong tổ chức, thay vì gán cho từng người dùng cá nhân. Người dùng sau đó được gán các vai trò dựa trên chức năng công việc của họ, điều này xác định mức độ truy cập mà họ có đối với hệ thống và thông tin. Phương pháp này đơn giản hóa việc quản lý truy cập và nâng cao bảo mật bằng cách đảm bảo rằng người dùng chỉ có quyền truy cập vào thông tin cần thiết cho vai trò của họ.

Nguyên tắc Quyền hạn Tối thiểu

Nguyên tắc quyền hạn tối thiểu là một khái niệm bảo mật quy định rằng người dùng chỉ nên được cấp quyền truy cập hoặc quyền hạn tối thiểu cần thiết để thực hiện các nhiệm vụ công việc của họ. Bằng cách giới hạn quyền truy cập, tổ chức giảm thiểu rủi ro truy cập trái phép vào thông tin nhạy cảm và hạn chế tác động tiềm tàng của các vi phạm bảo mật.

Các chính sách liên quan

Chính sách Kiểm soát Truy cập này là một phần của bộ chính sách toàn diện được thiết kế để bảo vệ thông tin bí mật và đảm bảo tuân thủ các quy định pháp luật. Các chính sách liên quan khác bao gồm:

• Chính sách bảo mật dữ liệu: Nêu rõ cam kết của tổ chức trong việc bảo vệ dữ liệu cá nhân và quy định các quy trình xử lý thông tin này.
• Chính sách An ninh Thông tin: Xác định các biện pháp được thực hiện để bảo vệ tài sản thông tin của tổ chức khỏi các mối đe dọa như truy cập trái phép, tấn công mạng và rò rỉ dữ liệu.
• Chính sách tuân thủ HIPAA: Chi tiết các yêu cầu cụ thể và quy trình xử lý thông tin y tế được bảo vệ theo quy định của HIPAA.
• Thỏa thuận bảo mật thông tin của nhân viên: Một thỏa thuận có tính ràng buộc mà tất cả nhân viên phải ký kết, trong đó xác nhận trách nhiệm của họ trong việc bảo vệ thông tin bí mật.

Các nhân viên được yêu cầu phải nắm rõ các chính sách này và áp dụng các hướng dẫn của chúng vào các hoạt động làm việc hàng ngày của mình.

Tham khảo

Luật Bảo hiểm Y tế về Khả năng Di chuyển và Trách nhiệm (HIPAA)

Một luật liên bang được ban hành nhằm bảo vệ thông tin sức khỏe nhạy cảm của bệnh nhân khỏi việc tiết lộ mà không có sự đồng ý hoặc sự biết của bệnh nhân. Các tổ chức xử lý thông tin sức khỏe cá nhân (PHI) phải thực hiện các biện pháp bảo vệ hành chính, vật lý và kỹ thuật để đảm bảo tính bảo mật, tính toàn vẹn và an toàn của thông tin sức khỏe cá nhân điện tử (ePHI).

Hướng dẫn Chương trình CalAIM ECM & CS

Hướng dẫn cụ thể theo từng bang quy định các yêu cầu thực hiện cho Chương trình Quản lý Chăm sóc Nâng cao & Hỗ trợ Cộng đồng. Các hướng dẫn này cung cấp các chỉ dẫn về hoạt động của chương trình, điều kiện tham gia của người tham gia, báo cáo dữ liệu và các khía cạnh quan trọng khác ảnh hưởng đến cách quản lý thông tin bảo mật.

Sổ tay nhân viên của tổ chức

Một tài liệu tham khảo toàn diện bao gồm các chính sách bổ sung liên quan đến hành vi của nhân viên, kỳ vọng tại nơi làm việc, nghĩa vụ bảo mật và quy trình xử lý vi phạm. Sổ tay này bổ sung cho chính sách này bằng cách cung cấp bối cảnh rộng hơn và hướng dẫn về các tiêu chuẩn tổ chức.

Phê duyệt và Kiểm tra

Chính sách Kiểm soát Truy cập này có hiệu lực kể từ ngày [Ngày có hiệu lực]. Chính sách sẽ được xem xét hàng năm hoặc khi có sự thay đổi trong các yêu cầu pháp lý, cấu trúc tổ chức hoặc nhu cầu hoạt động. Các sửa đổi đối với chính sách phải được Giám đốc Chương trình phê duyệt để đảm bảo tính nhất quán với mục tiêu tổ chức và các yêu cầu tuân thủ.

Lời cảm ơn

Tất cả các cá nhân được cấp quyền truy cập vào thông tin bí mật đều phải ký vào mẫu xác nhận, trong đó xác nhận rằng họ đã đọc, hiểu và đồng ý tuân thủ Chính sách Kiểm soát Truy cập này. Bản xác nhận đã ký sẽ được lưu trữ trong hồ sơ nhân sự của cá nhân hoặc hồ sơ nhà thầu. Bằng việc ký tên, các cá nhân khẳng định cam kết tuân thủ các tiêu chuẩn của tổ chức về bảo vệ dữ liệu và bảo mật thông tin.

Kết luận

Tuân thủ Chính sách Kiểm soát Truy cập này là điều cần thiết để duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin nhạy cảm trong Chương trình CalAIM ECM & CS. Bằng cách tuân thủ các quy trình và hướng dẫn được nêu ra, tổ chức đảm bảo tuân thủ các yêu cầu pháp lý và quy định, bảo vệ quyền riêng tư của cá nhân và duy trì niềm tin mà khách hàng, đối tác và cộng đồng đặt vào chúng tôi. Trách nhiệm chung của tất cả nhân viên là đóng góp vào một môi trường làm việc an toàn và đạo đức, nơi thông tin bí mật được xử lý với mức độ cẩn trọng và chuyên nghiệp cao nhất.

1. Mục đích

Mục đích của chính sách này là thiết lập các quy trình toàn diện để xử lý an toàn thông tin bí mật trong Chương trình Quản lý Chăm sóc Nâng cao và Hỗ trợ Cộng đồng (ECM & CS) của California Advancing and Innovating Medi-Cal (CalAIM). Bằng cách triển khai các quy trình này, chúng tôi nhằm đảm bảo tuân thủ đầy đủ các quy định pháp luật liên bang và tiểu bang hiện hành, bao gồm Đạo luật Bảo mật và Khả năng Di chuyển Bảo hiểm Y tế (HIPAA) và các quy định về bảo mật của California. Việc xử lý an toàn là yếu tố quan trọng để ngăn chặn truy cập, tiết lộ hoặc sử dụng trái phép thông tin nhạy cảm, từ đó bảo vệ quyền riêng tư của cá nhân và duy trì tính toàn vẹn của Chương trình ECM & CS.

2. Phạm vi

Chính sách này áp dụng cho tất cả các cá nhân có liên quan đến Chương trình CalAIM ECM & CS. Điều này bao gồm nhân viên, nhà thầu, tình nguyện viên và bất kỳ đối tác bên thứ ba nào xử lý thông tin bí mật dưới bất kỳ hình thức nào. Mọi cá nhân trong phạm vi này có trách nhiệm hiểu và tuân thủ các quy trình được nêu trong chính sách này để đảm bảo việc tiêu hủy an toàn thông tin bí mật.

3. Định nghĩa

Thông tin bí mật Thuật ngữ này đề cập đến bất kỳ dữ liệu nào được bảo vệ theo luật liên bang hoặc luật tiểu bang. Điều này bao gồm, nhưng không giới hạn ở, Thông tin Y tế Được Bảo vệ (PHI), Thông tin Nhận dạng Cá nhân (PII) và dữ liệu tổ chức nhạy cảm. Xử lý Được định nghĩa là hành động loại bỏ hoặc hủy bỏ thông tin hoặc phương tiện chứa thông tin bí mật theo cách thức ngăn chặn việc truy cập trái phép hoặc tái tạo thông tin.

4. Tuyên bố chính sách

Tất cả thông tin bí mật phải được tiêu hủy một cách an toàn để ngăn chặn mọi khả năng truy cập trái phép, tiết lộ hoặc lạm dụng. Các phương pháp tiêu hủy được áp dụng phải đảm bảo thông tin không thể khôi phục và không thể đọc được. Chính sách này yêu cầu tuân thủ nghiêm ngặt các quy trình tiêu hủy an toàn đối với cả hồ sơ vật lý và điện tử, đảm bảo rằng tất cả nhân viên hiểu và thực hiện các thủ tục cần thiết.

5. Quy trình

5.1 Hồ sơ vật lý

Tất cả các tài liệu vật lý chứa thông tin bí mật phải được xử lý với sự cẩn trọng tối đa trong quá trình tiêu hủy. Trước khi tiêu hủy, các tài liệu này nên được lưu trữ tại các vị trí an toàn. Cụ thể, chúng nên được đặt trong các thùng chứa có khóa được dành riêng cho tài liệu bí mật đang chờ tiêu hủy. Các thùng chứa này phải được dán nhãn rõ ràng là “Bí mật — Để tiêu hủy” để ngăn chặn việc truy cập hoặc xử lý sai sót một cách vô ý.

Khi tiêu hủy các tài liệu này, phải sử dụng máy cắt giấy dạng lưới để tiêu hủy tại chỗ. Việc cắt nhỏ theo kiểu cắt ngang đảm bảo rằng tài liệu được cắt thành những mảnh nhỏ không thể ghép lại, từ đó bảo vệ thông tin chứa đựng bên trong. Nếu sử dụng dịch vụ cắt nhỏ của bên thứ ba, việc xác minh rằng nhà cung cấp dịch vụ được chứng nhận và tuân thủ các tiêu chuẩn bảo mật nghiêm ngặt là điều cần thiết. Nhà cung cấp dịch vụ phải cung cấp chứng chỉ hủy tài liệu cho mỗi lô tài liệu được hủy, làm bằng chứng xác thực về việc tuân thủ.

Các giám sát viên chịu trách nhiệm giám sát quá trình tiêu hủy tài liệu. Họ phải xác minh rằng quá trình tiêu hủy được thực hiện định kỳ và được ghi chép đầy đủ. Sự giám sát này đảm bảo rằng quá trình tiêu hủy được thực hiện một cách nhất quán và không có thông tin bí mật nào bị lộ do chậm trễ hoặc sai sót trong quy trình.

5.2 Hồ sơ điện tử

Các tài liệu điện tử đòi hỏi sự chú ý đặc biệt do khả năng khôi phục dữ liệu ngay cả sau khi đã xóa. Khi tiêu hủy các tài liệu điện tử, phải sử dụng phần mềm xóa dữ liệu an toàn. Phần mềm này phải tuân thủ tiêu chuẩn của Bộ Quốc phòng (DoD 5220.22-M) về việc làm sạch dữ liệu, bao gồm việc ghi đè dữ liệu nhiều lần để ngăn chặn bất kỳ khả năng khôi phục nào.

Đối với các phương tiện lưu trữ điện tử không thể xóa sạch một cách an toàn—chẳng hạn như ổ cứng bị hỏng hoặc các thiết bị không hoạt động—phải áp dụng các phương pháp phá hủy vật lý. Phá hủy vật lý có thể bao gồm việc khử từ (loại bỏ từ tính của phương tiện lưu trữ), cắt nhỏ hoặc đốt cháy. Các phương pháp này đảm bảo rằng dữ liệu không thể được khôi phục bằng bất kỳ cách nào.

Sự phối hợp với Phòng Công nghệ Thông tin (IT) là yếu tố quan trọng trong việc xử lý các máy chủ, máy tính, thiết bị di động và các thiết bị điện tử khác. Phòng Công nghệ Thông tin có trách nhiệm đảm bảo rằng tất cả dữ liệu được xóa an toàn trước khi thiết bị được xử lý, tái phân bổ hoặc tái chế. Họ phải tuân thủ các tiêu chuẩn tốt nhất của ngành và duy trì hồ sơ về quá trình xử lý.

5.3 Thiết bị lưu trữ di động

Các thiết bị lưu trữ di động như USB, CD và DVD tiềm ẩn rủi ro đặc biệt do kích thước nhỏ gọn và tính di động của chúng. Danh sách kiểm kê tất cả các thiết bị lưu trữ di động chứa thông tin mật phải được duy trì cẩn thận. Danh sách này cần bao gồm các thông tin chi tiết như loại thiết bị, nội dung thông tin chứa trong đó và người quản lý hiện tại của thiết bị.

Khi các thiết bị lưu trữ di động không còn được sử dụng, chúng phải được tiêu hủy một cách an toàn. Phương pháp tiêu hủy vật lý là phương pháp được ưu tiên, đảm bảo rằng dữ liệu không thể được khôi phục. Các phương pháp có thể bao gồm cắt nhỏ thiết bị hoặc đốt cháy chúng, tùy thuộc vào vật liệu cấu thành.

5.4 Máy fax, máy in và máy photocopy

Nhiều máy fax, máy in và máy photocopy hiện đại có bộ nhớ trong lưu trữ bản sao của các tài liệu được xử lý bởi thiết bị. Trước khi thanh lý hoặc chuyển giao thiết bị này, tất cả dữ liệu được lưu trữ phải được xóa khỏi bộ nhớ trong. Việc không thực hiện điều này có thể dẫn đến việc truy cập trái phép vào thông tin bí mật.

Nếu thiết bị được thuê và sẽ được trả lại cho nhà cung cấp, điều quan trọng là phải đảm bảo rằng nhà cung cấp có nghĩa vụ hợp đồng phải xóa sạch tất cả dữ liệu khỏi bộ nhớ của thiết bị. Thỏa thuận này cần được lập thành văn bản, nhằm cung cấp bảo vệ pháp lý và đảm bảo tuân thủ.

5.5 Nhà thầu bên thứ ba

Khi các nhà thầu bên thứ ba tham gia vào việc xử lý thông tin bí mật, cần thực hiện các biện pháp thận trọng để xác minh sự tuân thủ của họ đối với chính sách này và tất cả các yêu cầu pháp lý. Điều này bao gồm việc xem xét các quy trình, chứng chỉ và thành tích của họ trong việc xử lý thông tin bí mật.

Các thỏa thuận bằng văn bản phải được thiết lập với tất cả các nhà thầu bên thứ ba, trong đó nêu rõ các nghĩa vụ bảo mật của họ và các quy trình mà họ phải tuân thủ để xử lý an toàn. Các thỏa thuận này nên bao gồm các điều khoản về kiểm toán và xác minh tuân thủ, đảm bảo rằng các nhà thầu duy trì các tiêu chuẩn cao tương tự như tổ chức.

6. Trách nhiệm

Tất cả nhân viên có trách nhiệm tuân thủ chính sách này và báo cáo ngay lập tức bất kỳ vi phạm hoặc rủi ro tiềm ẩn nào cho người quản lý trực tiếp hoặc Chuyên viên Tuân thủ. Sự cảnh giác là yếu tố quan trọng trong việc ngăn chặn truy cập trái phép vào thông tin bí mật.

Các giám sát viên phải đảm bảo rằng các thành viên trong nhóm tuân thủ chính sách. Họ có trách nhiệm cung cấp các nguồn lực và hỗ trợ cần thiết cho các biện pháp xử lý an toàn và báo cáo ngay lập tức bất kỳ vấn đề hoặc lo ngại nào.

Phòng Công nghệ Thông tin (IT) đóng vai trò quan trọng trong việc quản lý việc tiêu hủy an toàn thiết bị điện tử. Phòng này có trách nhiệm triển khai các giải pháp kỹ thuật cho việc tiêu hủy dữ liệu và cung cấp hướng dẫn, hỗ trợ cho các phòng ban khác khi cần thiết.

Chuyên viên Tuân thủ chịu trách nhiệm giám sát việc triển khai chính sách này trên toàn tổ chức. Điều này bao gồm việc thực hiện các cuộc kiểm tra định kỳ để đánh giá mức độ tuân thủ, giải quyết các vấn đề được phát hiện và cập nhật chính sách khi cần thiết để phản ánh các thay đổi trong luật pháp hoặc quy trình hoạt động của tổ chức.

7. Đào tạo

Để đảm bảo thực hiện hiệu quả, tất cả nhân viên và đối tác phải tham gia khóa đào tạo bắt buộc về việc xử lý an toàn thông tin mật. Khóa đào tạo này sẽ được tổ chức khi mới vào làm việc và định kỳ hàng năm sau đó. Nội dung đào tạo bao gồm tầm quan trọng của việc xử lý an toàn, các quy trình cụ thể cần tuân thủ và các hậu quả pháp lý của việc không tuân thủ. Việc đào tạo liên tục củng cố cam kết của tổ chức đối với việc bảo mật thông tin và trang bị cho nhân viên kiến thức cần thiết để thực hiện nhiệm vụ của mình một cách hiệu quả.

8. Tuân thủ và Thi hành

Việc tuân thủ chính sách này là bắt buộc. Việc không tuân thủ có thể dẫn đến các biện pháp kỷ luật, bao gồm cả việc chấm dứt hợp đồng lao động hoặc hợp đồng. Trong trường hợp có hành vi cố ý vi phạm hoặc sơ suất nghiêm trọng, có thể tiến hành các biện pháp pháp lý. Tổ chức cam kết thực thi chính sách này để bảo vệ tính bảo mật của thông tin và duy trì niềm tin với khách hàng, đối tác và các cơ quan quản lý.

9. Tham khảo

Chính sách này được xây dựng dựa trên một số văn bản pháp luật và hướng dẫn quy định quan trọng, bao gồm:

• Luật Bảo hiểm Y tế Di động và Trách nhiệm (HIPAA): Xác lập các tiêu chuẩn quốc gia về bảo vệ thông tin y tế.
• Luật Bảo mật Thông tin Y tế của California (CMIA): Quy định về việc bảo vệ thông tin y tế trong phạm vi bang.
• Luật Bảo vệ Quyền Riêng tư của Người Tiêu dùng California (CCPA): Cung cấp cho người tiêu dùng các quyền liên quan đến thông tin cá nhân của họ.
• Quy định của Cục Dịch vụ Y tế (DHCS): Quản lý Chương trình Medi-Cal và các chương trình liên quan.

Các tài liệu tham khảo này cung cấp khung pháp lý mà chính sách này hoạt động và nhấn mạnh tầm quan trọng của việc tuân thủ.

10. Kiểm tra và Sửa đổi

Chính sách này sẽ được xem xét hàng năm để đảm bảo rằng nó luôn tuân thủ các yêu cầu pháp lý và các tiêu chuẩn tốt nhất. Chính sách sẽ được điều chỉnh khi cần thiết để phản ứng với những thay đổi trong luật pháp, công nghệ hoặc quy trình tổ chức. Phản hồi từ nhân viên và kết quả từ các cuộc kiểm toán tuân thủ sẽ là cơ sở cho bất kỳ cập nhật cần thiết nào, đảm bảo rằng chính sách được điều chỉnh để đáp ứng các thách thức mới phát sinh.