QUẢN TRỊ DỮ LIỆU Y TẾ & BẢO VỆ DỮ LIỆU CÁ NHÂN
Hệ thống hỗ trợ chuyên môn: chiaseyhoc.vn | Hotline tư vấn: 0373002989
Căn cứ theo Luật Bảo vệ Dữ liệu Cá nhân 2025 và Nghị định 356/2025/NĐ-CP
PHẦN 1. TRÁCH NHIỆM TUÂN THỦ DÀNH CHO CƠ SỞ Y TẾ
| Nhóm nghĩa vụ | Công việc cần thực hiện ngay | Thời hạn/Ghi chú |
|---|---|---|
| Lập Hồ Sơ Đánh Giá Tác Động (DPIA) | Lập báo cáo đánh giá tác động xử lý dữ liệu bệnh nhân (theo Mẫu số 10) và gửi về Cục An ninh mạng (A05). Cơ sở phải luôn đảm bảo hồ sơ có sẵn để phục vụ kiểm tra. | 60 ngày kể từ khi bắt đầu xử lý dữ liệu. |
| Hợp đồng xử lý dữ liệu | Bổ sung các văn bản, thỏa thuận ràng buộc trách nhiệm bảo mật khi ký kết với đơn vị cung cấp phần mềm (HIS/EMR), máy chủ Cloud hoặc các dịch vụ AI bên thứ ba. | Bắt buộc theo Luật 2025. |
| Cập nhật biến động | Thực hiện cập nhật ngay hồ sơ trong 10 ngày nếu cơ sở y tế có sự thay đổi về quy mô dữ liệu, ngành nghề hoặc chấm dứt hoạt động. | Phải nộp Mẫu số 03a. |
CHI TIẾT DANH MỤC HỒ SƠ & THỜI HẠN (Bổ sung từ DEDICA)
| Nội dung hồ sơ / Nghĩa vụ | Mẫu văn bản / Chi tiết | Thời hạn thực hiện |
|---|---|---|
| Thành phần Hồ sơ Đánh giá tác động (DPIA) | Mẫu số 02a (Thông báo) & Mẫu số 10 (Báo cáo đánh giá) | Gửi trong 60 ngày kể từ khi xử lý dữ liệu. |
| Thời gian cơ quan nhà nước phản hồi | Cục An ninh mạng (A05) xem xét và giải quyết hồ sơ. | 15 ngày làm việc. |
| Cập nhật khi có thay đổi mục đích/bên thứ ba | Nộp bổ sung Mẫu số 03a (đính kèm Nghị định 356) | Định kỳ 06 tháng/lần. |
| Cập nhật khi thay đổi ngành nghề/giải thể/phá sản | Nộp bổ sung Mẫu số 03a | Trong vòng 10 ngày kể từ khi phát sinh thay đổi. |
PHẦN 2. CÁC HẠNG MỤC QUẢN TRỊ DỮ LIỆU CỐT LÕI
1. Mã hóa dữ liệu nhạy cảm
Hệ thống thông tin bệnh viện phải thực hiện mã hóa thông tin về tình trạng sức khỏe, đời tư và các chỉ số xét nghiệm di truyền (lớp mã hóa bảo mật cao nhất) để đề phòng sự cố rò rỉ.
2. Quản lý quyền Bệnh nhân
Phòng khám cần xây dựng quy trình tiếp nhận yêu cầu từ bệnh nhân bao gồm: Quyền cung cấp thông tin, quyền rút lại sự đồng ý và quyền yêu cầu xóa dữ liệu theo quy định của pháp luật hiện hành.
🚨 Cảnh báo về Quản trị vận hành:
Hệ thống chiaseyhoc.vn khuyến cáo các cơ sở y tế cần thiết lập Nhật ký truy cập (System Audit Log). Mọi hành vi nhân viên y tế truy cập vào dữ liệu bệnh nhân mà không có lý do chuyên môn chính đáng phải được ghi nhận là vi phạm chính sách bảo vệ dữ liệu nội bộ.
CẢNH BÁO RỦI RO PHÁP LÝ & HÌNH SỰ HÓA
Theo Luật Bảo vệ dữ liệu cá nhân 2025, các cơ sở y tế cần đặc biệt lưu ý các quy định nghiêm ngặt để tránh các rủi ro pháp lý cao nhất, bao gồm cả trách nhiệm hình sự:
1. Nguy cơ Hình sự hóa (Bộ luật Hình sự & Luật An ninh mạng)
- Tội xâm phạm bí mật đời tư: Việc để lộ thông tin bệnh án, tình trạng sức khỏe mà không có sự đồng ý của bệnh nhân hoặc không đúng quy trình pháp luật có thể bị truy cứu trách nhiệm hình sự theo Điều 159 hoặc Điều 288 Bộ luật Hình sự (về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông).
- Hành vi mua bán dữ liệu: Luật 2025 nghiêm cấm tuyệt đối việc mua bán, trao đổi dữ liệu bệnh nhân cho các bên thứ ba (như công ty bảo hiểm, dược phẩm) khi chưa có sự đồng ý rõ ràng. Hành vi này hiện được giám sát chặt chẽ bởi Cục A05.
2. Đình chỉ hoạt động và Phạt hành chính
- Yêu cầu ngừng xử lý dữ liệu: Cơ quan chức năng có quyền yêu cầu cơ sở y tế ngừng hoạt động các hệ thống thông tin (HIS/EMR/Odoo) nếu phát hiện không có Hồ sơ Đánh giá tác động (DPIA) hoặc hệ thống bảo mật không đạt chuẩn.
- Mức phạt tài chính: Mức phạt đối với hành vi vi phạm về dữ liệu cá nhân nhạy cảm trong lĩnh vực y tế dự kiến tăng cao, có thể lên tới 5% doanh thu của đơn vị (theo lộ trình chuẩn hóa quốc tế).
3. Trách nhiệm của Người đứng đầu (CEO/Giám đốc Bệnh viện)
Luật mới quy định rõ trách nhiệm trực tiếp của người đại diện pháp luật nếu cơ sở y tế để xảy ra sự cố dữ liệu quy mô lớn mà không chứng minh được đã thực hiện đầy đủ các bước tuân thủ định kỳ.
CHI CHIA SẺ Y HỌC VIỆT NAM (chiaseyhoc.vn)
Đồng hành cùng bệnh viện & phòng khám trong kỷ nguyên số.
Chịu trách nhiệm nội dung: Bs. Hà Ngọc Cường