(KTSG) - Ngành y tế Việt Nam, đặc biệt là các bệnh viện sẽ gặp nhiều khó khăn trong việc tuân thủ các quy định mới của luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN) có hiệu lực từ 1-1-2026.
Sự lúng túng này không chỉ xuất phát từ sự chuyển dịch từ hệ thống quản lý truyền thống sang mô hình số hóa, nơi dữ liệu dễ bị lộ, lọt hoặc lạm dụng mà còn từ bản chất quan trọng của loại dữ liệu mà bệnh viện đang thu thập, nắm giữ.
- Quản lý thuế cá nhân kinh doanh cần đơn giản và dựa trên dữ liệu
- Bảo vệ dữ liệu cá nhân – ngành khảo sát thị trường ứng phó ra sao?
Một trong những thách thức lớn nhất mà các bệnh viện gặp phải là việc xác định và xử lý dữ liệu cá nhân nhạy cảm theo Luật BVDLCN. Luật phân loại dữ liệu cá nhân thành hai nhóm, gồm cơ bản và nhạy cảm.
Dữ liệu cơ bản gồm thông tin nhân thân phổ biến như họ tên, ngày sinh, địa chỉ, số điện thoại, những thông tin thường được sử dụng trong đăng ký khám chữa bệnh. Dữ liệu nhạy cảm là những thông tin gắn liền với quyền riêng tư, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền lợi hợp pháp của cá nhân, cơ quan hoặc tổ chức. Theo Dự thảo Nghị định hướng dẫn Luật BVDLCN (Dự thảo Nghi định) thì hầu hết dữ liệu của bệnh nhân rơi vào loại dữ liệu nhạy cảm, từ tình trạng sức khỏe, dữ liệu sinh trắc học, đặc điểm di truyền, dữ liệu về đời sống tình dục hoặc xu hướng tình dục một loại thông tin có thể xuất hiện trong tư vấn tâm lý hoặc bệnh lý liên quan, và thậm chí vị trí địa lý bệnh nhân thông qua ứng dụng di động.
Lúng túng trong việc thu thập và lưu trữ
Việc thu thập dữ liệu nhạy cảm đòi hỏi sự đồng ý rõ ràng từ bệnh nhân, chủ thể của dữ liệu. Cụ thể theo điều 6 Dự thảo Nghị định, đồng ý phải được thể hiện bằng văn bản, giọng nói, tin nhắn, e-mail hoặc qua nền tảng số với cơ chế kiểm chứng, chứng minh. Bệnh viện cũng không được thiết lập mặc định đồng ý hoặc tạo sự mơ hồ gây hiểu lầm và phải thông báo rõ ràng rằng đây là loại dữ liệu đặc biệt khi thu thập dữ liệu nhạy cảm, còn bệnh nhân có quyền rút lại “đồng ý” bất kỳ lúc nào.
Tuy nhiên, nhiều bệnh viện hiện nay vẫn thu thập dữ liệu theo cách truyền thống: bệnh nhân ký, đánh dấu vào biểu mẫu đăng ký mà không hiểu rõ dữ liệu nào đang được thu thập và mục đích sử dụng. Như khi bệnh nhân cung cấp kết quả xét nghiệm gen để chẩn đoán bệnh di truyền, bệnh viện phải giải thích rõ ràng rằng đây là dữ liệu nhạy cảm và chỉ sử dụng cho mục đích điều trị, không được chia sẻ mà không có sự cho phép.
Lúng túng càng tăng khi lưu trữ dữ liệu. Luật yêu cầu bệnh viện thực hiện đánh giá tác động xử lý dữ liệu cá nhân (DPIA) một lần cho toàn bộ hoạt động, cập nhật định kỳ sáu tháng hoặc ngay lập tức nếu có thay đổi. DPIA phải bao gồm phân tích rủi ro, biện pháp bảo mật như mã hóa, ẩn danh hóa dữ liệu, và phân quyền truy cập. Đối với dữ liệu nhạy cảm, Dự thảo Nghị định nhấn mạnh cần biện pháp bảo mật vật lý cho thiết bị lưu trữ an toàn và kỹ thuật như mã hóa dữ liệu truyền tải. Bệnh viện phải chỉ định bộ phận hoặc nhân viên chuyên trách bảo vệ dữ liệu, với yêu cầu trình độ đại học và ít nhất hai năm kinh nghiệm, hoặc thuê dịch vụ bên ngoài.
Thực tế, nhiều bệnh viện công lập tại Việt Nam vẫn sử dụng hệ thống lưu trữ giấy tờ hoặc phần mềm cũ, thiếu tích hợp và kém bảo mật. Một khảo sát của Bộ Y tế năm 2024 cho thấy chỉ 40% số bệnh viện lớn có hệ thống quản lý dữ liệu số hóa đầy đủ, trong khi các bệnh viện nhỏ gặp khó khăn về ngân sách và nhân lực(1).
Hơn nữa, đối với bệnh nhân thuộc nhóm dễ tổn thương như trẻ em dưới 7 tuổi, người mất năng lực hành vi dân sự, luật yêu cầu đồng ý từ người đại diện hợp pháp. Điều này làm phức tạp hóa quy trình thu thập, đặc biệt trong trường hợp khẩn cấp, nơi bệnh viện phải cân bằng giữa cứu chữa và tuân thủ pháp luật.
Lúng túng trong chuyển dữ liệu cho các bên liên quan
Chuyển giao dữ liệu cá nhân là một quy trình phức tạp, và các bệnh viện Việt Nam đang lúng túng khi phải tuân thủ điều 17 Luật BVDLCN 2025. Luật quy định chuyển giao chỉ được thực hiện khi có sự đồng ý của chủ thể hoặc trong các trường hợp pháp luật cho phép, với yêu cầu đánh giá tác động chuyển dữ liệu cho bên thứ ba hoặc chuyển dữ liệu xuyên biên giới.
Trong y tế, chuyển dữ liệu thường xảy ra trong các tình huống như chuyển viện (từ tuyến dưới lên tuyến trên), chuyển tuyến (giữa các tỉnh thành), hoặc chia sẻ với đối tác như công ty bảo hiểm y tế, bảo hiểm sức khỏe, bảo hiểm nhân thọ. Theo Dự thảo Nghị định, chuyển giao phải có thỏa thuận văn bản rõ ràng, nêu mục đích, loại dữ liệu, thời hạn xử lý, và trách nhiệm bảo vệ. Đối với dữ liệu nhạy cảm như tình trạng sức khỏe, phải áp dụng mã hóa và ẩn danh hóa để giảm rủi ro lộ lọt.
Lúng túng đầu tiên trong việc chuyển dữ liệu là xác định khi nào cần đồng ý. Như khi chuyển bệnh nhân từ Bệnh viện đa khoa tỉnh sang Bệnh viện Chợ Rẫy (TPHCM), dữ liệu phải được chia sẻ để đảm bảo tiếp tục xử lý ca bệnh. Luật BVLDCN cho phép chuyển mà không cần đồng ý nếu “thực hiện thỏa thuận của chủ thể dữ liệu với cơ quan liên quan theo pháp luật” hoặc “trong trường hợp khẩn cấp”, nhưng bệnh viện phải chứng minh đây là trường hợp cần thiết. Tuy nhiên, nhiều bệnh viện hiện nay chưa có cơ chế ghi nhận đồng ý sau thời gian khẩn cấp khi bệnh nhân qua thời gian cấp cứu khẩn cấp, dẫn đến khả năng xảy ra rủi ro tranh chấp với bệnh nhân.
Với đối tác bảo hiểm, tình hình còn phức tạp hơn. Công ty bảo hiểm thường yêu cầu dữ liệu bệnh án để thanh toán tiền bảo hiểm hoặc đánh giá rủi ro, lịch sử bệnh của người tham gia bảo hiểm. Theo quy định việc chuyển giao cho bên thứ ba phải có thỏa thuận chuyển giao dữ liệu cá nhân và DPIA, nêu rõ bên nhận không được sử dụng dữ liệu cho mục đích khác, cũng như mục đích chuyển giao phù hợp với ngành nghề bên nhận chuyển giao.
Trên thực tế, các bệnh viện thường chia sẻ dữ liệu qua bản giấy, e-mail hoặc hệ thống không an toàn, thiếu đánh giá rủi ro của việc lộ, lọt dữ liệu bệnh nhân ra bên ngoài. Trong năm 2023, sự việc lộ dữ liệu cá nhân của nhiều sản phụ tại bệnh viện Từ Dũ cho bên thứ ba cung cấp các dịch vụ sau sinh(2) hay việc một bác sĩ tại TPHCM bị xử phạt vi phạm hành chính vì để lộ toàn bộ bệnh án của bệnh nhân lên trên mạng cho thấy tính phức tạp chuyển và làm lộ dữ liệu bệnh nhân ra ngoài từ bệnh viện(3).
Hoang mang trong việc được miễn trừ sử dụng dữ liệu cá nhân của bệnh nhân
Điều 19 Luật BVDLCN 2025 quy định một số trường hợp ngoại lệ của việc xử lý dữ liệu cá nhân của mà không cần có sự đồng ý của chủ thể dữ liệu. Trong đó, có các trường hợp mà bệnh viện hoàn toàn có thể xem xét để tiến hành các hoạt động thu thập, xử lý và chuyển dữ liệu mà không cần phải có sự đồng ý của người bệnh.
Đầu tiên, trường hợp để bảo vệ tính mạng, sức khỏe trong trường hợp cấp bách.
Trong trường hợp cấp bách vì tính mạng và sức khỏe của người bệnh, bệnh viện hoàn toàn có thể không cần phải xin sự đồng ý của bệnh nhân. Như trường hợp chuyển tuyến để cấp cứu, bệnh viện không cần phải được sự đồng ý của bệnh nhân để thu thập và chuyển cho bệnh viện khác. Tuy nhiên, bệnh viện phải lưu ý phải chứng minh được đây là trường hợp cấp bách để chữa bệnh và cứu người. Vì nếu không, có khả năng bệnh viện bị khiếu kiện bởi người bệnh nếu không lưu giữ hoặc chứng minh được sự cấp bách này.
Thứ hai, thực hiện thỏa thuận của bệnh nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật.
Đây là trường hợp mà bệnh viện hoàn toàn có thể áp dụng để chuyển dữ liệu người bệnh cho bên bảo hiểm sức khỏe, bảo hiểm nhân thọ để thực hiện hợp đồng mà người bệnh đã ký kết với các cơ quan, tổ chức này. Lúc này, bệnh viện không cần phải có sự đồng ý trước của người bệnh để chuyển dữ liệu. Tuy nhiên trong các trường hợp này, cơ quan có thẩm quyền yêu cầu bệnh viện phải thiết lập các cơ chế giám sát, bảo vệ dữ liệu để tránh lộ, lọt các thông tin nhạy cảm của bệnh nhân ra bên ngoài.
Thứ ba, là các trường hợp khác theo quy định của pháp luật chuyên ngành.
Các trường hợp khác này khá rộng, có thể là các trường hợp trong nghiên cứu khóa, trong đào tạo y khoa. Tuy nhiên, việc chuyển dữ liệu này bắt buộc các luật chuyên ngành có quy định cụ thể là một trường hợp ngoại lệ khác và được miễn trừ trong việc lấy sự đồng ý của bệnh nhân trong quá trình xử lý và chuyển dữ liệu cho bên khác.
Luật BVDLCN 2025 bảo vệ quyền lợi chính đáng của người bệnh nhưng cũng đặt ra nhiều lúng túng cho cơ sở y tế. Để vượt qua các thách thức ban đầu này, chúng tôi cho rằng bệnh viện cần triển khai các kế hoạch cụ thể từ việc rà soát việc thu thập, lưu trữ, xử lý và chuyển dữ liệu cho bên thứ ba. Việc tìm hiểu và tham vấn các chuyên gia am hiểu pháp luật và kỹ thuật trong bối cảnh này cũng hết sức cần thiết để giảm thiểu các rủi ro lộ, lọt thông tin cũng như bị khiếu, kiện bởi bệnh nhân trong thời gian tới.
(*) Công ty Luật TNHH HM&P
(1) https://vnexpress.net/ca-nuoc-chi-70-benh-vien-dung-benh-an-dien-tu-4732748.html, truy cập 26-10-2025.
(2) https://laodong.vn/ban-doc/san-phu-benh-vien-tu-du-bi-lo-thong-tin-ca-nhan-ai-de-lo-1084548.ldo, truy cập ngày 26-10-2025.
(3) https://plo.vn/tu-vu-bac-si-bi-phat-vi-lo-thong-tin-benh-nhan-viec-bao-mat-thong-tin-duoc-quy-dinh-ra-sao-post736125.html, truy cập ngày 26-10-2025.
