Nỗi lo dữ liệu y tế bị xâm phạm

Nỗi lo dữ liệu y tế bị xâm phạm

Minh Huy

Ông Micky Tripathi là một trong số ngày càng nhiều nạn nhân của nạn đánh cắp dữ liệu y tế.

(TBVTSG) - Quản lý dữ liệu y tế bằng các giải pháp công nghệ thực sự là một cuộc cách mạng cho các bệnh viện ngày nay, giúp quản lý bệnh án theo hệ thống từ đó hỗ trợ các bác sĩ trong việc theo dõi, trao đổi, nghiên cứu cách điều trị hữu hiệu. Tuy nhiên, khoảng tối của cách quản lý dữ liệu hiện đại này chính là những quy định về trách nhiệm của người và tổ chức bảo vệ an toàn cho các dữ liệu đó. Câu chuyện của ông Micky Tripathi dưới đây là một bài học rất điển hình đối với những người quản lý bệnh viện, những tổ chức muốn áp dụng các phương thức quản lý y tế hiện đại cho bệnh viện của mình.

Một buổi chiều mùa xuân năm 2010, ông Micky Tripathi nhận được một cuộc gọi đầy hốt hoảng từ một nhân viên. Ai đó đã đột nhập vào xe ông và lấy đi chiếc cặp cùng với máy tính xách tay của công ty. Đó là sự khởi đầu của một cơn ác mộng mà ông đối mặt sau đó, khiến công ty phi lợi nhuận nhỏ của ông tốn gần 300.000 đô la Mỹ cho các chi phí pháp lý, điều tra, giám sát thẻ tín dụng và tư vấn truyền thông. Đó là chưa kể đến 600 giờ làm việc để khắc phục hậu quả và những nỗ lực cải thiện hình ảnh công ty sau vụ mất cắp.

Hậu quả không dự kiến

Công ty của ông Tripathi – Massachusetts eHealth Collaborative, có trụ sở ở thành phố Waltham, bang Massachusetts (Mỹ) – giúp số hóa hồ sơ bệnh nhân của các bác sĩ và bệnh viện. Máy tính xách tay bị đánh cắp của công ty ông lưu giữ hồ sơ không được mã hóa của khoảng 13.687 bệnh nhân. Mỗi hồ sơ này có những nội dung như tên bệnh nhân, số thẻ an sinh xã hội, ngày sinh, thông tin liên lạc và thông tin bảo hiểm. Đây thật sự là một mỏ vàng đối với bọn tội phạm trên mạng. 

Tình cảnh của ông Tripathi không còn là chuyện hiếm trong bối cảnh Chính phủ liên bang Mỹ đang khuyến khích việc ứng dụng hồ sơ y tế điện tử. Theo Trung tâm kiểm soát và phòng ngừa dịch bệnh, khoảng 57% bác sĩ phòng mạch sử dụng hồ sơ y tế điện tử trong năm 2011, tăng 12% so với năm trước đó. Một hậu quả không dự kiến là khi hồ sơ bệnh nhân được số hóa, thì số vụ xâm phạm dữ liệu y tế bắt đầu gia tăng. Viện Ponemon, một nhóm nghiên cứu bảo mật, cho biết số vụ xâm phạm được trình báo đã tăng 32% trong năm 2011, ước tính gây thiệt hại 6,5 tỉ đô la Mỹ. Trong gần phân nửa số vụ việc, một chiếc điện thoại hoặc máy tính cá nhân bị thất lạc hoặc mất cắp thường là nguyên nhân.

Trong một bài viết trên blog của mình, ông Tripathi nhắc lại vụ một nhân viên Bệnh viện đa khoa Massachusetts để quên hồ sơ lâm sàng chi tiết của 192 bệnh nhân trên tàu điện ngầm vài tháng trước đó. Bệnh viện này sau đó phải chi đến 1 triệu đô la Mỹ để dàn xếp vụ việc. Ông Tripathi nhận định: “Chúng tôi chỉ là một công ty phi lợi nhuận với 35 nhân viên nên khó có thể kham nổi số tiền như thế”.

Ngay khi vụ trộm xảy ra, ông Tripathi đã lập ngay một nhóm gồm các luật sư, khách hàng và chuyên gia bảo mật để xử lý vụ việc. Họ đã thuê một thám tử tư để tìm kiếm chiếc máy tính mất cắp tại các cửa hiệu cầm đồ địa phương và trên trang web rao vặt Craigslist. Điều khiến ông Tripathi đau đầu nhất là xác định được mức độ ảnh hưởng của vụ xâm phạm dữ liệu đối với bệnh nhân.

Nhiều rắc rối

Luật lệ liên bang yêu cầu các tổ chức y tế báo cáo cho Bộ Dịch vụ Y tế và Con người những vụ việc ảnh hưởng đến hơn 500 người. Văn phòng Quyền dân sự của bộ này đang công bố danh sách những vụ xâm phạm dữ liệu trên trang web của mình – hiện có 380 vụ, ảnh hưởng đến hơn 18 triệu người.

Bên cạnh đó, luật pháp chỉ yêu cầu tiết lộ những vụ việc “đe dọa gây ra những tổn hại về tài chính, danh tiếng hoặc những nguy cơ cho các cá nhân bị ảnh hưởng”. Nhóm nghiên cứu của ông Tripathi đã bỏ ra nhiều giờ liền xem xét bản sao lưu của số hồ sơ bị mất cắp và nhận thấy hầu hết dữ liệu không thuộc diện phải tiết lộ khi bị xâm phạm, chẳng hạn như 2.777 hồ sơ chỉ chứa tên bệnh nhân.

Những quy định về trách nhiệm càng khiến vấn đề thêm phức tạp. Trong con mắt của pháp luật, công ty phi lợi nhuận của ông Tripathi là một nhà thầu đại diện các nhà cung cấp dịch vụ y tế. Gánh nặng pháp lý của việc bảo vệ dữ liệu bệnh nhân thật sự đè lên vai những khách hàng của công ty: các bác sĩ và bệnh viện đã giao hồ sơ bệnh nhân cho công ty.

Ông Tripathi thu hẹp danh sách bệnh nhân có nguy cơ bị ăn cắp tính danh xuống còn 998 người rồi tìm cách thông báo cho họ về mối đe dọa này. Ngoài ra, công ty  còn cung cấp việc theo dõi tín dụng miễn phí. Sau đó, công ty đã tiêu hủy mọi dữ liệu của bệnh nhân trên thiết bị di động và tạm thời cấm nhân viên mang dữ liệu bệnh nhân ra khỏi văn phòng của các khách hàng. Nhân viên cũng được yêu cầu thông báo cho các nhà cung cấp dịch vụ y tế về việc họ sẽ cần truy xuất những dữ liệu nào và dự định làm gì với chúng. Ngoài ra, công ty ban hành chính sách yêu cầu tất cả hồ sơ bệnh nhân phải được mã hóa, dù vẫn chưa lựa chọn được nhà cung cấp dịch vụ mã hóa. Tất cả những gì ngăn cản bọn tội phạm xâm phạm dữ liệu bệnh nhân công ty chỉ là một vài mật khẩu.

Dù sao thì những thiệt hại mà công ty Massachusetts eHealth Collaborative gánh chịu có thể vẫn còn thấp nếu so với một số vụ việc tương tự khác. Vào tháng 10-2011, một máy tính để bàn chứa dữ liệu không mã hóa của hơn bốn triệu bệnh nhân bị đánh cắp tại Sutter Health, một hệ thống y tế phi lợi nhuận ở thành phố Sacramento. Vụ việc này đang là đối tượng của hai vụ kiện tập thể, mỗi vụ đòi mức bồi thường 1.000 đô la Mỹ cho mỗi hồ sơ bệnh nhân bị xâm phạm. Ông Tripathi nhận định: “Các vụ xâm phạm dữ liệu đang trở thành sự thách thức lớn khi ngày càng có nhiều bác sĩ và bệnh viện ứng dụng hồ sơ y tế điện tử. Chúng ta đang bước vào một thế giới mới đầy rủi ro”.

 (The New York Times)