LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN CHÍNH THỨC CÓ HIỆU LỰC – CAM KẾT CỦA BỆNH VIỆN NGUYỄN TRI PHƯƠNG TRONG KỶ NGUYÊN SỐ

Trong bối cảnh chuyển đổi số y tế đang diễn ra mạnh mẽ, dữ liệu cá nhân – đặc biệt là dữ liệu sức khỏe – đã trở thành một tài sản vô giá nhưng cũng đầy nhạy cảm. Ngày 01/01/2026 đánh dấu một cột mốc lịch sử của pháp luật Việt Nam: Luật Bảo vệ dữ liệu cá nhân (Số 91/2025/QH15) chính thức có hiệu lực thi hành.

Đây không chỉ là một văn bản pháp lý thuần túy, mà là "tấm lá chắn" vững chắc bảo vệ quyền riêng tư của mỗi cá nhân trên không gian mạng. Đối với một cơ sở y tế hạng I như Bệnh viện Nguyễn Tri Phương, việc thực thi Luật này không chỉ là trách nhiệm pháp lý mà còn là đạo đức nghề nghiệp cốt lõi.

I. TỔNG QUAN VỀ LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025

Sự ra đời của Luật Bảo vệ dữ liệu cá nhân là kết quả của quá trình nỗ lực không ngừng của Chính phủ và Bộ Công an nhằm hoàn thiện hành lang pháp lý trong thời đại công nghiệp 4.0. Trước đây, các quy định về quyền riêng tư nằm rải rác ở nhiều văn bản khác nhau, gây khó khăn trong việc áp dụng và xử lý vi phạm.

1. Tại sao Luật này lại cấp thiết?

Sự gia tăng của các hành vi mua bán dữ liệu trái phép, lừa đảo công nghệ cao và rò rỉ thông tin cá nhân đã đặt ra yêu cầu cấp bách về một đạo luật riêng biệt. Luật Bảo vệ dữ liệu cá nhân 2025 xác lập quyền của cá nhân đối với thông tin của chính mình là một quyền độc lập, được hiến định và bảo hộ nghiêm ngặt.

2. Đối tượng và Phạm vi tác động

Luật áp dụng cho tất cả các cơ quan, tổ chức, cá nhân tham gia vào hoạt động xử lý dữ liệu tại Việt Nam. Đặc biệt, Luật có tính chất xuyên biên giới, áp dụng cả với các tổ chức nước ngoài cung cấp dịch vụ cho người dân Việt Nam, đảm bảo dữ liệu của công dân luôn được bảo vệ dù nằm ở bất kỳ đâu trên hạ tầng số toàn cầu.

II. DỮ LIỆU Y TẾ: NHÓM DỮ LIỆU CÁ NHÂN "NHẠY CẢM" ĐƯỢC BẢO VỆ ĐẶC BIỆT

Theo quy định của Luật mới, dữ liệu cá nhân được chia làm hai loại: Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm. Trong đó, dữ liệu về sức khỏe và đời tư thuộc nhóm nhạy cảm, đòi hỏi quy trình bảo mật khắt khe hơn nhiều lần.

Tại Bệnh viện Nguyễn Tri Phương, chúng tôi quản lý một khối lượng khổng lồ dữ liệu nhạy cảm bao gồm:

• Hồ sơ bệnh án điện tử (EMR): Chẩn đoán, kết quả xét nghiệm, đơn thuốc, lịch sử điều trị.

• Dữ liệu di truyền và trắc học: Thông tin đặc điểm cá nhân đặc trưng.

• Thông tin bảo hiểm y tế và tài chính: Mã số thẻ BHYT, thông tin giao dịch thanh toán viện phí.

Luật quy định rằng việc xử lý các loại dữ liệu này phải được sự đồng ý của chủ thể dữ liệu (bệnh nhân hoặc người giám hộ) và phải có biện pháp bảo vệ kỹ thuật tối tân nhất để ngăn chặn việc truy cập trái phép.

III. 11 QUYỀN CỦA BỆNH NHÂN ĐỐI VỚI DỮ LIỆU CÁ NHÂN

Kể từ ngày 01/01/2026, khi đến thăm khám tại Bệnh viện Nguyễn Tri Phương, Quý bệnh nhân hoàn toàn có quyền chủ động đối với thông tin của mình thông qua 11 quyền cơ bản:

1. Quyền được biết: Được thông báo về hoạt động xử lý dữ liệu cá nhân của mình.

2. Quyền đồng ý: Được tự nguyện quyết định cho phép hoặc không cho phép xử lý dữ liệu.

3. Quyền truy cập: Được xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân.

4. Quyền rút lại sự đồng ý: Có quyền yêu cầu bệnh viện ngừng xử lý dữ liệu đã đồng ý trước đó.

5. Quyền xóa dữ liệu: Yêu cầu xóa bỏ thông tin trong các trường hợp pháp luật cho phép.

6. Quyền hạn chế xử lý dữ liệu: Yêu cầu giới hạn phạm vi sử dụng thông tin.

7. Quyền cung cấp dữ liệu: Yêu cầu cung cấp dữ liệu của chính mình cho bản thân.

8. Quyền phản đối xử lý dữ liệu: Ngăn chặn việc sử dụng dữ liệu cho mục đích tiếp thị hoặc quảng cáo không mong muốn.

9. Quyền khiếu nại, tố cáo: Khi có căn cứ cho rằng dữ liệu bị xâm phạm.

10. Quyền yêu cầu bồi thường thiệt hại: Nếu hành vi vi phạm gây tổn thất thực tế.

11. Quyền tự bảo vệ: Sử dụng các biện pháp pháp lý để bảo vệ quyền lợi của mình.

IV. TRÁCH NHIỆM VÀ HÀNH ĐỘNG CỦA BỆNH VIỆN NGUYỄN TRI PHƯƠNG

Nhận thức rõ tầm quan trọng của Luật mới, Ban Giám đốc Bệnh viện Nguyễn Tri Phương đã chủ động triển khai kế hoạch hành động toàn diện để đảm bảo tuân thủ 100% quy định pháp luật:

1. Nâng cấp hạ tầng bảo mật thông tin

Bệnh viện đầu tư mạnh mẽ vào hệ thống tường lửa (Firewall), mã hóa dữ liệu đầu cuối và các giải pháp phòng chống mã độc. Hệ thống máy chủ lưu trữ hồ sơ bệnh án được đặt trong môi trường an toàn tuyệt đối, phân quyền truy cập nghiêm ngặt cho từng vị trí chuyên môn.

2. Thiết lập quy trình xử lý dữ liệu chuẩn hóa

Mọi quy trình từ tiếp đón, thăm khám đến lưu trữ và chuyển giao dữ liệu y tế đều được rà soát lại. Chúng tôi cam kết:

• Nguyên tắc tối thiểu: Chỉ thu thập những dữ liệu thực sự cần thiết cho công tác chuyên môn.

• Minh bạch: Thông báo rõ ràng mục đích sử dụng dữ liệu thông qua các phiếu đồng ý xử lý dữ liệu cá nhân.

3. Đào tạo nhân sự và bổ nhiệm Cán bộ bảo vệ dữ liệu (DPO)

Bệnh viện tổ chức các lớp tập huấn định kỳ cho toàn bộ y bác sĩ và nhân viên hành chính về ý thức bảo mật thông tin. Đồng thời, bệnh viện thiết lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân để giám sát thực thi luật và tiếp nhận phản hồi từ bệnh nhân.

4. Kiểm soát chặt chẽ đối tác thứ ba

Tất cả các hợp đồng với nhà cung cấp phần mềm, đơn vị bảo hiểm hay đối tác liên kết đều có điều khoản ràng buộc chặt chẽ về bảo mật dữ liệu theo quy định của Luật số 91/2025/QH15.

V. NHỮNG HÀNH VI BỊ NGHIÊM CẤM VÀ MỨC XỬ PHẠT

Luật Bảo vệ dữ liệu cá nhân 2025 đưa ra những chế tài cực kỳ nghiêm khắc để răn đe các hành vi vi phạm:

• Nghiêm cấm mua bán dữ liệu: Hành vi mua bán danh sách bệnh nhân, số điện thoại hay thông tin bệnh lý dưới mọi hình thức sẽ bị truy cứu trách nhiệm hình sự hoặc xử phạt hành chính mức cao nhất.

• Xử phạt dựa trên doanh thu: Các tổ chức để xảy ra rò rỉ dữ liệu do thiếu trách nhiệm có thể bị phạt tới 5% tổng doanh thu năm liền kề – một con số mang tính cảnh báo rất lớn cho các doanh nghiệp và tổ chức.

• Công khai vi phạm: Các đơn vị vi phạm sẽ bị nêu tên trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, gây ảnh hưởng trực tiếp đến uy tín và thương hiệu.