Thông tin sức khỏe và dữ liệu bảo hiểm được bảo vệ như thế nào là một câu hỏi quan trọng, do đây là dữ liệu sức khỏe nhạy cảm cần được bảo mật hồ sơ bệnh án nghiêm ngặt. Tại DPVN, chúng tôi sẽ phân tích các quy định pháp luật và biện pháp bảo vệ, giúp các cơ sở y tế và doanh nghiệp kinh doanh bảo hiểm tuân thủ toàn diện.
Những quy định pháp luật nào về bảo vệ thông tin sức khỏe và dữ liệu bảo hiểm mà doanh nghiệp cần biết?
Khung pháp lý chính được quy định tại Nghị định 13/2023/NĐ-CP (xếp dữ liệu sức khỏe và thông tin khách hàng của tổ chức tín dụng vào nhóm dữ liệu nhạy cảm) và được làm rõ hơn tại Điều 26 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Ngoài ra, các quy định trong Luật Khám bệnh, chữa bệnh và Luật Kinh doanh bảo hiểm cũng đặt ra các nghĩa vụ bảo mật thông tin nghiêm ngặt.
Thông tin sức khỏe cá nhân và dữ liệu bảo hiểm được pháp luật xếp vào nhóm có mức độ rủi ro cao nhất và cần được bảo vệ đặc biệt. Lý do là vì việc rò rỉ các thông tin này có thể dẫn đến những hậu quả nghiêm trọng như bị phân biệt đối xử trong công việc, bị từ chối các dịch vụ tài chính, hoặc bị tổn hại sâu sắc về danh dự và tinh thần.
Về chuyên môn sâu, các tổ chức hoạt động trong lĩnh vực y tế và bảo hiểm phải tuân thủ một hệ thống quy định đa tầng:
- Nghị định 13/2023/NĐ-CP: Điểm b và h, Khoản 4, Điều 2 chính thức xác định “tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án” và “thông tin khách hàng của tổ chức tín dụng… các tổ chức được phép khác (bao gồm công ty bảo hiểm)” là dữ liệu cá nhân nhạy cảm.
- Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15: Dành riêng Điều 26 để quy định các nghĩa vụ đặc thù cho hai lĩnh vực này, cho thấy sự quan tâm đặc biệt của nhà làm luật.
- Luật chuyên ngành: Luật Khám bệnh, chữa bệnh (quy định về bí mật hồ sơ bệnh án) và Luật Kinh doanh bảo hiểm (quy định về nghĩa vụ bảo mật thông tin khách hàng của doanh nghiệp bảo hiểm).
Trách nhiệm của cơ sở y tế và công ty bảo hiểm trong việc bảo vệ thông tin sức khỏe và dữ liệu bảo hiểm là gì?
Với vai trò là Bên Kiểm soát Dữ liệu nhạy cảm, các cơ sở y tế và công ty bảo hiểm có trách nhiệm pháp lý ở mức độ cao nhất. Các trách nhiệm cốt lõi bao gồm: phải có được sự đồng ý tường minh của khách hàng, áp dụng các biện pháp bảo vệ nâng cao, chỉ định nhân sự phụ trách, và tuân thủ các quy định nghiêm ngặt về việc chia sẻ thông tin.
Do xử lý dữ liệu nhạy cảm, các tổ chức này phải tuân thủ tất cả các nghĩa vụ của một Bên Kiểm soát Dữ liệu và các nghĩa vụ tăng cường tại Điều 28 Nghị định 13.
Nghĩa vụ 1: Có được sự đồng ý tường minh (Explicit Consent)
Việc thu thập và xử lý dữ liệu sức khỏe, bảo hiểm bắt buộc phải có sự đồng ý của chủ thể dữ liệu cá nhân một cách rõ ràng và tự nguyện, trừ các trường hợp khẩn cấp để bảo vệ tính mạng. Sự đồng ý này phải được thu thập sau khi đã thông báo đầy đủ về mục đích xử lý.
Nghĩa vụ 2: Hạn chế chia sẻ thông tin
Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 tại Khoản 2, Điều 26 đặt ra một quy định rất nghiêm ngặt:
“Cơ quan, tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cung cấp dữ liệu cá nhân cho bên thứ ba là tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, bảo hiểm nhân thọ, trừ trường hợp có yêu cầu bằng văn bản của chủ thể dữ liệu cá nhân hoặc trường hợp quy định tại khoản 1 Điều 19 của Luật này.”
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Đây là một “bức tường lửa” pháp lý rất quan trọng. Nó ngăn chặn việc một bệnh viện tự ý bán hoặc chia sẻ dữ liệu bệnh nhân cho một công ty bảo hiểm để họ tiếp thị sản phẩm. Việc chia sẻ chỉ có thể diễn ra khi có yêu cầu trực tiếp, chủ động từ chính người bệnh. Điều này đặt ra thách thức cho các mô hình kinh doanh dựa trên hệ sinh thái đối tác, đòi hỏi họ phải xây dựng các luồng xin phép người dùng một cách cực kỳ minh bạch.”
Nghĩa vụ 3: Tuân thủ các quy định khác
- Lập Hồ sơ ĐGTĐ: Bắt buộc phải lập và nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
- Chỉ định nhân sự: Bắt buộc phải thành lập bộ phận bảo vệ dữ liệu cá nhân hoặc chỉ định nhân sự phụ trách.
Các biện pháp kỹ thuật và tổ chức nào được sử dụng để bảo vệ thông tin sức khỏe và dữ liệu bảo hiểm?
Doanh nghiệp phải áp dụng các biện pháp bảo vệ ở mức độ cao nhất. Về kỹ thuật, cần phải mã hóa mạnh hồ sơ bệnh án và dữ liệu tài chính, kiểm soát truy cập theo vai trò nghiêm ngặt, và có hệ thống ghi nhật ký (logging) chi tiết. Về tổ chức, cần có các chính sách bảo mật nội bộ rõ ràng và tổ chức đào tạo thường xuyên cho nhân viên y tế, nhân viên bảo hiểm.
Việc bảo vệ dữ liệu sức khỏe và bảo hiểm đòi hỏi một chiến lược phòng thủ theo chiều sâu.
| Biện pháp | Ví dụ triển khai thực tế |
|---|---|
| Mã hóa mạnh | Toàn bộ cơ sở dữ liệu hồ sơ bệnh án điện tử (EHR) và hệ thống quản lý hợp đồng bảo hiểm phải được mã hóa cả khi lưu trữ và khi truyền đi. |
| Kiểm soát Truy cập theo Vai trò (RBAC) | Một bác sĩ chỉ có thể xem hồ sơ của bệnh nhân mà mình đang điều trị. Một nhân viên kinh doanh bảo hiểm chỉ có thể xem thông tin liên lạc, không thể xem chi tiết hồ sơ bệnh án của khách hàng. |
| Ghi nhật ký và Giám sát | Hệ thống phải ghi lại mọi hành động truy cập, xem, sửa, xóa hồ sơ bệnh án hoặc hợp đồng bảo hiểm, kèm theo thông tin về người thực hiện và thời gian. |
| Đào tạo và Cam kết Bảo mật | Tất cả các y bác sĩ, nhân viên y tế, nhân viên tư vấn bảo hiểm đều phải được đào tạo về nghĩa vụ bảo mật và ký cam kết bảo mật thông tin (NDA). |
DPVN: Dịch Vụ Tư Vấn Tuân Thủ Chuyên Biệt Cho Ngành Y Tế và Bảo Hiểm
Việc tuân thủ các quy định bảo vệ dữ liệu trong lĩnh vực y tế và bảo hiểm là một nhiệm vụ phức tạp, đòi hỏi sự am hiểu sâu sắc về cả luật chuyên ngành và các tiêu chuẩn bảo mật.
Đội ngũ của DPVN, với sự dẫn dắt của Luật sư Nguyễn Lâm Sơn, có kinh nghiệm tư vấn cho các bệnh viện, phòng khám, công ty bảo hiểm và các startup HealthTech. Hãy liên hệ với chúng tôi để được hỗ trợ:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về bảo vệ thông tin sức khỏe và dữ liệu bảo hiểm
1. Quyền của người bệnh/người tham gia bảo hiểm trong việc bảo vệ thông tin là gì?
Họ có đầy đủ 11 quyền của chủ thể dữ liệu, bao gồm quyền được biết, quyền truy cập hồ sơ bệnh án/hợp đồng bảo hiểm của mình, quyền yêu cầu chỉnh sửa các thông tin sai lệch, và quyền yêu cầu xóa dữ liệu khi không còn cần thiết (tuân theo các quy định về lưu trữ bắt buộc).
2. Các hình thức xử phạt đối với hành vi vi phạm là gì?
Do đây là dữ liệu nhạy cảm, các vi phạm sẽ bị xử lý ở mức cao nhất. Theo Luật 91/2025/QH15, các mức phạt có thể lên tới 5% tổng doanh thu. Ngoài ra, các cá nhân liên quan có thể bị truy cứu trách nhiệm hình sự theo các tội danh liên quan đến bí mật đời tư hoặc vi phạm quy định về khám bệnh, chữa bệnh.
3. Bệnh viện có được chia sẻ hồ sơ bệnh án của tôi cho công ty bảo hiểm của tôi không?
Chỉ khi có yêu cầu bằng văn bản từ chính bạn. Theo quy định mới của Luật 2025, bệnh viện không được tự động chia sẻ. Khi làm thủ tục yêu cầu bồi thường bảo hiểm, bạn sẽ phải ký một văn bản ủy quyền, cho phép công ty bảo hiểm được quyền yêu cầu và tiếp nhận hồ sơ bệnh án từ bệnh viện.
4. Dữ liệu sức khỏe thu thập từ các ứng dụng fitness, đồng hồ thông minh được bảo vệ ra sao?
Mặc dù không phải là “hồ sơ bệnh án”, nhưng các dữ liệu này (nhịp tim, nồng độ oxy trong máu, chu kỳ giấc ngủ…) vẫn được xem là dữ liệu về tình trạng sức khỏe và là dữ liệu nhạy cảm. Các công ty cung cấp ứng dụng này phải tuân thủ đầy đủ các quy định về xử lý dữ liệu nhạy cảm.
5. Khi tái bảo hiểm, công ty bảo hiểm có được chuyển dữ liệu của tôi cho công ty tái bảo hiểm không?
Có, nhưng phải minh bạch. Khoản 4, Điều 26 Luật 91/2025/QH15 quy định rằng, trong trường hợp này, việc chuyển dữ liệu cho đối tác tái bảo hiểm cần được nêu rõ trong hợp đồng bảo hiểm ký với khách hàng.
Nguồn tham khảo:
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Khám bệnh, chữa bệnh 2023: https://thuvienphapluat.vn/van-ban/The-thao-Y-te/Luat-Kham-benh-chua-benh-2023-523270.aspx
- Luật Kinh doanh bảo hiểm 2022: https://thuvienphapluat.vn/van-ban/Bao-hiem/Luat-Kinh-doanh-bao-hiem-2022-491206.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn