1. Quy định về bảo đảm bí mật thông tin hồ sơ bệnh án của người bệnh trong hoạt động khám, chữa bệnh
Trong quá trình hoạt động khám chữa bệnh (HĐKCB), cơ sở khám chữa bệnh (CSKCB) đóng vai trò nhà cung cấp dịch vụ, trong khi người bệnh là bên sử dụng dịch vụ. Thông tin về người bệnh bao gồm toàn bộ dữ liệu trong hồ sơ bệnh án và các thông tin khác về đời tư mà người bệnh đã cung cấp cho CSKCB trong quá trình khám và chữa bệnh. Nghĩa vụ bảo mật thông tin người bệnh phát sinh từ quyền riêng tư của họ, cũng như từ trách nhiệm trong hợp đồng cung ứng dịch vụ khám chữa bệnh và trách nhiệm chuyên môn trong nghiệp vụ của CSKCB.
Khoản 2 Điều 10 của Luật Khám bệnh, chữa bệnh năm 2023 quy định rằng người bệnh phải duy trì bí mật thông tin trong hồ sơ bệnh án và thông tin khác về đời tư mà người bệnh đã cung cấp cho người hành nghề trong quá trình khám bệnh, chữa bệnh, trừ khi người bệnh đồng ý chia sẻ thông tin theo quy định của pháp luật hoặc trong các trường hợp quy định tại khoản 3 và khoản 4 của Điều 69 trong Luật này. Điều 3 của Điều 33 trong Luật Phòng, chống bệnh truyền nhiễm năm 2007 cũng đặt ra nghĩa vụ cho các cơ sở khám chữa bệnh (CSKCB) phải bảo vệ bí mật thông tin liên quan đến người bệnh.
Với hồ sơ bệnh án điện tử, CSKCB cũng có trách nhiệm tương tự, như được quy định trong Điều 10 của Thông tư số 46/2018/TT-BYT ngày 28/12/2018 của Bộ Y tế. Theo đó:
- Truy cập và chia sẻ thông tin trong hồ sơ bệnh án điện tử phải tuân theo quy định tại Điều 7 của Thông tư này và các quy định khác của Bộ Y tế.
- Cơ sở khám bệnh, chữa bệnh phải thực hiện các biện pháp như kiểm soát truy cập, bảo vệ dữ liệu, và phòng ngừa thất thoát thông tin.
- Liên thông, trao đổi dữ liệu giữa các cơ sở phải được mã hóa để đảm bảo an toàn.
- Thông tin khám, chữa bệnh của người bệnh phải được mã hóa theo hướng dẫn của Bộ trưởng Bộ Y tế.
- Phần mềm hồ sơ bệnh án điện tử cần ghi vết mọi tương tác của người dùng.
- CSKCB cần phát hành Quy chế về bảo mật thông tin và quyền riêng tư của người bệnh.
Dựa trên pháp luật Việt Nam hiện hành, có thể thấy rằng các Cơ sở khám chữa bệnh (CSKCB) đều có trách nhiệm bảo đảm tính bí mật của thông tin liên quan đến tình trạng sức khỏe và đời tư, cho cả hồ sơ bệnh án giấy và hồ sơ bệnh án điện tử, không phân biệt giữa người bệnh không truyền nhiễm và người bệnh truyền nhiễm. Từ góc độ lý luận, có thể nhận thức được nghĩa vụ của CSKCB trong việc bảo mật thông tin của người bệnh, không chỉ trong quá trình hợp đồng mà còn trước và sau khi kết thúc mối quan hệ.
Đầu tiên, thông tin mà người bệnh cung cấp trước khi bắt đầu hợp đồng có thể tương đương với thông tin sau khi hợp đồng đã được thiết lập. Do đó, CSKCB phải đảm bảo bí mật cho những thông tin này.
Thứ hai, nguyên tắc tín thác và bảo mật nghề nghiệp áp đặt nghĩa vụ bảo mật mọi thông tin mà người bệnh cung cấp cho CSKCB trong bất kỳ giai đoạn nào của mối quan hệ giữa hai bên.
Thứ ba, sau khi chấm dứt mối quan hệ, CSKCB vẫn phải giữ bí mật về thông tin cá nhân, riêng tư của người bệnh, vì sự tiết lộ có thể gây hậu quả tiêu cực và thiệt hại cho người bệnh.
Thứ tư, thông tin bí mật của người bệnh cũng có thể liên quan đến mặt kinh tế, thương mại, và bất kỳ tiết lộ nào cũng có thể tác động đến hoạt động kinh doanh, sản xuất của người bệnh.
Tóm lại, nghĩa vụ bảo mật thông tin của CSKCB không có thời hạn xác định theo pháp luật, và nó được duy trì liên tục nếu không có quy định cụ thể về thời điểm chấm dứt trong pháp luật.
2. Những thách thức về bảo mật thông tin hồ sơ bệnh án trong thời buổi hiện nay
Bệnh án điện tử, theo định nghĩa của Tổ chức Y tế Thế giới, là một hồ sơ sức khỏe của bệnh nhân được cập nhật theo thời gian thực và sử dụng các công cụ hỗ trợ ra quyết định dựa trên bằng chứng y khoa. Bệnh án điện tử có khả năng tự động hóa các quy trình công việc của bác sĩ, đảm bảo thông tin lâm sàng và cận lâm sàng được quản lý một cách minh bạch. Nó cũng giúp trong việc thu thập dữ liệu để cải thiện chăm sóc sức khỏe, cũng như hỗ trợ trong các hoạt động như tính toán viện phí, quản lý chất lượng, và báo cáo kết quả điều trị cũng như thống kê bệnh viện.
Ở Việt Nam, hồ sơ bệnh án điện tử bao gồm hồ sơ bệnh án nội trú, ngoại trú và các loại hồ sơ khác theo quy định của Bộ Y tế. Mỗi bệnh nhân được gán một mã số quản lý duy nhất, và hồ sơ của họ được lưu trữ tại một cơ sở khám chữa bệnh duy nhất. Hồ sơ bệnh án điện tử phải đáp ứng các tiêu chuẩn như ghi chép đầy đủ thông tin tương tự như hồ sơ bệnh án giấy, và phải có chữ ký số của người nhập thông tin để đảm bảo tính chính xác.
Bảo mật và tính riêng tư của hồ sơ bệnh án điện tử là rất quan trọng. Các cơ sở y tế phải kiểm soát quyền truy cập thông tin bằng cách xác thực người dùng, phân quyền truy cập và thiết lập giới hạn thời gian truy cập. Sau khi bệnh nhân thăm khám, thông tin về cuộc khám cuối cùng và tình trạng sức khỏe sẽ được cập nhật vào hồ sơ bệnh án điện tử, tạo ra một kho dữ liệu về sức khỏe cá nhân có thể truy cập suốt đời.
Các nghiên cứu cho thấy, dữ liệu về chăm sóc sức khỏe có giá trị lớn hơn nhiều so với dữ liệu cá nhân khác. Điều này làm cho hệ thống y tế trở thành mục tiêu hấp dẫn cho các tên trộm thông tin. Có thông tin cho rằng, Mayou Clinic, một hệ thống chăm sóc sức khỏe lớn ở Mỹ, đã thuê hacker mũ trắng để kiểm tra hệ thống của họ và tìm lỗ hổng trước khi bị các hacker khác tấn công.
Cũng cần lưu ý rằng các sự cố bảo mật trước đây như vụ tấn công Ransomware - WannaCry vào tháng 3/2017 đã khởi nguồn từ các hệ thống y tế. Một ví dụ cụ thể là mạng lưới dịch vụ y tế quốc gia của Anh đã bị tê liệt vào tháng 5/2017 sau khi bị tấn công bởi WannaCry.
Như vậy, bảo mật thông tin và hồ sơ bệnh án điện tử là một vấn đề cực kỳ quan trọng trong ngành y tế, đòi hỏi sự cẩn trọng và đầu tư đúng mức từ các tổ chức và cơ sở y tế.
3. Giải pháp nâng cao khả năng bảo mật thông tin hồ sơ bệnh án trong thời đại mới
Do đó, mỗi bệnh nhân cần nhận thức về việc sử dụng mạng để truy cập hồ sơ bệnh án điện tử, tránh kết nối vào mạng miễn phí và thay đổi mật khẩu mặc định để tăng cường an toàn thông tin. Các bệnh viện cũng cần dành khoảng 10-15% tổng dự án đầu tư để đảm bảo an ninh thông tin. Ngoài việc trang bị hệ thống và phần mềm an ninh, sự nhận thức của đội ngũ y bác sĩ cũng cần được nâng cao khi sử dụng các hệ thống số hóa, đồng thời chú ý đến rủi ro lộ thông tin cao. Các cán bộ y tế cần được đào tạo đều đặn về nhận thức an ninh mạng.
Bên cạnh đó, các cơ sở khám bệnh và chữa bệnh cần phải xây dựng chính sách bảo mật thông tin và quyền riêng tư của bệnh nhân. Trong trường hợp sử dụng bệnh án điện tử, trách nhiệm lưu trữ thông tin cá nhân được coi là thuộc về bệnh viện, không phải bệnh nhân. Dù là hồ sơ bệnh án giấy hay điện tử, cả hai đều chỉ là phương pháp quản lý hồ sơ cá nhân và bảo mật thông tin khách hàng. Vì đây là thông tin đời tư, mọi hình thức chia sẻ thông tin cá nhân của bệnh nhân đều bị cấm.
Để thích ứng với xu hướng Cách mạng Công nghiệp 4.0, Việt Nam cần phát triển ngành đào tạo Công nghệ thông tin chuyên sâu trong lĩnh vực y tế. Điều này sẽ giúp giải quyết các vấn đề liên quan đến bảo mật dữ liệu y tế, quyền riêng tư, nguy cơ rò rỉ thông tin, và tiêu chuẩn kết nối và chia sẻ dữ liệu.
Luật Hòa Nhựt xin tiếp nhận yêu cầu tư vấn của quý khách hàng qua số hotline: 1900.868644 hoặc email: [email protected] Xin trân trọng cảm ơn!
