CHÍNH SÁCH BẢO MẬT THÔNG TIN CÁ NHÂN VÀ BỆNH ÁN ĐIỆN TỬ

Cập nhật lần cuối: Ngày 03 tháng 6 năm 2025
Áp dụng cho website: https://hsvt.vn
Đơn vị quản lý: CÔNG TY TNHH MTV HY THANH HÓA
Mã số thuế: 2803159665
Địa chỉ trụ sở: 253 Lạc Long Quân, Phường Hạc Thành, Tỉnh Thanh Hóa, Việt Nam
Email liên hệ: dung@hsyt.vn

I. MỤC ĐÍCH VÀ PHẠM VI THU THẬP

Chính sách này quy định cách thức CÔNG TY TNHH MTV HY THANH HÓA (“Chúng tôi”, “Công ty”) thu thập, quản lý và bảo mật thông tin cá nhân, thông tin y tế và dữ liệu bệnh án điện tử (“Thông tin người bệnh”) của người dùng (“Bạn”) khi truy cập, đăng ký, hoặc sử dụng hệ thống hsvt.vn.

Mục tiêu là đảm bảo an toàn dữ liệu y tế cá nhân theo đúng quy định của Bộ Y tế Việt Nam và các chuẩn an ninh thông tin quốc gia.

II. CƠ SỞ PHÁP LÝ

Chính sách này tuân thủ theo:

Luật Khám bệnh, chữa bệnh số 15/2023/QH15 (hiệu lực từ 01/01/2024) – Chương VIII: Bảo mật thông tin người bệnh.
Thông tư 46/2018/TT-BYT về hồ sơ bệnh án điện tử.
Thông tư 54/2017/TT-BYT và 48/2017/TT-BYT về tiêu chuẩn dữ liệu HL7, lưu trữ, mã hóa thông tin y tế.
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
Luật An toàn thông tin mạng 2015 và các văn bản hướng dẫn liên quan.

III. PHẠM VI THÔNG TIN THU THẬP

1. Dữ liệu cá nhân cơ bản

Họ tên, ngày sinh, giới tính, số CCCD, địa chỉ liên hệ, số điện thoại, email.
Thông tin đăng nhập, tài khoản truy cập hệ thống hsvt.vn.

2. Dữ liệu y tế / bệnh án điện tử

Thông tin tiếp đón, khám bệnh, chẩn đoán, chỉ định cận lâm sàng.
Kết quả xét nghiệm, chẩn đoán hình ảnh, đơn thuốc, dịch vụ kỹ thuật.
Quá trình điều trị, xuất viện, chuyển viện, hoặc hồ sơ tái khám.
Dữ liệu hình ảnh, tài liệu, file ký số điện tử (XML01, XML02, XML03, XML04…).
Dữ liệu đồng bộ lên Cổng giám định BHYT, Cổng bệnh án điện tử Bộ Y tế (nếu áp dụng).

3. Dữ liệu hệ thống

Lịch sử truy cập, nhật ký thao tác, địa chỉ IP, thiết bị, trình duyệt, cookie, thời gian đăng nhập – phục vụ mục đích kiểm tra, giám sát an ninh hệ thống.

IV. MỤC ĐÍCH SỬ DỤNG THÔNG TIN

Thông tin thu thập được sử dụng nhằm:

Quản lý hồ sơ bệnh án, quá trình khám – điều trị – thanh toán BHYT.
Cung cấp và vận hành hệ thống Bệnh án điện tử, đảm bảo tính toàn vẹn dữ liệu.
Tra cứu, thống kê, phân tích chuyên môn phục vụ quản lý y tế.
Liên hệ, chăm sóc, nhắc lịch tái khám (khi người bệnh đồng ý).
Chia sẻ dữ liệu theo chuẩn HL7/FHIR đến các hệ thống HIS, LIS, PACS, BHXH, hoặc cơ quan quản lý y tế theo quy định.
Đảm bảo tuân thủ quy định pháp luật về lưu trữ, ký số và bảo mật bệnh án.

V. NGUYÊN TẮC BẢO MẬT DỮ LIỆU Y TẾ

Theo Điều 59–62 Luật Khám bệnh, chữa bệnh 2023, chúng tôi cam kết:

Không tiết lộ thông tin người bệnh cho bên thứ ba nếu chưa có sự đồng ý của người bệnh hoặc người đại diện hợp pháp, trừ trường hợp:
- Cung cấp cho cơ quan nhà nước có thẩm quyền theo quy định pháp luật;
- Phục vụ cấp cứu, dịch tễ học, nghiên cứu khoa học y học đã được ẩn danh;
- Bảo vệ tính mạng, sức khỏe cộng đồng khi có nguy cơ dịch bệnh.
Dữ liệu bệnh án điện tử được lưu trữ dưới dạng số hóa, có chữ ký số hợp lệ của bác sĩ, cơ sở y tế và tuân thủ tiêu chuẩn XML 130/BYT-BHXH, HL7/FHIR.
Mọi truy cập, xem, sửa, in bệnh án đều được ghi log, định danh người thao tác, bảo đảm truy xuất nguồn gốc.
Thông tin y tế cá nhân được mã hóa, sao lưu định kỳ, và bảo vệ bằng cơ chế xác thực 2 lớp.
Cán bộ, nhân viên y tế và kỹ thuật viên được phân quyền truy cập theo vai trò (RBAC) để tránh lộ lọt dữ liệu.

VI. THỜI GIAN LƯU TRỮ VÀ HỦY DỮ LIỆU

Bệnh án điện tử được lưu trữ ít nhất 10 năm kể từ ngày kết thúc điều trị (theo Điều 38 Thông tư 46/2018/TT-BYT).
Sau thời hạn này, dữ liệu có thể được hủy hoặc lưu trữ tiếp tục nếu phục vụ mục đích nghiên cứu, thống kê, hoặc theo quy định cơ quan quản lý.
Việc hủy dữ liệu được thực hiện bằng phương pháp xóa vĩnh viễn, không thể khôi phục.

VII. QUYỀN VÀ NGHĨA VỤ CỦA NGƯỜI BỆNH

Người bệnh có quyền:

Tra cứu, xem và in bản sao bệnh án điện tử của chính mình.
Yêu cầu chỉnh sửa thông tin sai sót, yêu cầu cung cấp hoặc giới hạn chia sẻ thông tin.
Khiếu nại, tố cáo nếu phát hiện vi phạm quyền bảo mật thông tin y tế.

Người bệnh có nghĩa vụ:

Cung cấp thông tin trung thực, chính xác khi đăng ký khám và sử dụng hệ thống.
Bảo mật tài khoản, mật khẩu cá nhân và chịu trách nhiệm về mọi truy cập bằng thông tin của mình.

VIII. CƠ CHẾ BẢO MẬT KỸ THUẬT

Áp dụng mã hóa dữ liệu AES-256 và chữ ký số SHA-256 theo tiêu chuẩn BYT.
Sử dụng chứng thư số hợp lệ do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tại Việt Nam.
Máy chủ đặt tại trung tâm dữ liệu đạt tiêu chuẩn TCVN ISO/IEC 27001:2019.
Sao lưu dữ liệu định kỳ, hệ thống được giám sát và cảnh báo an ninh 24/7.
Cơ chế đăng nhập xác thực OTP hoặc token phần cứng (nếu có).

IX. CHIA SẺ DỮ LIỆU Y TẾ

Chúng tôi chỉ chia sẻ dữ liệu với:

Cơ quan Bảo hiểm xã hội Việt Nam (qua Cổng giám định điện tử);
Cục CNTT – Bộ Y tế (qua hệ thống quản lý hồ sơ điện tử quốc gia, nếu được yêu cầu);
Đơn vị kỹ thuật được ủy quyền có ký hợp đồng bảo mật (NDA) rõ ràng;
Người bệnh hoặc đại diện hợp pháp khi có yêu cầu chính đáng bằng văn bản.

X. XỬ LÝ SỰ CỐ VÀ RÒ RỈ DỮ LIỆU

Khi phát hiện sự cố an ninh hoặc rò rỉ dữ liệu y tế:

Hệ thống sẽ kích hoạt quy trình khẩn cấp và cô lập vùng dữ liệu bị ảnh hưởng.
Báo cáo Cục An toàn thông tin và Bộ Y tế theo quy định trong vòng 72 giờ.
Thông báo cho người bệnh có dữ liệu bị ảnh hưởng (nếu cần).
Thực hiện khắc phục, vá lỗi, tăng cường biện pháp bảo mật.

XI. LIÊN HỆ VÀ KHIẾU NẠI

CÔNG TY TNHH MTV HY THANH HÓA
📍 Địa chỉ: 253 Lạc Long Quân, Phường Hạc Thành, Tỉnh Thanh Hóa, Việt Nam
🧾 Mã số thuế: 2803159665
📧 Email tiếp nhận: dung@hsyt.vn
🌐 Website: https://hsvt.vn

Chúng tôi sẽ phản hồi khiếu nại trong vòng 07 ngày làm việc kể từ ngày nhận yêu cầu hợp lệ.

XII. THAY ĐỔI CHÍNH SÁCH BẢO MẬT

Chính sách này có thể được điều chỉnh theo quy định pháp luật hoặc hướng dẫn mới của Bộ Y tế.
Khi có thay đổi, thông tin cập nhật sẽ được đăng công khai trên website hsvt.vn và ghi rõ ngày hiệu lực.

Hồ Sơ Y Tế Điện Tử