Bảo vệ dữ liệu cá nhân về thông tin sức khỏe và kinh doanh bảo hiểm

Bảo vệ dữ liệu cá nhân về thông tin sức khỏe và kinh doanh bảo hiểm là yêu cầu pháp lý bắt buộc, đòi hỏi doanh nghiệp phải có cơ chế xử lý dữ liệu minh bạch và an toàn. Đồng hành cùng DPO.VN, doanh nghiệp sẽ xây dựng được một quy trình tuân thủ toàn diện, bảo vệ quyền lợi khách hàng và nâng cao uy tín thương hiệu trong lĩnh vực bảo hiểm và y tế.

Tại sao bảo vệ dữ liệu sức khỏe và bảo hiểm là ưu tiên hàng đầu theo luật pháp Việt Nam?

Thông tin sức khỏe được xếp vào loại dữ liệu cá nhân nhạy cảm, đòi hỏi các biện pháp bảo vệ ở mức cao nhất để ngăn ngừa rủi ro xâm phạm quyền riêng tư và gây thiệt hại cho chủ thể dữ liệu.

Theo quy định tại Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP và Khoản 3 Điều 2 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án là dữ liệu cá nhân nhạy cảm. Đây là loại dữ liệu gắn liền với quyền riêng tư sâu sắc nhất của một cá nhân. Nếu bị xâm phạm, nó không chỉ gây ảnh hưởng đến danh dự, nhân phẩm mà còn có thể dẫn đến sự phân biệt đối xử trong công việc, xã hội và các hoạt động khác.

Đối với ngành bảo hiểm, việc khai thác thông tin sức khỏe là yếu tố cốt lõi để thẩm định rủi ro, định phí và giải quyết quyền lợi. Tuy nhiên, chính vì tính chất quan trọng này, pháp luật đặt ra các yêu cầu bảo mật nghiêm ngặt để cân bằng giữa lợi ích kinh doanh và quyền con người. Việc tuân thủ không chỉ là nghĩa vụ pháp lý mà còn là yếu tố then chốt xây dựng niềm tin của khách hàng – tài sản quý giá nhất của mọi doanh nghiệp bảo hiểm và cơ sở y tế.

Doanh nghiệp bảo hiểm và y tế cần đáp ứng những điều kiện pháp lý nào khi thu thập, sử dụng thông tin sức khỏe?

Doanh nghiệp phải có được sự đồng ý rõ ràng, tự nguyện của chủ thể dữ liệu cho từng mục đích cụ thể và chỉ được thu thập thông tin trong phạm vi cần thiết, đồng thời phải thông báo đầy đủ về hoạt động xử lý dữ liệu.

Sự đồng ý của khách hàng cần được thể hiện như thế nào để hợp lệ?

Sự đồng ý phải được thể hiện rõ ràng, tự nguyện, cho từng mục đích xử lý riêng biệt và chủ thể dữ liệu phải được thông báo đầy đủ thông tin trước khi đồng ý.

Điều 11 Nghị định 13/2023/NĐ-CP và Điều 9 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rất chặt chẽ về tính hợp lệ của sự đồng ý. Sự im lặng hoặc không phản hồi không được coi là đồng ý.

• Rõ ràng và tự nguyện: Sự đồng ý phải được thể hiện bằng hành động cụ thể như đánh dấu vào ô đồng ý, ký tên vào văn bản, hoặc các hình thức khác có thể chứng minh được. Không được gộp chung sự đồng ý xử lý dữ liệu sức khỏe vào các điều khoản chung chung của hợp đồng.
• Cho từng mục đích cụ thể: Doanh nghiệp phải liệt kê rõ các mục đích sử dụng thông tin sức khỏe (ví dụ: thẩm định rủi ro ban đầu, giải quyết quyền lợi bảo hiểm, nghiên cứu phát triển sản phẩm) và nhận được sự đồng ý cho từng mục đích đó.
• Đầy đủ thông tin: Trước khi khách hàng đồng ý, doanh nghiệp phải cung cấp thông tin về loại dữ liệu được xử lý, mục đích, các bên có thể tiếp cận dữ liệu, và quyền của khách hàng.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm phổ biến mà chúng tôi thường thấy là các doanh nghiệp bảo hiểm sử dụng một điều khoản đồng ý chung chung trong hợp đồng. Theo luật mới, sự đồng ý phải được thể hiện cho từng mục đích xử lý cụ thể để đảm bảo tính hợp lệ. Ví dụ, trong hồ sơ yêu cầu bảo hiểm, cần có các ô check-box riêng biệt cho mục đích thẩm định và mục đích tiếp thị sản phẩm mới.

Giới hạn mục đích và phạm vi thu thập thông tin sức khỏe được quy định ra sao?

Doanh nghiệp chỉ được phép thu thập những thông tin sức khỏe thực sự cần thiết và phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.

Nguyên tắc “tối thiểu hóa dữ liệu” (Điều 3 Nghị định 13/2023/NĐ-CP) và “giới hạn mục đích” (Điều 3 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15) là kim chỉ nam cho hoạt động này. Điều 26 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 cũng nhấn mạnh việc xử lý dữ liệu sức khỏe phải tuân thủ nghiêm ngặt các nguyên tắc này. Doanh nghiệp không được thu thập thông tin sức khỏe một cách tràn lan hoặc cho các mục đích không liên quan.

Ví dụ, để thẩm định hợp đồng bảo hiểm nhân thọ, việc yêu cầu thông tin về tiền sử bệnh tim mạch là hợp lý. Tuy nhiên, việc yêu cầu toàn bộ hồ sơ bệnh án từ nhỏ đến lớn mà không giải trình được sự cần thiết cho từng mục thông tin có thể bị xem là vi phạm nguyên tắc tối thiểu hóa dữ liệu.

Các biện pháp bảo mật kỹ thuật và quản lý nào là bắt buộc để bảo vệ hồ sơ bệnh án?

Doanh nghiệp phải áp dụng đồng bộ các biện pháp quản lý và kỹ thuật, bao gồm mã hóa, kiểm soát truy cập, và chỉ định bộ phận chuyên trách để bảo vệ dữ liệu sức khỏe.

Điều 28 Nghị định 13/2023/NĐ-CP quy định các biện pháp tăng cường đối với dữ liệu cá nhân nhạy cảm, trong đó có thông tin sức khỏe. Đây không chỉ là khuyến nghị mà là yêu cầu bắt buộc.

Yêu cầu về mã hóa và an toàn hệ thống đối với dữ liệu sức khỏe là gì?

Dữ liệu sức khỏe phải được mã hóa cả khi lưu trữ và truyền đưa, đồng thời hệ thống thông tin phải được kiểm tra an ninh mạng định kỳ để phát hiện và vá các lỗ hổng bảo mật.

Các biện pháp kỹ thuật là tuyến phòng thủ đầu tiên và quan trọng nhất:

• Mã hóa: Dữ liệu sức khỏe phải được mã hóa mạnh (encryption at rest and in transit) để đảm bảo rằng ngay cả khi hệ thống bị xâm nhập, dữ liệu cũng không thể bị đọc.
• Kiểm soát truy cập: Áp dụng nguyên tắc “quyền tối thiểu”, chỉ những nhân viên có phận sự trực tiếp (như chuyên viên thẩm định, bác sĩ thẩm định) mới được cấp quyền truy cập vào hồ sơ bệnh án. Mọi truy cập phải được ghi lại nhật ký (logging).
• Bảo mật hệ thống: Thường xuyên kiểm tra an ninh mạng, cập nhật các bản vá lỗi cho phần mềm và hệ điều hành, sử dụng tường lửa và các hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS).

Doanh nghiệp cần làm gì để quản lý truy cập và ngăn chặn rò rỉ dữ liệu?

Doanh nghiệp cần xây dựng chính sách bảo vệ dữ liệu nội bộ, chỉ định bộ phận chuyên trách, và tổ chức đào tạo nhận thức an toàn thông tin cho toàn bộ nhân viên.

Bên cạnh các giải pháp kỹ thuật, biện pháp quản lý đóng vai trò then chốt:

• Chỉ định bộ phận và nhân sự phụ trách: Theo Điều 28 Nghị định 13/2023/NĐ-CP, việc xử lý dữ liệu nhạy cảm đòi hỏi phải chỉ định một bộ phận có chức năng bảo vệ dữ liệu cá nhân và nhân sự phụ trách (tương đương vai trò DPO).
• Xây dựng quy định nội bộ: Ban hành các quy trình, chính sách rõ ràng về việc ai được phép truy cập, sao chép, lưu trữ và tiêu hủy dữ liệu sức khỏe.
• Đào tạo nhân viên: Tổ chức các buổi đào tạo định kỳ để nâng cao nhận thức cho nhân viên về tầm quan trọng của việc bảo mật thông tin sức khỏe và các rủi ro liên quan đến tấn công lừa đảo (phishing).

Quy trình chia sẻ dữ liệu sức khỏe giữa bệnh viện và công ty bảo hiểm cần tuân thủ những quy định nào?

Việc chia sẻ dữ liệu sức khỏe giữa các bên phải dựa trên yêu cầu bằng văn bản của chủ thể dữ liệu, có hợp đồng xử lý dữ liệu rõ ràng, và tuân thủ nghiêm ngặt các quy định về chuyển dữ liệu xuyên biên giới nếu có.

Đây là một trong những hoạt động tiềm ẩn nhiều rủi ro pháp lý nhất. Điều 26 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã đưa ra những quy định cụ thể để quản lý hoạt động này.

Cụ thể, cơ sở y tế (bệnh viện, phòng khám) không được tự ý cung cấp dữ liệu sức khỏe của khách hàng cho công ty bảo hiểm. Việc này chỉ được thực hiện khi có yêu cầu bằng văn bản của chính chủ thể dữ liệu (khách hàng) hoặc trong các trường hợp đặc biệt do pháp luật quy định. Hơn nữa, giữa công ty bảo hiểm (Bên kiểm soát dữ liệu) và cơ sở y tế (Bên xử lý dữ liệu) phải có hợp đồng hoặc thỏa thuận xử lý dữ liệu, quy định rõ trách nhiệm bảo mật của mỗi bên.

Đối với trường hợp chuyển dữ liệu cho đối tác tái bảo hiểm ở nước ngoài, doanh nghiệp bảo hiểm phải tuân thủ quy định về chuyển dữ liệu cá nhân ra nước ngoài tại Điều 25 Nghị định 13/2023/NĐ-CP và Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Điều này bao gồm việc lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và nộp cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.

Doanh nghiệp cần tích hợp các điều khoản bảo vệ dữ liệu vào hợp đồng bảo hiểm như thế nào?

Hợp đồng bảo hiểm phải có các điều khoản minh bạch về việc xử lý dữ liệu cá nhân, bao gồm loại dữ liệu, mục đích, thời gian lưu trữ, các bên liên quan, và quyền của khách hàng.

Để đảm bảo tính hợp pháp và minh bạch, hợp đồng bảo hiểm và các tài liệu liên quan cần được cập nhật để bao gồm các nội dung sau:

• Chính sách quyền riêng tư: Một điều khoản hoặc phụ lục riêng, giải thích rõ ràng, dễ hiểu về cách thức công ty thu thập, sử dụng, lưu trữ và chia sẻ dữ liệu sức khỏe.
• Mục đích xử lý: Liệt kê tất cả các mục đích xử lý dữ liệu như đã đề cập.
• Quyền của khách hàng: Nêu rõ các quyền của khách hàng theo Điều 9 Nghị định 13/2023/NĐ-CP, bao gồm quyền truy cập, chỉnh sửa, xóa dữ liệu và quyền rút lại sự đồng ý.
• Chuyển dữ liệu xuyên biên giới: Nếu có hoạt động tái bảo hiểm với đối tác nước ngoài, điều khoản này phải được nêu rõ để khách hàng biết và đồng ý.
• Thông tin liên hệ: Cung cấp thông tin liên hệ của bộ phận/nhân sự phụ trách bảo vệ dữ liệu để khách hàng có thể thực hiện các quyền của mình hoặc gửi khiếu nại.

Việc tuân thủ các quy định về bảo vệ dữ liệu sức khỏe không chỉ giúp doanh nghiệp bảo hiểm và y tế tránh được các rủi ro pháp lý và tài chính mà còn là một chiến lược kinh doanh thông minh, giúp củng cố niềm tin và lòng trung thành của khách hàng trong một thị trường ngày càng cạnh tranh.

Các Câu Hỏi Thường Gặp Về Bảo Vệ Dữ Liệu Sức Khỏe và Bảo Hiểm

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Bộ Y tế, Quy định về bảo mật thông tin người bệnh trong các cơ sở khám bệnh, chữa bệnh.
• Hiệp hội Bảo hiểm Việt Nam, Báo cáo thường niên ngành bảo hiểm.
• Tạp chí An toàn thông tin, Thực trạng và giải pháp bảo vệ dữ liệu cá nhân trong lĩnh vực y tế tại Việt Nam.