Trang Chủ
Bài viết phân tích những hạn chế, bất cập của pháp luật Việt Nam về nghĩa vụ bảo mật thông tin người bệnh. Trên cơ sở đó, tác giả đưa ra một số đề xuất, kiến nghị nhằm hoàn thiện quy định pháp luật về vấn đề này.
Trong hoạt động khám, chữa bệnh (HĐKCB), các cơ sở khám, chữa bệnh (CSKCB) là bên cung cấp dịch vụ và người bệnh là bên sử dụng dịch vụ. Thông tin của người bệnh là toàn bộ những dữ liệu trong hồ sơ bệnh án và những thông tin về đời tư khác mà người bệnh đã cung cấp cho CSKCB trong quá trình khám, chữa bệnh. Nghĩa vụ bảo mật thông tin người bệnh xuất phát từ quyền riêng tư của người bệnh, trách nhiệm trong hợp đồng cung ứng dịch vụ khám, chữa bệnh và trách nhiệm trong hoạt động chuyên môn nghiệp vụ của CSKCB.
1. Nghĩa vụ bảo đảm bí mật thông tin người bệnh trong hoạt động khám, chữa bệnh theo pháp luật Việt Nam
Khoản 2 Điều 10 Luật Khám bệnh, chữa bệnh năm 2023 quy định, người bệnh phải “được giữ bí mật thông tin trong hồ sơ bệnh án và thông tin khác về đời tư mà người bệnh đã cung cấp cho người hành nghề trong quá trình khám bệnh, chữa bệnh, trừ trường hợp người bệnh đồng ý chia sẻ thông tin theo quy định của pháp luật hoặc trường hợp quy định tại khoản 3 và khoản 4 Điều 69 của Luật này”. Khoản 3 Điều 33 Luật Phòng, chống bệnh truyền nhiễm năm 2007 cũng quy định, CSKCB có nghĩa vụ giữ bí mật thông tin liên quan đến người bệnh.
Đối với hồ sơ bệnh án điện tử thì CSKCB cũng có nghĩa vụ tương tự. Cụ thể, Điều 10 Thông tư số 46/2018/TT-BYT ngày 28/12/2018 của Bộ Y tế quy định hồ sơ bệnh án điện tử quy định như sau:
“1. Việc truy cập, chia sẻ thông tin trong hồ sơ bệnh án điện tử cho các cơ quan, tổ chức, cá nhân được thực hiện theo quy định tại Điều 7 Thông tư này và các quy định liên quan khác của Bộ trưởng Bộ Y tế.
2. Cơ sở khám bệnh, chữa bệnh phải có biện pháp sau đây: a) Kiểm soát truy cập của người dùng gồm xác thực người dùng, phân quyền người dùng theo từng vai trò công việc, thiết lập khoảng thời gian giới hạn cho phép người dùng truy cập vào phần mềm; b) Bảo vệ, ngăn chặn việc truy cập trái phép vào hồ sơ bệnh án điện tử; c) Phương án hoặc quy trình phục hồi dữ liệu trong trường hợp có sự cố; d) Phương án phòng ngừa, phát hiện, ngăn chặn và loại bỏ phần mềm độc hại.
3. Việc liên thông, trao đổi dữ liệu hồ sơ bệnh án điện tử giữa các cơ sở khám bệnh, chữa bệnh phải được mã hóa trong quá trình trao đổi dữ liệu.
4. Thông tin khám, chữa bệnh của người bệnh phải được mã hóa theo hướng dẫn của Bộ trưởng Bộ Y tế.
5. Phần mềm hồ sơ bệnh án điện tử có khả năng ghi vết tất cả các giao dịch, tương tác của người dùng trên phần mềm hồ sơ bệnh án điện tử bao gồm ngày, thời gian khi xem, nhập mới, chỉnh sửa, hủy, khôi phục dữ liệu, thông tin trong hồ sơ bệnh án điện tử.
6. Cơ sở khám bệnh, chữa bệnh phải ban hành Quy chế về bảo mật thông tin và quyền riêng tư của người bệnh trên cơ sở các khoản 1, 2, 3, 4 và 5 Điều này”.
Như vậy, theo pháp luật Việt Nam hiện hành, CSKCB có nghĩa vụ bảo đảm bí mật các thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án giấy và hồ sơ bệnh án điện tử của cả người bệnh không truyền nhiễm lẫn người bệnh truyền nhiễm. Trên bình diện lý luận, có thể nhận thấy rằng, các CSKCB phải có nghĩa vụ bảo mật thông tin người bệnh cả trước, trong và sau khi kết thúc quan hệ hợp đồng vì nhiều lý do.
Thứ nhất, những thông tin do người bệnh cung cấp cho CSKCB trước khi bắt đầu thỏa thuận hợp đồng rất có thể là những thông tin tương ứng, tương đương được cung cấp bởi người bệnh sau khi thỏa thuận được nêu ra. Chính vì vậy, CSKCB phải có nghĩa vụ bảo đảm bí mật cho các thông tin này.
Thứ hai, dựa trên nguyên tắc tín thác và bảo đảm bí mật nghề nghiệp thì mọi thông tin được người bệnh cung cấp cho CSKCB vào bất kỳ thời điểm nào trong mối quan hệ giữa CSKCB và người bệnh đều hoàn toàn thuộc nghĩa vụ bảo đảm bí mật của CSKCB.
Thứ ba, sau khi chấm dứt mối quan hệ giữa CSKCB và người bệnh, những thông tin về cá nhân, riêng tư của người bệnh nhất thiết phải được các CSKCB bảo đảm bí mật. Bởi vì, bất kỳ thông tin nào thuộc cá nhân và riêng tư của người bệnh khi bị CSKCB tiết lộ đều có thể dẫn đến thiệt hại, bất lợi cho người bệnh.
Thứ tư, những thông tin bí mật của người bệnh còn có thể mang tính kinh tế, thương mại, vì vậy, khi bị tiết lộ vẫn có khả năng tác động tiêu cực cho hoạt động kinh doanh, sản xuất của người bệnh.
Qua những phân tích trên, có thể khẳng định rằng, nghĩa vụ bảo đảm bí mật thông tin người bệnh của CSKCB là nghĩa vụ được duy trì vô thời hạn nếu pháp luật không có quy định cụ thể thời điểm chấm dứt nghĩa vụ này.
2. Một số bất cập, hạn chế
Về khía cạnh thời hạn thực hiện nghĩa vụ bảo đảm bí mật người bệnh, pháp luật Việt Nam chỉ có những quy định như sau: Người bệnh được giữ bí mật thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án[1]. Nội dung này cũng được quy định lại một lần nữa tại Mục 1 Phần hướng dẫn về bảo mật thông tin trong hoạt động tư vấn khám bệnh, chữa bệnh từ xa[2]. Ngoài ra, Điều 33 Luật Phòng, chống bệnh truyền nhiễm năm 2007 quy định: “Thầy thuốc và nhân viên y tế có trách nhiệm giữ bí mật thông tin liên quan đến bệnh nhân”. Với vai trò là luật chuyên ngành trong lĩnh vực khám, chữa bệnh, tác giả cho rằng, Luật Khám, chữa bệnh năm 2009 và năm 2023[3], Luật Phòng, chống bệnh truyền nhiễm năm 2007 cũng chưa cung cấp cơ sở pháp lý một cách rõ ràng và cần thiết trong việc xác định thời hạn thực hiện nghĩa vụ bảo mật thông tin người bệnh.
Nói cách khác, quy định về thời hạn thực hiện nghĩa vụ bảo mật thông tin người bệnh chưa được đề cập một cách rõ ràng trong pháp luật về bảo mật thông tin người bệnh trong HĐKCB tại Việt Nam hiện nay. Theo tác giả, sự thiếu rõ ràng này có thể dẫn đến một số hậu quả tiêu cực sau:
Thứ nhất, người bệnh sẽ rất e dè trong việc tiếp cận CSKCB khi có nhu cầu sử dụng dịch vụ khám, chữa bệnh vì họ lo ngại những thông tin nhạy cảm của mình sẽ có thể bị tiết lộ nếu sau khi họ cung cấp thông tin về tình trạng bệnh, danh tính… để được CSKCB tư vấn ban đầu. Thời điểm này, thỏa thuận hợp đồng giữa CSKCB và người bệnh chưa được đưa ra. Do đó, khi CSKCB tiết lộ thông tin của họ cho bên thứ ba không có thẩm quyền được biết thì không có căn cứ pháp lý vững chắc để người bệnh thực hiện quyền khiếu nại, khởi kiện. Chính tâm lý e ngại của người bệnh cũng là một nhân tố khiến cho dịch bệnh bị giấu giếm trong dân cư và hiệu quả khám, chữa bệnh cũng không cao.
Thứ hai, sau khi chấm dứt mối quan hệ giữa CSKCB và người bệnh, trong nhiều trường hợp, CSKCB đã bán thông tin của người bệnh cho các công ty bảo hiểm, các công ty kinh doanh thực phẩm chức năng, các công ty kinh doanh bất động sản… người bệnh đã và đang bị làm phiền bởi những công ty này trong suốt nhiều năm qua. Bên cạnh đó, thông tin người bệnh vẫn mang giá trị thương mại sau khi chấm dứt mối quan hệ giữa CSKCB và người bệnh, vì vậy, việc tiết lộ những thông tin này hoàn toàn có khả năng gây thiệt hại cho người bệnh.
Ngoài ra, pháp luật Việt Nam hiện hành cũng chưa quy định thời điểm kết thúc nghĩa vụ bảo mật thông tin người bệnh một cách đầy đủ. Cụ thể, hồ sơ bệnh án, thông tin, kết quả khám bệnh, chữa bệnh, kiểm tra sức khỏe của các đồng chí Ủy viên Bộ Chính trị, Ban Bí thư Trung ương Đảng là Tối mật[4]. Do đó, trong trường hợp này, thời hạn chấm dứt của nghĩa vụ bảo mật thông tin người bệnh là 20 năm[5]. Vậy, các thông tin người bệnh của những chủ thể khác thuộc độ mật gì thì hoàn toàn không được đề cập trong các văn bản luật Việt Nam. Vì vậy, thời hạn để việc bảo mật thông tin người bệnh được chấm dứt không có căn cứ pháp lý để xác định đối với các trường hợp này.
3. Đề xuất, kiến nghị
Thứ nhất, pháp luật Việt Nam chưa quy định rõ ràng rằng, nghĩa vụ bảo mật thông tin người bệnh không chỉ tồn tại khi mối quan hệ giữa CSKCB và người bệnh được hình thành mà còn áp dụng cả trước và sau khi mối quan hệ giữa các chủ thể này kết thúc. Tác giả cho rằng, nên hoàn thiện sớm các quy định về khía cạnh này để tạo cơ sở pháp lý vững chắc, cụ thể và rõ ràng cho việc bảo đảm quyền được bảo mật thông tin của người bệnh trong HĐKCB cũng như góp phần xác định, xử lý vi phạm nghĩa vụ bảo mật thông tin người bệnh một cách thuận lợi, dễ dàng; bổ sung những quy định về thời hạn thực hiện nghĩa vụ bảo mật thông tin người bệnh trong HĐKCB cũng là việc cần thiết giúp pháp luật Việt Nam phù hợp với xu thế pháp luật quốc tế. Cụ thể, Luật Khám bệnh, chữa bệnh nên được bổ sung như sau: “Cơ sở khám bệnh, chữa bệnh có trách nhiệm bảo đảm an toàn, bí mật thông tin người bệnh trong quá trình cung cấp, quản lý, sử dụng và lưu trữ thông tin người bệnh theo quy định của luật này và pháp luật có liên quan”.
Thứ hai, Quyết định số 1295/QĐ-TTg ngày 24/8/2020 của Thủ tướng Chính phủ về Danh mục bí mật nhà nước lĩnh vực y tế hoàn toàn không quy định về độ mật của hồ sơ bệnh án, thông tin, kết quả khám bệnh, chữa bệnh, kiểm tra sức khỏe của các đối tượng khác. Quyết định này chỉ quy định rằng, hồ sơ bệnh án, thông tin, kết quả khám bệnh, chữa bệnh, kiểm tra sức khỏe của các đồng chí Ủy viên Bộ Chính trị, Ban Bí thư Trung ương Đảng là Tối mật. Vì vậy, theo tác giả, nên bổ sung quy định về độ mật của hồ sơ bệnh án, thông tin, kết quả khám bệnh, chữa bệnh, kiểm tra sức khỏe của người bệnh là bí mật nhà nước độ “Mật” tại Điều 2 của Quyết định này. Việc bổ sung quy định này không chỉ tạo niềm tin cho người bệnh mà còn tạo điều kiện thuận lợi cho CSKCB thực hiện đúng nghĩa vụ bảo mật thông tin người bệnh. Ngoài ra, cả người bệnh và CSKCB cũng có căn cứ pháp lý rõ ràng để bảo vệ quyền lợi chính đáng của mỗi bên nếu tranh chấp về thời hạn chấm dứt nghĩa vụ bảo mật thông tin người bệnh xảy ra.
ThS. Nguyễn Vương Quốc
Khoa Luật, Trường Đại học Mở Thành phố Hồ Chí Minh
[1]. Khoản 1 Điều 8 Luật Khám, chữa bệnh năm 2009.
[2]. Xem chi tiết tại Quyết định số 4054/QĐ-BYT ngày 22/9/2020 của Bộ Y tế ban hành tạm thời hướng dẫn và quy định tổ chức hội chẩn, tư vấn khám, chữa bệnh từ xa.
[3]. Khoản 1 Điều 8 Luật Khám, chữa bệnh năm 2009 và khoản 2 Điều 10 Luật Khám bệnh, chữa bệnh năm 2023.
[4]. Khoản 1 Điều 1 Quyết định số 1295/QĐ-TTg ngày 24/8/2020 của Thủ tướng Chính phủ về Danh mục bí mật nhà nước lĩnh vực y tế.
[5]. Điểm b khoản 1 Điều 19 Luật Bảo vệ bí mật nhà nước năm 2018.
(Nguồn: Tạp chí Dân chủ và Pháp luật Kỳ 1 (Số 386), tháng 8/2023)
