Các bệnh viện đối mặt vấn đề bảo vệ dữ liệu cá nhân: bắt đầu ngay từ các website (Phần II)

09:54, 25/06/2024

Nghị định 13 về bảo vệ dữ liệu cá nhân đã đặt ra cho các doanh nghiệp Việt Nam một loạt các vấn đề cần giải quyết. Tuy nhiên, dường như mọi người mới chú ý đến lĩnh vực tài chính, ngân hàng và những ý kiến về việc tuân thủ Nghị định 13 hầu hết xuất phát từ ngành này. Trong khi đó, những dữ liệu cá nhân nhạy cảm có liên quan tới ngành y tế như tình trạng sức khỏe, đặc điểm di truyền hay đời sống tình dục... của cá nhân lại chưa được quan tâm nhiều.

Các bệnh viện đối mặt vấn đề bảo vệ dữ liệu cá nhân: bắt đầu ngay từ các website (Phần II)

"Câu trả lời hợp lý"

Hầu hết các bệnh viện mà The Markup liên hệ về câu chuyện này đã không trả lời câu hỏi hoặc giải thích lý do tại sao họ chọn cài đặt Meta Pixel trên trang web của mình. Nhưng một số đã bảo vệ việc sử dụng trình theo dõi của họ.

Chris King, người phát ngôn của Bệnh viện Northwestern Memorial, ở Chicago, viết: “Việc sử dụng loại mã này đã được kiểm tra". King đã không trả lời các câu hỏi tiếp theo về quá trình kiểm tra.

King nói rằng không có thông tin sức khỏe cần được bảo vệ nào được lưu trữ hoặc truy cập thông qua trang web của Northwestern Memorial và rằng “Facebook tự động nhận ra bất kỳ thông tin nào có thể gần với thông tin cá nhân và không lưu trữ dữ liệu này”.

Trên thực tế, Meta tuyên bố rõ ràng trong điều khoản dịch vụ của các công cụ kinh doanh rằng Pixel và các trình theo dõi khác thu thập thông tin định danh cá nhân cho nhiều mục đích khác nhau.

Bệnh viện Giám lý Houston, ở Texas, là cơ sở duy nhất cung cấp câu trả lời chi tiết cho các câu hỏi của The Markup. Người phát ngôn Stefanie Asin viết rằng bệnh viện bắt đầu sử dụng Pixel vào năm 2017 và “tin tưởng” vào các biện pháp bảo vệ của Facebook và dữ liệu được chia sẻ không phải là thông tin sức khỏe cần được bảo vệ.

Khi The Markup kiểm tra trang web của Bệnh viện Giám lý Houston, việc nhấp vào nút "Lên lịch hẹn" trên trang của bác sĩ đã nhắc Meta Pixel gửi cho Facebook nội dung của nút, tên của bác sĩ và cụm từ tìm kiếm mà phóng viên sử dụng để tìm bác sĩ: "Phá thai tại nhà”.

Theo Asin, Bệnh viện Giám lý Houston không phân loại dữ liệu đó là thông tin sức khỏe cần được bảo vệ, bởi vì một người nhấp vào nút "Lên lịch hẹn" có thể không theo dõi và xác nhận cuộc hẹn, hoặc, họ có thể đặt cuộc hẹn cho một thành viên gia đình thay cho bản thân họ.

“Nhấp chuột không có nghĩa là họ đã lên lịch”, cô viết. “Cũng cần lưu ý rằng mọi người thường tìm kiếm thông tin cho vợ/chồng, bạn bè, cha mẹ già”.

Asin nói thêm rằng Bệnh viện Giám lý Houston tin rằng Facebook “sử dụng các công cụ để phát hiện và từ chối bất kỳ thông tin sức khỏe nào, tạo ra một rào cản ngăn cản việc truyền thông tin sức khỏe cần được bảo vệ”.

Mặc dù bảo vệ việc sử dụng Meta Pixel, Bệnh viện Giám lý Houston đã xóa Pixel khỏi trang web của mình vài ngày sau khi trả lời các câu hỏi của The Markup.

“Vì chúng tôi đang tiến hành kiểm tra thêm về chủ đề này, chúng tôi đã quyết định xóa Pixel ngay bây giờ để đảm bảo rằng chúng tôi đang làm mọi thứ có thể để bảo vệ quyền riêng tư của bệnh nhân trong khi chúng tôi đánh giá”, Asin viết trong một email tiếp theo.

Facebook đã không ra mắt hệ thống lọc dữ liệu sức khỏe nhạy cảm của mình cho đến tháng 7/2020, ba năm sau khi Bệnh viện Giám lý Houston bắt đầu sử dụng pixel, theo cuộc điều tra của Sở Dịch vụ Tài chính New York. Tháng 2/2021, sở này đã báo cáo rằng độ chính xác của hệ thống rất kém.

Những người ủng hộ quyền riêng tư nói rằng kiểu sửa lỗi “dán băng keo” là một ví dụ điển hình về sự bất lực của ngành quảng cáo trực tuyến trong việc tự kiểm soát.

Alan Butler, Giám đốc điều hành của Trung tâm Bảo mật Thông tin Điện tử, nói “Thực tế của việc điều này tràn lan trên các trang web của các bệnh viện là bằng chứng cho thấy các quy tắc đã bị phá vỡ như thế nào”.

Cảnh báo của các cơ quan chính phủ Hoa Kỳ không khiến tình tình được cải thiện

Vào tháng 12/2022, Văn phòng Dân quyền (OCR) của Bộ Y tế và Dịch vụ nhân sinh Hoa Kỳ đã ban hành hướng dẫn cho các đơn vị phải tuân thủ HIPAA về việc sử dụng công nghệ theo dõi trang web. Hướng dẫn nêu rõ rằng các công nghệ này vi phạm HIPAA trừ khi có thỏa thuận liên kết kinh doanh (BAA) với nhà cung cấp mã hoặc nhận được sự cho phép từ bệnh nhân. OCR và Ủy ban Thương mại Liên bang (FTC) đã viết thư cho gần 130 tổ chức chăm sóc sức khỏe vào tháng 7/2023 để cảnh báo họ về những rủi ro tuân thủ khi sử dụng công nghệ theo dõi, sau khi những công cụ này được phát hiện trên trang web của họ. Vào tháng 3/2024, OCR đã cập nhật hướng dẫn của mình – được cho là nhằm giải quyết thách thức pháp lý của Hiệp hội Bệnh viện Hoa Kỳ, tuy nhiên, quan điểm của OCR cho rằng cần phải có BAA/giấy phép vẫn không thay đổi.

Một số bệnh viện và hệ thống y tế đã báo cáo việc sử dụng các công nghệ theo dõi này cho OCR như những vị xâm phạm dữ liệu và nhiều vụ kiện đã được đệ trình chống lại các bệnh viện về việc sử dụng các công cụ này, một số vụ kiện trong số đó đã dẫn đến các khoản bồi thường lớn. Ví dụ: Novant Health đã đồng ý trả 6,6 triệu USD để giải quyết vụ kiện của những bệnh nhân vì đã chuyển PHI của họ cho bên thứ ba khi sử dụng các công cụ theo dõi này. FTC cũng đang tích cực thực thi Đạo luật FTC liên quan đến thiết bị theo dõi, trong đó BetterHelp phải trả 7,8 triệu USD cho người tiêu dùng để hoàn lại tiền vì đã tiết lộ dữ liệu sức khỏe nhạy cảm mà không có sự đồng ý. Các tiểu bang cũng đã có hành động đối với việc sử dụng Meta pixel và các công cụ theo dõi trang web khác, trong đó Bệnh viện Trưởng lão New York đã giải quyết vụ vi phạm HIPAA liên quan đến Pixel với Bộ trưởng Tư pháp New York bằng số tiền 300.000 USD.

Tháng 3/2024, Lokker, nhà cung cấp các giải pháp tuân thủ và bảo mật dữ liệu trực tuyến, đã công bố một nghiên cứu trên 3.419 trang web trong bốn ngành (chăm sóc sức khỏe, công nghệ, dịch vụ tài chính và bán lẻ), nhằm khám phá ba lĩnh vực rủi ro quan trọng:

  • Thu thập dữ liệu người tiêu dùng trái phép thông qua trình theo dõi, thẻ và pixel của bên thứ ba.

  • Các công cụ bảo mật thường không đáp ứng được yêu cầu của các luật mới ban hành.

  • Sự phức tạp ngày càng tăng của việc bảo vệ quyền riêng tư dữ liệu của người tiêu dùng.

Nghiên cứu xem xét mối đe dọa từ việc các nhà môi giới dữ liệu chia sẻ dữ liệu người tiêu dùng với các đối thủ nước ngoài. Trên tất cả các ngành, 12% trang web có pixel TikTok, bao gồm 4% công ty chăm sóc sức khỏe. Mặc dù rủi ro về quyền riêng tư liên quan đến pixel này thấp hơn so với các công nghệ theo dõi khác, nhưng thông tin do pixel TikTok thu thập có thể được chuyển sang Trung Quốc. 2% trang web, bao gồm 0,55% trang web chăm sóc sức khỏe, bị phát hiện sử dụng pixel và các trình theo dõi web khác có nguồn gốc từ Trung Quốc, Nga hoặc Iran.

Điều đáng báo động là, dù các phương tiện truyền thông đã đưa tin khá nhiều, đã có hướng dẫn về tuân thủ HIPAA, các khoản tiền phạt theo quy định và các vụ kiện liên quan đến công nghệ theo dõi trang web, vẫn có tới 33% tổ chức chăm sóc sức khỏe vẫn đang sử dụng Meta pixel trên trang web của họ. Lokker tìm thấy trung bình 16 công cụ theo dõi và tối đa 93 công cụ theo dõi trên các trang web chăm sóc sức khỏe. Các công cụ theo dõi phổ biến nhất được các tổ chức chăm sóc sức khỏe sử dụng là từ Google (googletagmanager.com, doubleclick.net, google-analytics.com, google.com, googleapis.com, youtube.com), Meta (facebook.com, facebook.net), ICDN (icdn.com) và Microsoft (linkedin.com).

Dường như đang có sự nhầm lẫn về việc lấy được sự đồng ý của khách truy cập trang web về việc thu thập dữ liệu của họ thông qua các công nghệ theo dõi như pixel và cookie. Theo hướng dẫn của OCR, việc sử dụng biểu ngữ trên trang web tư vấn cho khách truy cập về việc sử dụng công nghệ theo dõi không cấu thành ủy quyền hợp lệ của HIPAA. Những biểu ngữ chấp thuận này đã được xác định trên trang web của 59% tổ chức chăm sóc sức khỏe. Chúng thường không hoạt động như dự kiến, vì 98,5% trang web tải cookie khi tải trang. Lokker báo cáo rằng trung bình có 33 cookie được tải trước khi biểu ngữ chấp thuận xuất hiện và những biểu ngữ này thường phân loại sai hoặc bỏ qua cookie và trình theo dõi. Lokker cũng nhận thấy rằng các công nghệ như lấy dấu vân tay của trình duyệt thường bị loại khỏi các công cụ lấy sự đồng ý và các thay đổi của trình theo dõi trên web đang phát triển nhanh chóng có thể không được các công cụ lấy sự đồng ý quan tâm, dẫn đến việc người dùng vô tình đồng ý với việc thu thập dữ liệu không mong muốn.

Tình hình tại Việt Nam

Theo định nghĩa của Luật khám bệnh, chữa bệnh thì “Người bệnh là người sử dụng dịch vụ khám bệnh, chữa bệnh”. Tuy nhiên, như thế nào là “thông tin sức khỏe của người bệnh” thì lại không được đề cập.

Dù sao thì quyền giữ bí mật thông tin sức khỏe của người bệnh cũng đã được xét tới. Theo nội dung của Điều 8 Luật khám bệnh, chữa bệnh thì người bệnh có quyền được tôn trọng bí mật riêng tư, bao gồm quyền được giữ bí mật thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án.

Theo quy định tại khoản 4 Điều 59 Luật Khám bệnh chữa bệnh thì có ba nhóm chủ thể được quyền tiếp cận thông tin sức khỏe của người bệnh, sau khi được sự đồng ý của người đứng đầu cơ sở khám bệnh, chữa bệnh, bao gồm:

- Sinh viên thực tập, nghiên cứu viên, người hành nghề trong cơ sở khám bệnh, chữa bệnh được mượn hồ sơ bệnh án tại chỗ để đọc hoặc sao chép phục vụ cho việc nghiên cứu hoặc công tác chuyên môn kỹ thuật;

- Đại diện cơ quan quản lý nhà nước về y tế trực tiếp quản lý cơ sở khám bệnh, chữa bệnh, cơ quan điều tra, viện kiểm sát, tòa án, thanh tra chuyên ngành y tế, cơ quan bảo hiểm, tổ chức giám định pháp y, pháp y tâm thần, luật sư được mượn hồ sơ bệnh án tại chỗ để đọc hoặc sao chép phục vụ nhiệm vụ được giao theo thẩm quyền cho phép;

- Người bệnh hoặc người đại diện của người bệnh được nhận bản tóm tắt hồ sơ bệnh án nếu có yêu cầu bằng văn bản.

Tuy nhiên, những nhóm chủ thể này khi sử dụng thông tin trong hồ sơ bệnh án phải giữ bí mật và chỉ được sử dụng đúng mục đích như đã đề nghị với người đứng đầu cơ sở khám bệnh, chữa bệnh. Riêng đối với những người hành nghề trong cơ sở khám chữa bệnh thì việc giữ bí mật tình trạng bệnh của người bệnh, những thông tin mà người bệnh đã cung cấp cũng như hồ sơ bệnh án được xem như một trong những nguyên tắc trong hành nghề khám, chữa bệnh và là nghĩa vụ đối với nghề nghiệp.

Theo điều 4 Nghị định 13 về bảo vệ dữ liệu cá nhân, dữ liệu cá nhân nhạy cảm bao gồm “Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu”.

Trong khi thông tin đăng ký khám bệnh có thể không thuộc hồ sơ bệnh án và chưa có quy định cụ thể về vấn đề này, việc lộ thông tin đó vẫn có thể khiến bệnh nhân e ngại. Và dù việc số hóa các quy trình của các bệnh viện chưa được triển khai quá tốt nhưng chỉ cần cài trình mở rộng Facebook Pixel Helper cho trình duyệt Chrome rồi dạo qua website của 34 bệnh viện tuyến trung ương được niêm yết công khai trang thông tin điện tử chính thức của Bộ Y tế và 5 bệnh viện tuyến trung ương thuộc Bộ Quốc phòng, chúng ta có thể thấy website của 3 bệnh viện (Bệnh viện E, Bệnh viện Nhi TW, Bệnh viện Phong - Da liễu trung ương Quy Hòa) có chứa Facebook Pixel - trong đó hầu hết có biểu mẫu đăng ký khám bệnh. Cách đây gần 2 năm, 8 các bệnh viện trong số này có website chứa Facebook Pixel - sự thay đổi này cho thấy vấn đề bảo vệ dữ liệu cá nhân đã được coi trọng hơn. Tuy nhiên, quyền riêng tư của người bệnh vẫn cần được xem xét cẩn thận và nghiêm túc hơn nữa trong quá trình số hóa hệ thống y tế để đảm bảo tuân thủ các quy định pháp luật.

Tài liệu tham khảo

1. https://themarkup.org/pixel-hunt/2022/06/16/facebook-is-receiving-sensitive-medical-information-from-hospital-websites

2. https://www.hipaajournal.com/one-third-healthcare-websites-meta-pixel-tracking-code-2024/

3. https://tapchitoaan.vn/bai-viet/phap-luat/quyen-giu-bi-mat-thong-tin-suc-khoe-cua-nguoi-benh

4. https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-465185.aspx

5.https://thuvienphapluat.vn/chinh-sach-phap-luat-moi/vn/thong-bao-van-ban-moi/email/22783/bo-y-te-ban-hanh-lo-trinh-thuc-hien-ho-so-benh-an-dien-tu

6. https://luatvietnam.vn/bao-hiem/danh-sach-benh-vien-tuyen-trung-uong-563-28490-article.html

7. https://www.inclind.com/news/how-make-facebook-ads-hipaa-compliant

Theo Tạp chí An toàn thông tin

https://antoanthongtin.vn/ca-cong-cong/cac-benh-vien-doi-mat-van-de-bao-ve-du-lieu-ca-nhan-bat-dau-ngay-tu-cac-website-phan-ii-110163