Khi một website phòng khám nhận đặt lịch, nó đang thu thập thứ nhạy cảm nhất: thông tin sức khỏe của người khác. Ở Việt Nam, đây không còn là chuyện “nên làm cho cẩn thận” mà đã thành nghĩa vụ pháp lý. Bài này điểm qua khung luật mới và những thực hành bảo mật tối thiểu cho form đặt lịch y tế.
Thông tin sức khỏe là dữ liệu nhạy cảm
Theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, tình trạng sức khỏe ghi trong hồ sơ bệnh án thuộc nhóm dữ liệu cá nhân nhạy cảm — nhóm đòi hỏi mức bảo vệ chặt hơn dữ liệu thường. Chỉ cần website thu thập thông tin sức khỏe của khách qua form là đã thực hiện “xử lý dữ liệu nhạy cảm”, thuộc phạm vi điều chỉnh của luật. Phòng khám nhỏ với form đặt lịch đơn giản cũng không nằm ngoài.
Khung luật vừa nâng lên tầm Luật
Điểm cần cập nhật: Nghị định 13/2023 đặt nền, nhưng Việt Nam đã có Luật Bảo vệ dữ liệu cá nhân (số 91/2025/QH15), hiệu lực từ 01/01/2026 — lần đầu lập khung pháp lý cấp luật, tham chiếu tinh thần các chuẩn quốc tế. Điều này nghĩa là nghĩa vụ bảo vệ dữ liệu khách giờ ở mức cao nhất, và vi phạm có thể bị xử lý nặng. (Mức phạt cụ thể nên đối chiếu trực tiếp văn bản hiện hành — đây là điểm dễ thay đổi.)
Một lưu ý để không nói sai: Việt Nam không áp dụng “HIPAA” — đó là luật y tế của Mỹ. Khung của ta là Nghị định 13/2023 và Luật 91/2025. Đừng nhầm lẫn khi đọc tài liệu nước ngoài.
Phải có sự đồng ý của khách
Trước khi thu thập thông tin sức khỏe, website phải xin sự đồng ý rõ ràng của khách (ô tích đồng ý, kèm liên kết tới chính sách bảo mật giải thích thu thập gì, dùng làm gì, lưu bao lâu). Không được mặc định tích sẵn, không được thu thập lén. Minh bạch mục đích là yêu cầu cốt lõi.
Thực hành kỹ thuật tối thiểu cho form đặt lịch
- HTTPS (SSL/TLS) trên toàn site — mã hóa dữ liệu khi truyền. Nhưng nhớ: HTTPS chỉ lo khâu đường truyền, chưa phải toàn bộ bảo mật.
- Mã hóa dữ liệu khi lưu (at rest) và phân quyền truy cập — chỉ người cần mới xem được thông tin khách.
- Kiểm tra và làm sạch dữ liệu nhập (validate/sanitize) để chống chèn mã độc qua form.
- Chống bot bằng CAPTCHA; bật xác thực nhiều lớp (MFA) cho tài khoản quản trị.
- Cẩn trọng với dịch vụ đặt lịch bên thứ ba: kiểm xem dữ liệu khách lưu ở đâu, ai truy cập được — vì trách nhiệm cuối cùng vẫn thuộc phòng khám.
Lầm tưởng nguy hiểm
Nhiều phòng khám nghĩ “nhỏ thì không ai để ý”. Nhưng nghĩa vụ bảo vệ dữ liệu không phụ thuộc quy mô, và rủi ro lớn nhất không phải bị phạt mà là mất lòng tin khi thông tin khách rò rỉ. Đầu tư bảo mật form đặt lịch là đầu tư cho chính uy tín phòng khám.
Lưu ý ranh giới của Web22
Web22 dựng form đặt lịch trên nền HTTPS, có cơ chế đồng ý và bảo vệ dữ liệu ở mức thực hành tốt; còn việc tuân thủ pháp lý đầy đủ (chính sách bảo mật, quy trình xử lý dữ liệu) cần phòng khám phối hợp và nên tham vấn người am hiểu luật. Xem bản dựng web Phòng khám An Tâm hoặc làm website cho phòng khám, y tế.
Đọc thêm
Website phòng khám cần gì để bệnh nhân tin tưởng · ranh giới nội dung y khoa trên website phòng khám.