Chính sách bảo mật

8health là hệ thống hỗ trợ nhập liệu, quản lý và xuất biểu mẫu khám sức khỏe. Chính sách này giải thích cách 8health xử lý và bảo vệ dữ liệu trong quá trình sử dụng hệ thống.

Việc xử lý dữ liệu trên 8health được định hướng tuân thủ pháp luật Việt Nam về an toàn thông tin, an ninh mạng, bảo vệ dữ liệu cá nhân và quy định chuyên ngành y tế, bao gồm Luật An toàn thông tin mạng 2015, Luật An ninh mạng 2018, Luật Khám bệnh, chữa bệnh 2023, Luật Giao dịch điện tử 2023, Luật Dữ liệu 2024, Luật Bảo vệ dữ liệu cá nhân, Nghị định 13/2023/NĐ-CP và các văn bản liên quan còn hiệu lực.

1. Dữ liệu được xử lý

Tùy chức năng sử dụng, 8health có thể xử lý các nhóm dữ liệu sau:

• Thông tin tài khoản: email, tên hiển thị, ảnh đại diện, quyền truy cập.
• Thông tin hành chính: họ tên, ngày sinh, giới tính, số CCCD/định danh, địa chỉ, số điện thoại, dữ liệu quét CCCD/VNeID.
• Thông tin hồ sơ khám sức khỏe: biểu mẫu, kết luận, phân loại sức khỏe, file đính kèm, tem QR, dữ liệu xuất HTML/DOCX/Excel/JSON.
• Thông tin đơn vị: cấu hình đơn vị, thành viên, người kết luận, chữ ký, cấu hình máy quét.
• Dữ liệu kỹ thuật: thời điểm đăng nhập, phiên làm việc, nhật ký lỗi và thông tin cần thiết để bảo mật, vận hành hệ thống.

Dữ liệu sức khỏe, dữ liệu CCCD/định danh và dữ liệu liên quan đến đời sống riêng tư là dữ liệu cần được bảo vệ chặt chẽ.

2. Mục đích sử dụng dữ liệu

• Xác thực người dùng và phân quyền truy cập theo đơn vị.
• Nhập, quản lý, tra cứu, in và xuất hồ sơ khám sức khỏe.
• Tạo biểu mẫu, tem QR, file dữ liệu và tài liệu phục vụ nghiệp vụ.
• Ghi nhận lỗi, phát hiện truy cập bất thường và bảo vệ hệ thống.
• Đáp ứng yêu cầu hợp lệ từ đơn vị vận hành hoặc cơ quan có thẩm quyền.

8health không bán dữ liệu, không khai thác dữ liệu hồ sơ để quảng cáo và không chia sẻ dữ liệu trái phép.

3. Nguyên tắc bảo vệ dữ liệu

• Chỉ xử lý dữ liệu đúng mục đích và trong phạm vi cần thiết.
• Giới hạn truy cập theo vai trò, nhiệm vụ và đơn vị.
• Không hiển thị chi tiết lỗi nhạy cảm cho người dùng cuối.
• Ưu tiên kết nối HTTPS, tài khoản an toàn và mật khẩu mạnh.
• Ghi nhận thông tin cần thiết để hỗ trợ truy vết và xử lý sự cố.

4. Chia sẻ dữ liệu

Dữ liệu chỉ được chia sẻ trong phạm vi cần thiết cho nghiệp vụ khám sức khỏe, giữa những người có thẩm quyền trong cùng đơn vị, theo yêu cầu hợp lệ của cơ quan nhà nước, hoặc với nhà cung cấp kỹ thuật phục vụ vận hành hệ thống nếu có yêu cầu bảo mật phù hợp.

Khi người dùng tải xuống, in, gửi hoặc lưu file xuất từ hệ thống, người dùng và đơn vị chịu trách nhiệm bảo vệ các file đó.

5. Quyền của chủ thể dữ liệu

Người có dữ liệu cá nhân có thể yêu cầu xem, chỉnh sửa, hạn chế xử lý hoặc xóa dữ liệu thông qua đơn vị đang quản lý hồ sơ, trong phạm vi pháp luật cho phép. Một số dữ liệu có thể cần tiếp tục lưu trữ để phục vụ hồ sơ khám sức khỏe, kiểm tra, giải quyết tranh chấp hoặc nghĩa vụ pháp lý.

6. Trách nhiệm của người dùng

• Chỉ xem, nhập, sửa, xuất hoặc chia sẻ dữ liệu khi có nhiệm vụ và thẩm quyền.
• Không mua bán, sao chép, công khai hoặc chuyển tiếp dữ liệu trái phép.
• Không lưu file xuất ra ở thiết bị hoặc dịch vụ không an toàn.
• Đăng xuất khi dùng thiết bị chung và bảo vệ tài khoản đăng nhập.
• Báo ngay cho quản trị viên khi nghi ngờ lộ dữ liệu, lộ tài khoản hoặc có truy cập bất thường.

7. Lưu trữ và xóa dữ liệu

Dữ liệu được lưu trong thời gian cần thiết cho nghiệp vụ khám sức khỏe, quản lý hồ sơ, kiểm tra nội bộ hoặc theo yêu cầu pháp luật/quy định của đơn vị. Việc chỉnh sửa, khóa, xóa hoặc trích xuất dữ liệu được thực hiện theo quyền được cấp và quy trình của đơn vị vận hành.

8. Sự cố an toàn thông tin

Khi phát hiện hoặc nghi ngờ rò rỉ dữ liệu, truy cập trái phép, gửi nhầm file, mất thiết bị hoặc lỗi phân quyền, người dùng cần báo ngay cho quản trị viên/đơn vị vận hành để kiểm tra, cô lập, khắc phục và thực hiện nghĩa vụ thông báo theo quy định nếu phát sinh.

9. Liên hệ

Câu hỏi hoặc yêu cầu liên quan đến bảo mật, dữ liệu cá nhân hoặc sự cố an toàn thông tin cần được gửi tới quản trị viên hệ thống 8health hoặc đơn vị đang vận hành/quản lý hồ sơ.