Trong thời gian qua, nhiều ứng dụng đã được ngành y tế tại Việt Nam áp dụng, mang lại hiệu quả cao như: hồ sơ bệnh án điện tử (Electronic Health Records, EHR), hình ảnh kỹ thuật số, dịch vụ hóa đơn điện tử, kê đơn điện tử và dự đoán nguồn lực của việc khám chữa bệnh được tích hợp vào hệ thống CNTT. Riêng trong lĩnh vực hồ sơ bệnh án điện tử, theo trang thông tin của Cục CNTT, Bộ Y tế, hiện đã có 12 bệnh viện trên cả nước được công nhận hoàn tất triển khai bệnh án điện tử.
Kết quả khảo sát trên khoảng 3.100 công ty CNTT trong lĩnh vực CSSK và kinh doanh ở 20 quốc gia cho thấy các tổ chức y tế đang triển khai ứng dụng IoT trong cải tiến quy trình theo dõi bệnh nhằm tiết kiệm chi phí.
Tuy nhiên, với số lượng thiết bị được kết nối, môi trường CNTT và khối lượng dữ liệu ngày càng tăng, việc quản lý chúng và đảm bảo tính sẵn có của dịch vụ đã trở thành mối quan tâm hàng đầu của nhiều tổ chức CSSK. Điều này được kết hợp bởi mối đe dọa ngày càng tăng của các vi phạm an ninh mạng và ảnh hưởng mà các dịch vụ CNTT bị xâm phạm có thể gây ra cho bệnh nhân.
Cần quan tâm đến việc quản lý dữ liệu
Trong ngành y tế, việc truy cập vào dữ liệu bệnh nhân đang trở nên cần thiết để phục vụ cho công tác điều trị nhanh chóng và hiệu quả. Các doanh nghiệp (DN) CNTT về CSSK xử lý dữ liệu tại trung tâm dữ liệu hoặc sử dụng điện toán đám mây. Dữ liệu này bao gồm hồ sơ bệnh án điện tử, hình ảnh chuẩn đoán, ghi chú của bác sĩ, kết quả xét nghiệm, đơn thuốc điện tử, bảo hiểm y tế v.v... Ứng dụng IoT đang tạo ra một lượng dữ liệu khổng lồ nhưng chưa có sự đảm bảo về tính an toàn.
Việc xâm phạm dữ liệu trái phép là một vấn đề chung và không loại trừ bất kỳ tổ chức nào. Gần đây nhất, một sự cố vi phạm dữ liệu 697.800 hồ sơ bệnh nhân đã được phát hiện và báo cáo lên cho Bộ Y tế và Dịch vụ Nhân sinh Mỹ (US Department of Health and Human Services).
Accenture - công ty chuyên tư vấn quản lý chuyên cung cấp dịch vụ chiến lược, tư vấn, công nghệ số cho biết: cứ 8 bệnh nhân có 1 bệnh nhân bị đánh cắp thông tin y tế cá nhân rò rỉ dữ liệu từ các hệ thống công nghệ tại Anh. Hiện nay chưa thể xác định các đơn vị nắm giữ dữ liệu ban đầu (như nhà thuốc, bệnh viện, phòng chăm sóc khẩn cấp, bác sĩ hoặc phòng mạch...) có biết về những vi phạm an ninh mạng này hay không. 1/3 người sử dụng dịch vụ CSSK nhận thấy nguy cơ tiềm ẩn về an ninh từ lỗ hổng trong hồ sơ sức khỏe điện tử hoặc sao kê thẻ tín dụng. Điều này cho thấy vấn đề về sự không an toàn của các nhà cung cấp dịch vụ CSSK.
Ngoài ra, nguy cơ tiềm ẩn còn đến từ việc phát triển liên tục của các trung tâm dữ liệu, đám mây, hạ tầng mạng v.v... Tất cả những yếu tố nêu trên đang thách thức nhu cầu giám sát và đảm bảo dịch vụ theo thời gian thực của các bên trong toàn bộ ngành công nghiệp CSSK. Do đó, nhu cầu bảo mật dữ liệu không chỉ cần thiết để đảm bảo hiệu quả hoạt động của dịch vụ mà còn cần được bảo vệ bởi luật pháp. Luật pháp cần bao gồm các biện pháp kỹ thuật và quy định phù hợp trong việc xử lý khi xâm phạm dữ liệu trái phép cũng như chống lại sự mất mát hoặc phá hoại dữ liệu cá nhân một các vô tình hoặc cố ý.
Các giải pháp trọng tâm để đảm bảo an toàn dữ liệu trong ngành y tế
Việc tham gia của các DN đã làm thay đổi cách tiếp cận dữ liệu. Hiện tại, nhà cung cấp dịch vụ CSSK có thể truy xuất dữ liệu của bệnh nhân bao gồm dữ liệu lịch sử và dữ liệu theo thời gian thực nhằm mục đích cung cấp dịch vụ nhanh chóng, phù hợp và hiệu quả hơn. Tuy nhiên, với sự tăng lên của các mạng lưới dịch vụ và tầm ảnh hưởng của các DN CSSK như hiện nay, đặc biệt là khối lượng dữ liệu ngày càng lớn đã làm tăng lên thách thức trong việc đảm bảo an ninh mạnh và dữ liệu.
Giám sát toàn diện và đảm bảo dịch vụ là cần thiết để quản lý các dịch vụ khác nhau, ở nhiều địa điểm, với nhiều người dùng, trên các môi trường mạng lai. Điều này sẽ giúp theo dõi xử lý sự cố chậm mạng, chuyển dữ liệu thời gian thực thành thông tin chi tiết có thể hành động và phát hiện và xác định sự bất thường để chủ động ngăn chặn vi phạm dữ liệu.
Theo TS. Lê Thành Sách, Đại học Bách khoa - ĐHQG TP. HCM: "Việc bảo mật và giám sát phải là ưu tiên hàng đầu của các chuyên gia CNTT trong lĩnh vực CSSK trực tuyến. Tuy nhiên, đây là một nhiệm vụ phức tạp khi mà các công nghệ mới liên tục được cập nhật nhằm cải thiện hiệu quả, tăng tốc truyền dữ liệu và bảo mật chung của đường truyền mạng".
Tại các quốc gia thành viên châu Âu (EU), Quy định bảo vệ dữ liệu chung (GDPR) được áp dụng cho toàn khối và các quốc gia này phải chuyển thành luật. Với đạo luật này người sử dụng dịch vụ đã và đang được hưởng lợi từ CSSK trực tuyến khi du lịch trong khối các quốc gia EU khi sử dụng thẻ bảo hiểm y tế châu Âu. Bằng cách tiêu chuẩn hóa bảo vệ dữ liệu trên toàn EU, Quy định cho phép truy cập và chuyển dữ liệu xuyên biên giới nhưng bảo mật dữ liệu vẫn được bảo đảm.
Ngoài việc đảm bảo tính bảo mật và khả năng tương tác của các công nghệ khác nhau, việc giám sát liên tục sử dụng hồ sơ bệnh án điện tử (EHR) cũng rất cần thiết cho các nhà cung cấp dịch vụ CSSK. Khả năng đánh giá các số liệu về trạng thái của EHR, như phân tích thời gian đáp ứng là quan trọng để thực hành lâm sàng và dịch vụ CSSK. Đây cũng là yêu cầu pháp lý ở một số quốc gia. Chẳng hạn ở Mỹ, đạo luật CNTT về Y tế cho sức khỏe kinh tế và lâm sàng (HITECH) có thể ra lệnh phạt đối với các tổ chức CSSK không thực hiện bảo mật EHR. Một hình phạt cao có thể được áp dụng đối với các tổ chức CSSK không bảo vệ tốt dữ liệu bệnh nhân. Một DN là Advocate Health Care Network đã phải đóng phạt lên đến 5,5 triệu USD vì làm rò rỉ dữ liệu của 4 triệu bệnh nhân.
Mặc dù không nằm trong hệ thống pháp luật, một số bộ tiêu chuẩn như Health Layer 7 (HL7) cũng đã thúc đẩy khả năng tương tác và hoạt động hiệu quả hơn trong ngành CSSK. Bộ tiêu chuẩn này được các cơ quan bao gồm Viện tiêu chuẩn quốc gia Hoa Kỳ (NSI) và Tổ chức tiêu chuẩn hóa quốc tế (IS) áp dụng. HL7 cung cấp các tiêu chuẩn cho khả năng tương tác để cải thiện việc cung cấp dịch vụ chăm sóc, tối ưu hóa quy trình làm việc và tăng cường chuyển giao kiến thức giữa tất cả các bên liên quan bao gồm nhà cung cấp dịch vụ CSSK, cơ quan chính phủ, cộng đồng và bệnh nhân.
Trong các ngành công nghiệp khác, xâm phạm dữ liệu có thể dẫn đến trì hoãn hoặc hủy bỏ các giao dịch, hoặc mất dữ liệu cá nhân. Trong lĩnh vực CSSK, nó có thể tác động và gây tổn thất lớn hơn nhiều.