Chính sách bảo mật & sử dụng dữ liệu
MEDS là công cụ chia lịch tự động. Chúng tôi áp dụng nguyên tắc tối thiểu hóa dữ liệu và tuân thủ pháp luật Việt Nam hiện hành (Nghị định 13/2023/NĐ-CP). Đây là bản chính sách dành cho đơn vị triển khai.
Hiệu lực: 07/09/2025 · Múi giờ: Asia/Ho_Chi_Minh · Phiên bản: 1.0
1) Phạm vi & vai trò
Chính sách áp dụng cho việc sử dụng MEDS tại đơn vị triển khai. MEDS hoạt động theo mô hình bên xử lý dữ liệu cá nhân (processor) theo chỉ dẫn của bên kiểm soát dữ liệu (controller) là đơn vị triển khai. MEDS không chỉ đích danh cơ sở trong hệ thống và không yêu cầu trường định danh cơ sở.
2) Loại dữ liệu xử lý (tối thiểu hóa)
| Trường dữ liệu | Mục đích | Ghi chú |
|---|---|---|
| Tên | Hiển thị lịch, ghép y lệnh | Có thể mã hóa bằng chữ viết tắt (Ví dụ: Nguyễn Văn D |
| Số hồ sơ/HSBA | Định danh để chia lịch & đối soát | Định danh chính, mã duy nhất; đề nghị mã hóa hoặc viết tắt |
| Mã dịch vụ (viết tắt) | Tính thời lượng, phân máy/nhân sự | DX, SA, LA, VD, DC… |
| Tên nhân viên | Xếp người – máy – ca làm | Khớp 100% với cấu hình, có thể dùng mã hóa hoặc viết tắt |
| Email nhận KETQUA | Gửi Excel KETQUA sau khi chia lịch | Chỉ dùng cho gửi KETQUA; không marketing |
Không thu thập: số điện thoại, địa chỉ, CMND/CCCD, vị trí, chẩn đoán bệnh, ảnh sinh trắc học, hoặc các dữ liệu ngoài danh mục trên. MEDS không yêu cầu trường "định danh cơ sở".
3) Mục đích & căn cứ pháp lý
- Mục đích: chia lịch dịch vụ kỹ thuật, xếp người – máy – ca; xuất và gửi Excel KETQUA cho các email đơn vị nhập.
- Căn cứ pháp lý: thực hiện nhiệm vụ chuyên môn/điều trị; thực hiện hợp đồng cung cấp dịch vụ phần mềm; sự đồng ý/ủy quyền hợp lệ theo Nghị định 13/2023/NĐ-CP.
- Dữ liệu nhạy cảm: thông tin sức khỏe suy đoán từ mã dịch vụ được đối xử như dữ liệu nhạy cảm; áp dụng biện pháp bảo vệ tăng cường.
4) Lưu trữ & thời hạn
- KETQUA/Lịch: do đơn vị quyết định chu kỳ lưu (khuyến nghị 12–24 tháng).
- Nhật ký hệ thống: tối thiểu để điều tra sự cố (khuyến nghị 90 ngày).
- Dữ liệu tạm: xóa ngay sau khi hoàn tất gửi & đối soát.
5) Bảo mật & an toàn thông tin
- Kiểm soát truy cập: phân quyền theo vai trò; mật khẩu mạnh; nhật ký truy cập.
- Mã hóa: mã hóa kết nối (HTTPS/TLS) khi triển khai; khuyến nghị mật khẩu bảo vệ file Excel KETQUA khi gửi email.
- Giảm nhận dạng: tùy chọn ẩn bớt tên BN khi xuất (ví dụ: "Nguyễn V. A").
- Sao lưu & khôi phục: theo chính sách đơn vị.
MEDS không sử dụng dữ liệu cho quảng cáo/tiếp thị; không bán dữ liệu.
6) Chuyển dữ liệu ra nước ngoài
Mặc định MEDS xử lý/lưu trữ tại Google. Trường hợp đơn vị cấu hình dùng dịch vụ email/đám mây ở ngoài VN (ví dụ dịch vụ gửi mail quốc tế), đơn vị với vai trò bên kiểm soát chịu trách nhiệm:
7) Quyền của chủ thể dữ liệu & cách yêu cầu
- Quyền được biết/đồng ý, truy cập – chỉnh sửa, rút lại đồng ý, xóa, hạn chế hoặc phản đối xử lý; yêu cầu cung cấp dữ liệu (theo NĐ 13).
- Đơn vị/MEDS phản hồi yêu cầu liên quan đến hạn chế/phản đối/cung cấp dữ liệu trong 72 giờ kể từ khi nhận được yêu cầu hợp lệ.
Gửi yêu cầu tại: privacy@meds.local hoặc liên hệ quản trị viên đơn vị. Vui lòng mô tả rõ mã HSBA liên quan để tra cứu nhanh.
8) Xử lý sự cố dữ liệu
- Ghi nhận – cô lập – đánh giá tác động; khắc phục, thu hồi tệp đã gửi (nếu có thể), thay đổi mật khẩu/tắt tài khoản liên quan.
- Thông báo cơ quan có thẩm quyền (Bộ Công an – Cục A05) trong 72 giờ qua cổng bảo vệ dữ liệu cá nhân, theo quy định.
- Thông báo cá nhân bị ảnh hưởng khi có nguy cơ gây thiệt hại đáng kể.
9) Liên hệ & đầu mối DPO/DPD
Đầu mối bảo vệ dữ liệu của đơn vị chịu trách nhiệm giải quyết yêu cầu và phối hợp cơ quan quản lý. Trong thời gian chưa bổ nhiệm, vui lòng liên hệ:
- Email: meds.noreply@gmail.com