Hãy hình dung một tình huống giả định thường gặp trong vận hành bệnh viện: 7 giờ sáng, một điều dưỡng của khoa Nội tổng hợp đăng nhập vào hệ thống bệnh án điện tử để chuẩn bị ca trực. Chỉ vài thao tác tìm kiếm, cô vô tình mở được toàn bộ diễn biến điều trị của một người bệnh đang nằm ở khoa Ngoại - người không thuộc phạm vi mình phụ trách. Không có cảnh báo nào bật lên, không ai biết thao tác này từng xảy ra cho tới khi bộ phận kiểm soát nội bộ rà soát nhật ký định kỳ. Đây là kịch bản minh họa cho một rủi ro có thật, không phải số liệu thống kê từ một sự cố cụ thể đã kiểm chứng. Hệ thống bệnh án điện tử càng liên thông dữ liệu toàn viện, nguy cơ một tài khoản "nhìn thấy" nhiều hơn phạm vi nhiệm vụ càng lớn nếu không có phân quyền truy cập hồ sơ bệnh án điện tử rõ ràng ngay từ thiết kế.
Mỗi tài khoản truy cập hồ sơ bệnh án điện tử cần được giới hạn đúng phạm vi nhiệm vụ
Vì sao phân quyền truy cập là "van an toàn" bắt buộc của bệnh án điện tử
Bản chất của bệnh án điện tử là tập trung dữ liệu lâm sàng của toàn bộ người bệnh vào một hệ thống duy nhất, thay vì rải rác trên từng tập hồ sơ giấy đặt tại từng khoa. Lợi thế liên thông đó cũng đi kèm rủi ro: nếu không thiết lập phân quyền theo vai trò, bất kỳ tài khoản nào cũng có khả năng kỹ thuật để mở dữ liệu vượt quá phạm vi công việc thực tế.
Yêu cầu kiểm soát truy cập không phải là khuyến nghị tùy chọn. Thông tư 13/2025/TT-BYT của Bộ Y tế hướng dẫn triển khai hồ sơ bệnh án điện tử (có hiệu lực từ 21/7/2025, thay thế Thông tư 46/2018/TT-BYT) yêu cầu cơ sở y tế có giải pháp bảo mật, kiểm soát truy cập và phân quyền người dùng theo chức danh chuyên môn, nhằm bảo mật thông tin người bệnh trong toàn bộ vòng đời hồ sơ. Đây là căn cứ để bệnh viện/phòng khám xây dựng chính sách nội bộ, không phải là gợi ý kỹ thuật đơn thuần.
Bỏ qua yêu cầu này để lại ba hệ quả cụ thể. Thứ nhất, rủi ro lộ thông tin người bệnh tăng lên khi dữ liệu nhạy cảm có thể bị xem bởi người không liên quan đến quá trình điều trị. Thứ hai, khi sự cố xảy ra, việc truy vết ai đã truy cập, vào thời điểm nào trở nên khó khăn nếu tài khoản không được phân tách theo vai trò cá nhân. Thứ ba, cơ sở y tế khó chứng minh mức độ tuân thủ khi bị thanh tra hoặc kiểm tra định kỳ về bảo mật hồ sơ bệnh án điện tử.
Nguyên tắc thiết kế ma trận phân quyền theo vai trò (RBAC)
Mô hình phân quyền theo vai trò (Role-Based Access Control) là cách tiếp cận phù hợp nhất với môi trường bệnh viện, nơi số lượng tài khoản lớn nhưng số lượng vai trò nghiệp vụ tương đối cố định. Thay vì cấp quyền cho từng cá nhân, hệ thống gán quyền cho một nhóm vai trò, sau đó gán tài khoản vào nhóm tương ứng.
Nguyên tắc đầu tiên là "biết vừa đủ" (need-to-know): mỗi tài khoản chỉ được cấp quyền tương ứng đúng phạm vi nhiệm vụ, không mở rộng "cho chắc" hay "cho tiện thao tác". Nguyên tắc thứ hai là giới hạn theo khoa/phòng và theo người bệnh đang điều trị - một nhân sự lâm sàng không mặc định có quyền xem toàn viện, mà chỉ xem được hồ sơ của người bệnh thuộc khoa mình phụ trách tại thời điểm đang điều trị. Nguyên tắc thứ ba là tách bạch quyền xem, quyền ghi/sửa và quyền ký số - ba hành vi khác nhau, mức độ rủi ro khác nhau, không nên gộp chung một mức quyền. Nguyên tắc thứ tư là ghi vết (audit log) mọi thao tác truy cập, kể cả các lượt chỉ xem, để phục vụ truy vết khi cần.
Bốn nguyên tắc nền tảng khi thiết kế ma trận phân quyền cho hệ thống bệnh án điện tử
Trước khi triển khai hoặc rà soát lại hệ thống hiện có, cán bộ IT có thể đối chiếu nhanh với checklist sau:
- Biết vừa đủ: mỗi vai trò chỉ được cấp quyền đúng phạm vi công việc thực tế, không cấp dư "phòng khi cần".
- Giới hạn theo khoa/phòng: tài khoản lâm sàng chỉ nhìn thấy dữ liệu của khoa/phòng mình phụ trách.
- Giới hạn theo người bệnh đang điều trị: không mở quyền xem hồ sơ của người bệnh đã xuất viện hoặc không thuộc diện đang chăm sóc.
- Tách bạch xem - sửa - ký số: ba mức quyền độc lập, không gộp chung để giảm rủi ro khi tài khoản bị lộ.
- Ghi vết truy cập: mọi lượt xem, sửa, ký đều được lưu nhật ký, có thể truy xuất khi kiểm tra.
Ma trận phân quyền theo từng vai trò trong bệnh viện/phòng khám
Ma trận phân quyền chỉ phát huy tác dụng khi được cụ thể hóa tới từng chức danh, thay vì dừng ở nguyên tắc chung chung. Dưới đây là cách phân bổ quyền hạn cho năm nhóm vai trò phổ biến nhất trong cơ sở y tế.
Bác sĩ điều trị
Bác sĩ trực tiếp điều trị được cấp quyền xem toàn bộ diễn biến bệnh án của người bệnh mình phụ trách, quyền ghi chỉ định, y lệnh và quyền ký số hoàn thiện hồ sơ bệnh án. Đây là vai trò có mức quyền cao nhất trong chuỗi nghiệp vụ lâm sàng, nhưng vẫn giới hạn theo người bệnh đang điều trị, không mở rộng sang toàn bộ khoa hay toàn viện.
Điều dưỡng
Điều dưỡng có quyền thực hiện y lệnh, ghi chép các hoạt động chăm sóc, nhưng phạm vi xem hồ sơ giới hạn theo khoa mình phụ trách. Điều dưỡng không có quyền ký số hoàn thiện bệnh án - vai trò này thuộc về bác sĩ điều trị.
Dược sĩ
Dược sĩ được cấp quyền xem đơn thuốc và đối chiếu chỉ định để cấp phát, nhưng không truy cập được bệnh sử hoặc diễn biến lâm sàng ngoài phạm vi liên quan đến việc cấp phát thuốc.
Thu ngân viện phí
Bộ phận thu ngân viện phí chỉ cần quyền xem thông tin dịch vụ và chi phí để thực hiện đối soát, thanh toán. Bộ phận này không được cấp quyền truy cập hồ sơ chuyên môn lâm sàng - đây là ranh giới quan trọng để tách bạch dữ liệu tài chính khỏi dữ liệu điều trị.
Quản trị hệ thống (IT)
Cán bộ quản trị hệ thống có quyền cấu hình tài khoản, gán phân quyền và giám sát nhật ký truy cập, nhưng không mặc định có quyền xem nội dung bệnh án. Tách bạch quyền quản trị kỹ thuật khỏi quyền xem nội dung lâm sàng là nguyên tắc bảo mật cốt lõi, tránh tình huống một tài khoản kỹ thuật trở thành điểm rủi ro lộ dữ liệu.
Mỗi vai trò trong bệnh viện thao tác trên phạm vi dữ liệu khác nhau theo đúng phân quyền
Tổng hợp lại, ma trận phân quyền theo vai trò có thể trình bày dưới dạng bảng đối chiếu như sau:
| Vai trò | Xem hồ sơ | Ghi/sửa | Ký số | Phạm vi giới hạn |
|---|---|---|---|---|
| Bác sĩ điều trị | Toàn bộ diễn biến | Chỉ định, y lệnh | Có | Người bệnh đang điều trị |
| Điều dưỡng | Diễn biến chăm sóc | Ghi chép chăm sóc | Không | Khoa/phòng phụ trách |
| Dược sĩ | Đơn thuốc, chỉ định | Đối chiếu cấp phát | Không | Phạm vi cấp phát thuốc |
| Thu ngân viện phí | Dịch vụ, chi phí | Không | Không | Không truy cập dữ liệu lâm sàng |
| Quản trị IT | Không mặc định | Cấu hình tài khoản | Không | Nhật ký, cấu hình hệ thống |
Quy trình triển khai phân quyền trên hệ thống HIS/EMR
Thiết kế xong nguyên tắc và ma trận vai trò mới là bước khởi đầu. Để đưa vào vận hành thực tế, cán bộ IT cần thực hiện tuần tự theo quy trình sau.
- Rà soát chức danh và phạm vi nhiệm vụ thực tế theo từng khoa/phòng, tránh dùng nhóm quyền có sẵn của hệ thống một cách máy móc mà không đối chiếu với thực tế vận hành.
- Thiết kế nhóm quyền (role) tương ứng với từng chức danh, tránh cấp quyền theo từng cá nhân riêng lẻ vì sẽ khó kiểm soát khi số lượng tài khoản tăng lên.
- Cấu hình giới hạn theo khoa/phòng và theo trạng thái điều trị của người bệnh, đảm bảo tài khoản chỉ nhìn thấy dữ liệu đang thực sự liên quan đến nhiệm vụ.
- Kích hoạt nhật ký truy cập (audit trail) và thiết lập cảnh báo khi phát hiện truy cập bất thường, ví dụ một tài khoản mở nhiều hồ sơ ngoài khoa trong thời gian ngắn.
- Rà soát định kỳ và thu hồi quyền ngay khi nhân sự chuyển khoa hoặc nghỉ việc, tránh để tồn đọng các tài khoản có quyền không còn phù hợp với vị trí công tác.
Cán bộ IT cấu hình và giám sát ma trận phân quyền trên hệ thống quản lý bệnh viện
Sai lầm thường gặp khiến phân quyền bệnh án điện tử mất tác dụng
Trên lý thuyết, hầu hết cơ sở y tế đều nhận thức được tầm quan trọng của phân quyền. Nhưng trong thực tế vận hành, một số thói quen khiến ma trận phân quyền tồn tại trên giấy mà không phát huy tác dụng.
Phổ biến nhất là cấp quyền "toàn quyền" cho các tài khoản dùng chung, ví dụ tài khoản trực ca hoặc tài khoản mượn giữa các nhân sự khi bận rộn. Khi nhiều người cùng dùng chung một tài khoản, khả năng truy vết đúng cá nhân thực hiện thao tác gần như bằng không.
Sai lầm thường gặp: Không thu hồi quyền khi nhân sự chuyển khoa hoặc nghỉ việc, để tài khoản "treo" quyền truy cập trong khi người sử dụng đã không còn ở vị trí công tác cũ.
Một lỗi khác là không giới hạn theo người bệnh đang điều trị, khiến nhân viên có thể xem được hồ sơ của người bệnh không liên quan đến nhiệm vụ của mình - đúng như tình huống mở đầu bài viết. Ngoài ra, nhiều hệ thống có tính năng ghi nhật ký nhưng không được bật, hoặc bật nhưng không ai rà soát định kỳ, khiến chức năng audit trail trở thành hình thức thay vì công cụ kiểm soát thực chất.
Chọn hệ thống HIS/EMR có cơ chế phân quyền đáp ứng yêu cầu vận hành thực tế
Khi đánh giá một hệ thống HIS/EMR, cán bộ IT nên kiểm tra ba tiêu chí liên quan trực tiếp đến phân quyền: khả năng phân quyền động theo khoa/phòng thay vì cấu hình tĩnh một lần, nhật ký truy cập đủ chi tiết để phục vụ truy vết, và khả năng tích hợp chữ ký số gắn với từng chức danh cụ thể thay vì dùng chung một chứng thư cho nhiều vai trò.
Đây cũng là nền tảng để cơ sở y tế đáp ứng yêu cầu về an toàn thông tin bệnh án điện tử theo đúng tinh thần của Thông tư 13/2025/TT-BYT, đồng thời giảm thiểu rủi ro pháp lý khi bị thanh tra, kiểm tra.
Phần mềm MyHospital được thiết kế với cơ chế phân quyền theo vai trò linh hoạt, cho phép cấu hình giới hạn theo khoa/phòng, theo trạng thái điều trị của người bệnh và ghi nhật ký truy cập minh bạch. Tìm hiểu cách MyHospital giúp bệnh viện/phòng khám xây dựng hệ thống quản trị bệnh viện bảo mật cao ngay từ khâu phân quyền tài khoản.
Ngoài phân quyền, quy trình ký số theo chức danh cũng là mắt xích không thể tách rời khi hoàn thiện hồ sơ bệnh án điện tử, đảm bảo mỗi chữ ký gắn đúng với người chịu trách nhiệm chuyên môn cuối cùng.