What changed for healthcare on 1 January 2026?

Luật 91/2025/QH15 (the Personal Data Protection Law) and Nghị định 356/2025/NĐ-CP entered into force, replacing the prior Nghị định 13/2023/NĐ-CP. Healthcare controllers — telemedicine platforms, EMR operators, e-prescription pharmacies, drug-traceability operators, BHYT processors and clinical-trial sponsors — must have DPIA, DPO and breach-notification machinery in place because health data is classified as sensitive personal data.

Is health data sensitive personal data?

Yes. The 2025 Law and Decree 356 classify health data — including biometric and genetic data — as sensitive personal data, requiring specific informed consent and an express advance notice to the subject that the data is sensitive.

When must I file a DPIA?

Within 60 days of starting the processing, with Cục A05 of Bộ Công an. The DPIA must be updated when material changes occur.

Do I have to appoint a DPO?

Yes. Organisations processing sensitive personal data are required to designate a personal-data protection officer or team; healthcare is in scope by default.

Can I host telemedicine or EMR data on overseas cloud regions?

Possibly, but you must (i) file the cross-border transfer impact-assessment report (Mẫu 09) with Cục A05 within 60 days, (ii) put in place a transfer contract with protective controls in the receiving jurisdiction, and (iii) run a separate Luật An ninh mạng + Nghị định 53/2022 localisation assessment for in-scope online services. Foreign telemedicine platforms serving Vietnamese patients from overseas servers also fall in scope.

How quickly must I notify a breach?

Within 72 hours to Cục A05 of Bộ Công an. If the breach involves biometric or location data, also notify the affected subjects within 72 hours or as soon as possible. Records must be retained at least 5 years.

What are the headline penalties?

Article 8 of Luật 91/2025/QH15 codifies penalty caps directly in the Law: up to 10× illegal revenue for unlawful sale of personal data, up to 5 % of prior-year revenue for cross-border transfer violations, up to VND 3 billion for other violations (individuals: half the organisational cap). Criminal liability is under Bộ luật Hình sự Article 288.

Does Luật 91/2025/QH15 mandate data localisation?

No — localisation continues to be governed by Luật An ninh mạng 24/2018/QH14 and Nghị định 53/2022/NĐ-CP. Run that assessment in parallel to the DPIA for any in-scope online service.

How does this interact with the e-prescription pipeline?

Thông tư 11/2025/TT-BYT requires pharmacy software to connect to the national pharmacy / e-prescription system and to dispense only against the 14-character electronic prescription code. The patient identifiers and dispensing data flowing through this pipe are sensitive health data; pharmacy operators inherit DPIA, DPO and breach-notification duties.

Bảo vệ Dữ liệu Cá nhân trong Y tế Số Việt Nam

Cách Luật 91/2025/QH15 — Luật Bảo vệ dữ liệu cá nhân chuyên biệt đầu tiên của Việt Nam — và Nghị định 356/2025/NĐ-CP hướng dẫn thi hành (cùng hiệu lực 01/01/2026) áp dụng cho dữ liệu sức khỏe: nền tảng KCB từ xa, bệnh án điện tử, kê đơn điện tử, hệ thống truy xuất nguồn gốc thuốc quốc gia, dữ liệu BHYT, và dữ liệu thử nghiệm lâm sàng. Dữ liệu sức khỏe, sinh trắc và di truyền là dữ liệu cá nhân nhạy cảm. Chuyển dữ liệu xuyên biên giới và bổ nhiệm DPO là bắt buộc trong phạm vi áp dụng. Chế tài hành chính được luật hóa trực tiếp tại Điều 8 Luật (đến 10 lần doanh thu bất hợp pháp với hành vi bán dữ liệu, đến 5 % doanh thu năm trước với vi phạm chuyển dữ liệu xuyên biên giới, đến 3 tỷ VND với các vi phạm khác).

Tổng quan

Việt Nam chuyển từ chế độ bảo vệ dữ liệu cá nhân cấp nghị định sang luật chuyên biệt vào ngày 01/01/2026, khi Luật 91/2025/QH15 — Luật Bảo vệ dữ liệu cá nhân — và Nghị định 356/2025/NĐ-CP hướng dẫn thi hành có hiệu lực. Luật mới và nghị định hướng dẫn đã bãi bỏ rõ ràng Nghị định 13/2023/NĐ-CP trước đây, vốn điều chỉnh bảo vệ dữ liệu cá nhân từ 01/7/2023 đến 31/12/2025. Không có vận hành song song: từ 01/01/2026, bên kiểm soát và bên xử lý áp dụng riêng Luật và Nghị định mới.

Vì sao điều này quan trọng với y tế số:

Nền tảng KCB từ xa (Điều 53 Luật 15/2023/QH15; Điều 87 Nghị định 96/2023/NĐ-CP) xử lý dữ liệu sức khỏe nhạy cảm ở quy mô lớn.
Bệnh án điện tử và kết nối liên cơ sở theo Luật 15/2023 đưa dữ liệu sức khỏe người bệnh vào hạ tầng dùng chung.
Kê đơn điện tử với mã đơn quốc gia 14 ký tự (Thông tư 11/2025/TT-BYT sửa đổi Thông tư 02/2018 GPP) chuyển định danh người bệnh và dữ liệu cấp phát thuốc qua hệ thống dược quốc gia.
Hệ thống truy xuất nguồn gốc thuốc liên kết hồ sơ sản xuất, bán buôn, bán lẻ và người bệnh.
Xử lý hồ sơ thanh toán BHYT bao gồm dữ liệu chẩn đoán và điều trị.
Thử nghiệm lâm sàng xử lý dữ liệu sức khỏe chi tiết và đôi khi dữ liệu di truyền của đối tượng nghiên cứu.

Phạm vi trang này:

Thay đổi gì từ 01/01/2026.
Định nghĩa: dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm; vì sao dữ liệu sức khỏe là nhạy cảm.
Quyền của chủ thể dữ liệu theo Điều 4 của Luật.
Căn cứ pháp lý và sự đồng ý — bao gồm sự đồng ý cụ thể cho dữ liệu sức khỏe nhạy cảm.
Nghĩa vụ của bên kiểm soát / bên xử lý: hồ sơ DPIA, DPO, an toàn, thông báo sự cố.
Chuyển dữ liệu cá nhân xuyên biên giới — nộp Mẫu 09 với Bộ Công an / Cục A05 trong 60 ngày.
Lưu trữ trong nước — Luật An ninh mạng + Nghị định 53/2022/NĐ-CP.
Quy định giao thoa ngành y tế (Luật 15/2023, Nghị định 96/2023, Thông tư 11/2025).
Chế tài — hành chính (Điều 8 Luật) và hình sự (Điều 288 Bộ luật Hình sự).
Danh mục tuân thủ thực tiễn cho đơn vị vận hành KCB từ xa, EMR, kê đơn điện tử, truy xuất nguồn gốc thuốc và thử nghiệm lâm sàng.

Khung pháp lý tóm tắt:

Luật 91/2025/QH15 — luật chính, 5 chương 39 điều, được Quốc hội khóa XV thông qua tại kỳ họp thứ 9 ngày 26/6/2025, hiệu lực 01/01/2026.
Nghị định 356/2025/NĐ-CP — 31/12/2025, hiệu lực 01/01/2026, 5 chương 42 điều với 10 mẫu phụ lục (đáng chú ý là Mẫu 09 — báo cáo đánh giá tác động chuyển dữ liệu xuyên biên giới).
Luật An ninh mạng 24/2018/QH14 + Nghị định 53/2022/NĐ-CP — chế độ lưu trữ trong nước, không thay đổi bởi cải cách 2025.
Bộ luật Hình sự Điều 288 — trách nhiệm hình sự đối với hành vi đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông.
Luật Khám bệnh, chữa bệnh 15/2023/QH15 Điều 69 — quyền của người bệnh bao gồm bảo mật thông tin hồ sơ bệnh án và quyền truy cập, sao chép hồ sơ của mình.
Nghị định 96/2023/NĐ-CP Điều 87 — điều kiện an toàn CNTT và bảo vệ dữ liệu cho cơ sở vận hành KCB từ xa.
Thông tư 11/2025/TT-BYT (sửa đổi Thông tư 02/2018 GPP) — phần mềm nhà thuốc kết nối hệ thống dược / kê đơn điện tử quốc gia và mã đơn điện tử 14 ký tự.

Định nghĩa cần nắm:

"Dữ liệu cá nhân" — bất kỳ thông tin nào gắn với hoặc nhận diện một cá nhân.
"Dữ liệu cá nhân nhạy cảm" — tập con xác định bao gồm dữ liệu sức khỏe, sinh trắc, di truyền, xu hướng tình dục, tín ngưỡng, quan điểm chính trị, tài khoản tài chính, lý lịch tư pháp và các loại khác liệt kê tại Luật và Nghị định. Bên kiểm soát ngành y tế phải **thông báo trước và bằng văn bản** với chủ thể dữ liệu rằng dữ liệu thu thập là nhạy cảm — nghĩa vụ riêng không có với dữ liệu cá nhân thông thường.
"Bên kiểm soát dữ liệu" và "Bên xử lý dữ liệu" có nghĩa vụ khác nhau; bên kiểm soát chung phải thỏa thuận bằng văn bản phân bổ trách nhiệm.
"Chuyển dữ liệu cá nhân xuyên biên giới" — thay thuật ngữ 2023 "chuyển dữ liệu cá nhân ra nước ngoài", bao gồm cả chuyển sang máy chủ nước ngoài và truy cập từ nước ngoài vào dữ liệu lưu tại Việt Nam.

Quyền của chủ thể dữ liệu (Điều 4 Luật 91/2025/QH15): Quyền được thông báo về việc xử lý, đồng ý hoặc từ chối, rút lại sự đồng ý bất kỳ lúc nào, truy cập, xem và chỉnh sửa, yêu cầu cung cấp hoặc xóa, hạn chế xử lý, phản đối xử lý, khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại, và yêu cầu bên kiểm soát và cơ quan áp dụng biện pháp bảo vệ. Nghị định 356/2025/NĐ-CP đặt thời hạn phản hồi ban đầu **2 ngày làm việc** để tiếp nhận và ghi nhận yêu cầu của chủ thể, với hạn xử lý nội dung dài hơn.

Căn cứ pháp lý và sự đồng ý đối với dữ liệu sức khỏe:

Sự đồng ý là căn cứ mặc định; với dữ liệu sức khỏe nhạy cảm, sự đồng ý phải cụ thể, có thông tin và được tài liệu hóa riêng.
Điều 19 của Luật quy định ngoại lệ hẹp trong cấp cứu, bảo vệ lợi ích công cộng, tình huống cứu mạng và một số nghĩa vụ pháp định — bao gồm cấp cứu theo Luật 15/2023.
Bên kiểm soát ngành y tế KHÔNG được chuyển dữ liệu người bệnh cho bên thứ ba cung cấp dịch vụ y tế, bảo hiểm nhân thọ hoặc bảo hiểm xã hội mà không có yêu cầu bằng văn bản của người bệnh, trừ khi áp dụng Điều 19.

Nghĩa vụ của bên kiểm soát / bên xử lý:

Hồ sơ DPIA: mỗi bên kiểm soát xử lý dữ liệu cá nhân nhạy cảm phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và nộp Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an trong 60 ngày kể từ khi bắt đầu xử lý. KCB từ xa, EMR, kê đơn điện tử, truy xuất nguồn gốc thuốc, đơn vị tài trợ / CRO thử nghiệm lâm sàng và bên xử lý BHYT đều thuộc phạm vi do định nghĩa dữ liệu nhạy cảm.
DPO — bộ phận hoặc nhân sự chuyên trách bảo vệ dữ liệu cá nhân: bắt buộc với tổ chức xử lý dữ liệu cá nhân nhạy cảm, mặc định bao gồm ngành y tế. DPO là đầu mối liên hệ với chủ thể dữ liệu và với A05.
An toàn: biện pháp kỹ thuật và tổ chức tương xứng rủi ro — mã hóa, kiểm soát truy cập, phân tách, kiểm soát lưu trữ, ghi nhật ký kiểm toán.
Thông báo sự cố: trong vòng **72 giờ** cho A05 Bộ Công an, hồ sơ chi tiết lưu giữ ít nhất 5 năm. Khi sự cố liên quan dữ liệu sinh trắc hoặc vị trí, cũng phải thông báo chủ thể trong 72 giờ hoặc sớm nhất có thể.
Dữ liệu trẻ em: xử lý cần sự đồng ý của cha mẹ hoặc người giám hộ; trẻ từ 7 tuổi cần thêm sự đồng thuận của trẻ.

Chuyển dữ liệu cá nhân xuyên biên giới:

Thuật ngữ theo Luật 2025: "chuyển dữ liệu cá nhân xuyên biên giới".
Bắt buộc **báo cáo đánh giá tác động chuyển dữ liệu xuyên biên giới (Mẫu 09)** nộp Cục A05 trong 60 ngày kể từ khi bắt đầu chuyển; báo cáo phải kèm hợp đồng hoặc cam kết chuyển và bằng chứng kiểm soát bảo vệ tại bên nhận.
Ngoại lệ hẹp: hợp đồng vận chuyển hoặc thanh toán quốc tế, du học, cấp cứu y tế tại nước ngoài, và cửa sổ nộp chậm 5 năm cho doanh nghiệp nhỏ không kinh doanh dữ liệu.
Nhà cung cấp KCB từ xa nước ngoài phục vụ người bệnh Việt Nam từ máy chủ ở nước ngoài thuộc phạm vi và phải hoặc định tuyến qua cơ sở có giấy phép Việt Nam (xem trang Telemedicine của Medibase) hoặc nộp hồ sơ chuyển dữ liệu xuyên biên giới.
Áp dụng ngoài lãnh thổ: Luật 91/2025/QH15 áp dụng với tổ chức nước ngoài xử lý dữ liệu cá nhân của người cư trú tại Việt Nam từ nước ngoài.

Lưu trữ trong nước theo Luật An ninh mạng + Nghị định 53/2022/NĐ-CP:

Luật 91/2025/QH15 không áp đặt bắt buộc lưu trữ trong nước tổng quát; lưu trữ trong nước vẫn do Luật An ninh mạng và Nghị định 53/2022 điều chỉnh.
Dịch vụ trực tuyến thuộc phạm vi lưu trữ dữ liệu cá nhân người dùng Việt Nam phải lưu trữ tại Việt Nam tối thiểu một thời gian. Nền tảng KCB từ xa và EMR có vốn đầu tư nước ngoài nên đánh giá lưu trữ trong nước song song với DPIA.

Chế tài:

Điều 8 Luật 91/2025/QH15 luật hóa trực tiếp mức phạt hành chính trong Luật — thay đổi quan trọng so với khung 2023 vốn dựa vào Nghị định 15/2020/NĐ-CP chung về xử phạt trong viễn thông và CNTT.
Bán trái phép dữ liệu cá nhân: phạt đến **10 lần doanh thu bất hợp pháp**.
Vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: phạt đến **5 % doanh thu năm trước** của tổ chức vi phạm.
Vi phạm khác: phạt đến **3 tỷ VND** đối với tổ chức; cá nhân chịu mức bằng một nửa.
Một nghị định xử phạt hành chính chuyên biệt về an ninh mạng và bảo vệ dữ liệu cá nhân đang được Bộ Công an lấy ý kiến đầu năm 2026 và sẽ quy định chi tiết thủ tục; trong khi chờ ban hành, A05 thi hành theo quy định phạt trực tiếp tại Luật.
Trách nhiệm hình sự: Điều 288 Bộ luật Hình sự ("Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông") — phạt tiền 30–200 triệu VND, hoặc tù đến 3 năm, mức tăng nặng đến 7 năm.
Chế tài hành chính ngành y tế theo Nghị định 117/2020/NĐ-CP vẫn hiệu lực với vi phạm y tế không liên quan dữ liệu và có thể áp dụng đồng thời với chế tài bảo vệ dữ liệu.

Quy định giao thoa ngành y tế:

Điều 69 Luật 15/2023/QH15 — bảo mật người bệnh và quyền truy cập, sao chép hồ sơ bệnh án của chính mình. Bên kiểm soát hệ thống EMR phải có khả năng cung cấp bản sao hồ sơ cho người bệnh khi yêu cầu.
Điều 87 khoản 1 Nghị định 96/2023/NĐ-CP — cơ sở KCB từ xa phải bảo đảm an toàn truyền tải, hiển thị, xử lý và lưu trữ dữ liệu lâm sàng và ký kết điều khoản bảo vệ dữ liệu với nhà cung cấp công nghệ.
Thông tư 11/2025/TT-BYT — phần mềm nhà thuốc phải kết nối hệ thống dược / kê đơn điện tử quốc gia; chỉ cấp phát theo đơn điện tử mang mã quốc gia 14 ký tự; định danh người bệnh chạy qua đường truyền này là dữ liệu sức khỏe nhạy cảm, và đơn vị nhà thuốc thừa kế nghĩa vụ DPIA, DPO và thông báo sự cố.
Điều 112 Luật 15/2023/QH15 — chương về hệ thống thông tin sức khỏe cá nhân và yêu cầu cơ sở triển khai EMR và kê đơn điện tử và kết nối với hệ thống thông tin quản lý hoạt động khám, chữa bệnh quốc gia .

Danh mục tuân thủ thực tiễn (đơn vị vận hành KCB từ xa, EMR, kê đơn điện tử, truy xuất nguồn gốc thuốc, thử nghiệm lâm sàng): 1. Lập bản đồ luồng dữ liệu: phân loại từng loại là dữ liệu cá nhân, dữ liệu cá nhân nhạy cảm, hoặc dữ liệu phi cá nhân. Dữ liệu sức khỏe mặc định là nhạy cảm. 2. Cập nhật mẫu đồng ý: đồng ý riêng, cụ thể cho xử lý dữ liệu nhạy cảm, kèm thông báo rõ ràng rằng dữ liệu là nhạy cảm. 3. Lập và nộp hồ sơ DPIA với Cục A05 trong 60 ngày từ khi bắt đầu xử lý; cập nhật khi thay đổi nội dung. 4. Bổ nhiệm DPO (hoặc nhóm DPO) và công bố kênh liên hệ. 5. Chuyển dữ liệu xuyên biên giới: rà soát mọi bên nhận ở nước ngoài (vùng cloud, phân tích công ty mẹ, CRO nước ngoài, nhà tài trợ nước ngoài), nộp Mẫu 09 với A05, và ký hợp đồng chuyển với kiểm soát bảo vệ tại bên nhận. 6. Lưu trữ trong nước: đánh giá Luật An ninh mạng / Nghị định 53/2022 riêng cho dịch vụ trực tuyến thuộc phạm vi và bố trí lưu trữ vùng Việt Nam khi cần. 7. Quy trình ứng phó sự cố: cửa sổ thông báo 72 giờ cho A05; sự cố dữ liệu sinh trắc / vị trí thêm thông báo cho chủ thể. 8. Lưu giữ hồ sơ: tối thiểu 5 năm cho hồ sơ sự cố và nhật ký xử lý. 9. Hợp đồng nhà cung cấp: điều khoản bên xử lý với phân bổ trách nhiệm cụ thể, kiểm soát bên xử lý phụ, quyền kiểm toán, xóa khi chấm dứt. 10. Quản trị giao thoa: đồng bộ với quy trình quyền người bệnh theo Luật 15/2023 (Điều 69), kiểm soát KCB từ xa Nghị định 96/2023 (Điều 87), và kết nối phần mềm nhà thuốc Thông tư 11/2025.

Chỉ mang tính tham khảo, không thay thế tư vấn pháp lý. Luôn đối chiếu với bản hợp nhất Luật 91/2025/QH15 và Nghị định 356/2025/NĐ-CP trên vanban.chinhphu.vn và hướng dẫn hiện hành của Bộ Công an / Cục A05.

Văn bản pháp luật chính

Luật nền tảng:

Luật 91/2025/QH15 — Luật Bảo vệ dữ liệu cá nhân, thông qua 26/6/2025, hiệu lực 01/01/2026. 5 chương, 39 điều. Điều 4 (quyền của chủ thể dữ liệu), Điều 8 (mức phạt hành chính), Điều 19 (ngoại lệ xử lý hợp pháp).
Luật An ninh mạng 24/2018/QH14 — an ninh mạng, điểm tựa lưu trữ trong nước.
Luật Khám bệnh, chữa bệnh 15/2023/QH15 Điều 69 (bảo mật và truy cập hồ sơ người bệnh); Điều 112 (hệ thống thông tin sức khỏe cá nhân).
Bộ luật Hình sự Điều 288 — đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông.

Nghị định:

Nghị định 356/2025/NĐ-CP — 31/12/2025, hiệu lực 01/01/2026, hướng dẫn thi hành Luật 91/2025/QH15. 5 chương, 42 điều, 10 mẫu phụ lục (Mẫu 09 — báo cáo đánh giá tác động chuyển dữ liệu xuyên biên giới).
Nghị định 53/2022/NĐ-CP — lưu trữ trong nước theo Luật An ninh mạng.
Nghị định 96/2023/NĐ-CP Điều 87 — an toàn CNTT và bảo vệ dữ liệu KCB từ xa.
Nghị định 117/2020/NĐ-CP (sửa bởi Nghị định 124/2021/NĐ-CP) — xử phạt hành chính trong lĩnh vực y tế.

Thông tư:

Thông tư 11/2025/TT-BYT — phần mềm nhà thuốc kết nối hệ thống dược / kê đơn điện tử quốc gia; mã đơn điện tử 14 ký tự.
Thông tư 18/2026/TT-BYT — thuốc kiểm soát đặc biệt, bao gồm cấm kê đơn từ xa chất gây nghiện, hướng thần và tiền chất (giao thoa bảo vệ dữ liệu).

Đã thay:

Nghị định 13/2023/NĐ-CP — bãi bỏ bởi Nghị định 356/2025/NĐ-CP từ 01/01/2026.

Chế tài và cơ quan thực thi:

Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công an. Cơ quan thực thi chính của Luật 91/2025/QH15 và Nghị định 356/2025/NĐ-CP.
Một nghị định xử phạt hành chính chuyên biệt về an ninh mạng và bảo vệ dữ liệu cá nhân đang lấy ý kiến.

Văn bản gốc

Liên kết tới văn bản gốc trên cổng thông tin chính thức.

Luật và nghị định:

Luật 91/2025/QH15 — https://vanban.chinhphu.vn/?pageid=27160&docid=214590
Luật 91/2025/QH15 (bản gốc qua vbpl.vn) — https://vbpl.vn/TW/Pages/vbpq-van-ban-goc.aspx?ItemID=179252
Nghị định 356/2025/NĐ-CP — https://vanban.chinhphu.vn/?pageid=27160&docid=216387
Nghị định 13/2023/NĐ-CP (bãi bỏ 01/01/2026) — https://vanban.chinhphu.vn/?pageid=27160&docid=207759
Luật Khám bệnh, chữa bệnh 15/2023/QH15 — https://vanban.chinhphu.vn/?pageid=27160&docid=207396
Nghị định 96/2023/NĐ-CP — https://vanban.chinhphu.vn/?pageid=27160&docid=209491
Điều 288 Bộ luật Hình sự — https://thuvienphapluat.vn/hoi-dap-phap-luat/dieu-288-bo-luat-hinh-su-quy-dinh-ve-toi-dua-hoac-su-dung-trai-phep-thong-tin-mang-may-tinh-mang-vi-138065165.html

Hướng dẫn ngành:

Bộ Công an — ghi chú ngành về bảo vệ dữ liệu cá nhân — https://bocongan.gov.vn/chinh-sach-phap-luat/bai-viet/bao-ve-du-lieu-ca-nhan-trong-mot-so-hoat-dong-1754989261
Ghi chú thủ tục Mẫu 09 chuyển dữ liệu xuyên biên giới (VDPC) — https://vdpc.vn/thu-tuc-thong-bao-danh-gia-tac-dong-chuyen-du-lieu-ca-nhan-ra-nuoc-ngoai/
Dự thảo nghị định xử phạt (Bộ Công an lấy ý kiến 2026) — https://thuvienphapluat.vn/chinh-sach-phap-luat-moi/vn/ho-tro-phap-luat/chinh-sach-moi/107459/

Cổng vận hành:

Bộ Công an / Cục A05 — https://bocongan.gov.vn
Bộ Y tế — https://moh.gov.vn
Cục Quản lý Khám, Chữa bệnh — https://kcb.vn
Bảo hiểm Xã hội Việt Nam (BHYT — VSS) — https://baohiemxahoi.gov.vn

Tham chiếu Medibase:

Trang tham khảo — KCB từ xa — /practice/telemedicine/
Trang tham khảo — Chứng chỉ Hành nghề — /practice/practice-licensing/
Trang tham khảo — Giấy phép Cơ sở KCB — /practice/facility-licensing/
Trang tham khảo — Phân phối & Bán lẻ Thuốc (kê đơn điện tử) — /medicine/distribution-retail/
Trang tham khảo — Thuốc kiểm soát đặc biệt — /medicine/special-control/

Cập nhật mới

17/4/2023 — Chính phủ ban hành Nghị định 13/2023/NĐ-CP, nghị định bảo vệ dữ liệu toàn diện đầu tiên của Việt Nam (hiệu lực 01/7/2023).

12/6/2018 — Quốc hội thông qua Luật An ninh mạng 24/2018/QH14, cung cấp điểm tựa lưu trữ trong nước.

15/8/2022 — Chính phủ ban hành Nghị định 53/2022/NĐ-CP chi tiết hóa quy định lưu trữ trong nước.

26/6/2025 — Quốc hội khóa XV thông qua Luật 91/2025/QH15 (Luật Bảo vệ dữ liệu cá nhân) tại kỳ họp thứ 9 — luật chính chuyên biệt đầu tiên về bảo vệ dữ liệu cá nhân tại Việt Nam.

31/12/2025 — Chính phủ ban hành Nghị định 356/2025/NĐ-CP hướng dẫn thi hành Luật 91/2025/QH15 và bãi bỏ rõ ràng Nghị định 13/2023/NĐ-CP.

01/01/2026 — Luật 91/2025/QH15 và Nghị định 356/2025/NĐ-CP có hiệu lực. Bên kiểm soát ngành y tế phải có sẵn cơ chế DPIA, DPO và thông báo sự cố; chuyển dữ liệu xuyên biên giới yêu cầu nộp Mẫu 09.

Đầu 2026 — Bộ Công an công bố dự thảo nghị định xử phạt hành chính về an ninh mạng và bảo vệ dữ liệu cá nhân để lấy ý kiến.

Tài nguyên & liên kết

Cổng vận hành:

Bộ Công an / Cục A05 — https://bocongan.gov.vn
Bộ Y tế — https://moh.gov.vn
Cục Quản lý Khám, Chữa bệnh — https://kcb.vn
Bảo hiểm Xã hội Việt Nam (BHYT — VSS) — https://baohiemxahoi.gov.vn

Cổng văn bản pháp luật:

Cổng thông tin điện tử Chính phủ — văn bản pháp luật — https://vanban.chinhphu.vn
Công báo điện tử — https://congbao.chinhphu.vn
Cổng pháp luật quốc gia (Bộ Tư pháp) — https://vbpl.vn
Thư viện pháp luật — https://thuvienphapluat.vn

Tham chiếu Medibase:

Trang tham khảo — KCB từ xa — /practice/telemedicine/
Trang tham khảo — Chứng chỉ Hành nghề — /practice/practice-licensing/
Trang tham khảo — Giấy phép Cơ sở KCB — /practice/facility-licensing/
Trang tham khảo — Phân phối & Bán lẻ Thuốc — /medicine/distribution-retail/
Trang tham khảo — Thuốc kiểm soát đặc biệt — /medicine/special-control/
Trang tham khảo — Thử nghiệm lâm sàng & BE — /medicine/clinical-trials-be/

Câu hỏi thường gặp

What changed for healthcare on 1 January 2026?: Luật 91/2025/QH15 (the Personal Data Protection Law) and Nghị định 356/2025/NĐ-CP entered into force, replacing the prior Nghị định 13/2023/NĐ-CP. Healthcare controllers — telemedicine platforms, EMR operators, e-prescription pharmacies, drug-traceability operators, BHYT processors and clinical-trial sponsors — must have DPIA, DPO and breach-notification machinery in place because health data is classified as sensitive personal data.
Is health data sensitive personal data?: Yes. The 2025 Law and Decree 356 classify health data — including biometric and genetic data — as sensitive personal data, requiring specific informed consent and an express advance notice to the subject that the data is sensitive.
When must I file a DPIA?: Within 60 days of starting the processing, with Cục A05 of Bộ Công an. The DPIA must be updated when material changes occur.
Do I have to appoint a DPO?: Yes. Organisations processing sensitive personal data are required to designate a personal-data protection officer or team; healthcare is in scope by default.
Can I host telemedicine or EMR data on overseas cloud regions?: Possibly, but you must (i) file the cross-border transfer impact-assessment report (Mẫu 09) with Cục A05 within 60 days, (ii) put in place a transfer contract with protective controls in the receiving jurisdiction, and (iii) run a separate Luật An ninh mạng + Nghị định 53/2022 localisation assessment for in-scope online services. Foreign telemedicine platforms serving Vietnamese patients from overseas servers also fall in scope.
How quickly must I notify a breach?: Within 72 hours to Cục A05 of Bộ Công an. If the breach involves biometric or location data, also notify the affected subjects within 72 hours or as soon as possible. Records must be retained at least 5 years.
What are the headline penalties?: Article 8 of Luật 91/2025/QH15 codifies penalty caps directly in the Law: up to 10× illegal revenue for unlawful sale of personal data, up to 5 % of prior-year revenue for cross-border transfer violations, up to VND 3 billion for other violations (individuals: half the organisational cap). Criminal liability is under Bộ luật Hình sự Article 288.
Does Luật 91/2025/QH15 mandate data localisation?: No — localisation continues to be governed by Luật An ninh mạng 24/2018/QH14 and Nghị định 53/2022/NĐ-CP. Run that assessment in parallel to the DPIA for any in-scope online service.
How does this interact with the e-prescription pipeline?: Thông tư 11/2025/TT-BYT requires pharmacy software to connect to the national pharmacy / e-prescription system and to dispense only against the 14-character electronic prescription code. The patient identifiers and dispensing data flowing through this pipe are sensitive health data; pharmacy operators inherit DPIA, DPO and breach-notification duties.

Lịch sử cập nhật

2026-06-28: Xuất bản lần đầu. Phản ánh Luật 91/2025/QH15 (hiệu lực 01/01/2026), Nghị định 356/2025/NĐ-CP (nghị định hướng dẫn, hiệu lực 01/01/2026, thay thế Nghị định 13/2023/NĐ-CP), Luật An ninh mạng 24/2018/QH14 + Nghị định 53/2022/NĐ-CP (lưu trữ trong nước), Điều 288 Bộ luật Hình sự (trách nhiệm hình sự), Luật Khám bệnh, chữa bệnh 15/2023/QH15 Điều 69 và 112, Nghị định 96/2023/NĐ-CP Điều 87, và Thông tư 11/2025/TT-BYT (kê đơn điện tử). Các mục đánh dấu chờ xác nhận từ nguồn gốc.

Hiệu lực từ:: 2026-01-01
Rà soát lần cuối:: 2026-06-28
Trang cập nhật:: 2026-06-28