Công văn nêu rõ: Để thực hiện có hiệu quả các quy định của Luật An toàn thông tin mạng, Luật An ninh mạng, Nghị định số 13/2023/NĐ-CP và Công văn số 2916/BCA-A05 ngày 22/8/2023 của Bộ Công an về việc tăng cường công tác bảo vệ dữ liệu cá nhân, Bảo hiểm xã hội Việt Nam yêu cầu các đơn vị trực thuộc; bảo hiểm xã hội các tỉnh, thành phố trực thuộc Trung ương khẩn trương triển khai một số nội dung sau đây.
Cụ thể, đối với các đơn vị cần thực hiện các nhiệm vụ dưới đây.
Thứ nhất, tổ chức triển khai và thực hiện nghiêm các quy định về bảo vệ dữ liệu cá nhân, những hành vi bị nghiêm cấm tại Điều 7 Luật An toàn thông tin mạng, Điều 8 Luật An ninh mạng, Điều 9 Quy chế quản lý, khai thác và sử dụng thông tin từ cơ sở dữ liệu tập trung ngành bảo hiểm xã hội (Quyết định số 2366/QĐ-BHXH ngày 28/11/2018); Điều 12 Quy chế bảo đảm an toàn thông tin trong ứng dụng công nghệ thông tin của ngành bảo hiểm xã hội (Quyết định số 967/QĐ-BHXH ngày 20/06/2017), chú trọng tổ chức phổ biến, quán triệt tới toàn bộ công chức-viên chức về quyền và nghĩa vụ theo quy định của pháp luật.
Thứ hai, nghiên cứu quy định về khai thác và sử dụng thông tin từ cơ sở dữ liệu tập trung ngành bảo hiểm xã hội, xử lý thông tin, dữ liệu cá nhân của người tham gia bảo hiểm xã hội, bảo hiểm y tế (sau đây gọi tắt là dữ liệu cá nhân) trên phần mềm nghiệp vụ, từ đó xác định rõ quyền hạn, trách nhiệm của công chức-viên chức trong việc khai thác, xử lý dữ liệu cá nhân.
Thứ ba, phân công, giao nhiệm vụ bằng văn bản cho công chức-viên chức được khai thác, xử lý dữ liệu cá nhân. Xác minh, làm rõ các trường hợp để lộ lọt mật khẩu tài khoản, cho mượn tài khoản, sử dụng không đúng tài khoản để truy cập, khai thác dữ liệu cá nhân tại đơn vị và báo cáo về Bảo hiểm xã hội Việt Nam (qua Trung tâm Công nghệ thông tin).
Thứ tư, tuân thủ hướng dẫn tại Công văn số 1610/BHXH-CNTT ngày 17/06/2022 về việc tăng cường công tác quản lý, bảo đảm an toàn thông tin truy cập hệ thống thông tin của ngành; Công văn số 2201/BHXH-CNTT ngày 19/07/2023 về việc triển khai xác thực OTP kiểm soát truy cập VPN.
Rà soát việc quản lý sử dụng tài khoản VPN, xác định rõ nhu cầu, thời hạn sử dụng và sự phù hợp với công việc được phân công của công chức-viên chức; kịp thời thu hồi tài khoản không có nhu cầu, hết thời hạn sử dụng, nghỉ hưu, thôi việc, chuyển công tác…
Thứ năm, kiểm soát các kênh trao đổi của công chức-viên chức với các cá nhân, đơn vị bên ngoài ngành, bảo đảm không rò rỉ, lộ lọt dữ liệu cá nhân trên không gian mạng; thực hiện đúng quy định của pháp luật và của ngành khi cung cấp dữ liệu cá nhân cho các đơn vị ngoài ngành.
Thứ sáu, thường xuyên theo dõi cảnh báo của Bảo hiểm xã hội Việt Nam về lộ lọt mật khẩu tài khoản, lỗ hổng, điểm yếu an toàn thông tin trên nền tảng điều phối, ứng cứu xử lý sự cố để kịp thời xử lý.
Đối với cá nhân cần thực hiện các nội dung sau.
Một là, tuân thủ các quy định của pháp luật và của ngành về bảo vệ dữ liệu cá nhân.
Hai là, chỉ được truy cập và khai thác các dữ liệu nghiệp vụ của ngành theo đúng nhiệm vụ được phân công, phân quyền; tuyệt đối không sử dụng tài khoản của người khác hoặc cho người khác sử dụng tài khoản; có ý thức trách nhiệm bảo vệ tài khoản và thiết lập mật khẩu mạnh, an toàn.
Ba là, nghiêm cấm hành vi lợi dụng sơ hở, điểm yếu của hệ thống thông tin, phần mềm nghiệp vụ để thu thập, khai thác dữ liệu cá nhân; Sử dụng công cụ, phương tiện, phần mềm để khai thác trái phép, thu thập dữ liệu cá nhân từ hệ thống thông tin, phần mềm nghiệp vụ, cơ sở dữ liệu của ngành.
Bốn là, thực hiện các công việc được phân công và sử dụng tài khoản nghiệp vụ, tài khoản VPN được cấp trên đúng máy tính được giao, máy tính đã đăng ký sử dụng, hoàn toàn chịu trách nhiệm cá nhân khi để xảy ra việc truy cập, khai thác trái phép, làm lộ lọt dữ liệu của ngành trên máy tính, tài khoản được giao quản lý, sử dụng.
Đến hết năm 2022, toàn ngành bảo hiểm xã hội Việt Nam đang có gần 30 hệ thống ứng dụng công nghệ thông tin quản lý các quy trình nghiệp vụ, với hơn 20 nghìn tài khoản trong ngành thường xuyên truy cập, khai thác và sử dụng để thực hiện các nghiệp vụ của ngành.
Trung tâm Công nghệ thông tin (Bảo hiểm xã hội Việt Nam) là đơn vị chủ trì xây dựng các giải pháp kỹ thuật để thực hiện công tác bảo vệ dữ liệu cá nhân.
Thêm vào đó, thực hiện cảnh báo các trường hợp để lộ lọt mật khẩu tài khoản, cho mượn tài khoản, sử dụng không đúng tài khoản để truy cập; trường hợp sử dụng công cụ, phương tiện, phần mềm để khai thác trái phép lỗ hổng, điểm yếu an toàn thông tin của người dùng trên nền tảng điều phối, ứng cứu xử lý sự cố để các đơn vị xác minh, làm rõ.
Đơn vị này cũng thực hiện các biện pháp ngăn chặn các hành vi có dấu hiệu vi phạm, khai thác dữ liệu cá nhân trái phép tại các đơn vị; tổng hợp và báo cáo Bảo hiểm xã hội Việt Nam những tài khoản có dấu hiệu bất thường; thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân khi phát hiện xảy ra vi phạm về cơ quan Công an theo hướng dẫn tại Nghị định số 13/2023/NĐ-CP.
Cùng với đó, Bảo hiểm xã hội Việt Nam yêu cầu các đơn vị nghiêm túc thực hiện, phổ biến, quán triệt tới toàn thể công chức-viên chức trong đơn vị; nghiêm cấm mọi hành vi cung cấp dữ liệu cá nhân cho các tổ chức, cá nhân ngoài ngành khi chưa có sự đồng ý của cơ quan này.
Tính đến hết năm 2022, toàn ngành bảo hiểm xã hội Việt Nam đang có gần 30 hệ thống ứng dụng công nghệ thông tin quản lý các quy trình nghiệp vụ, với hơn 20 nghìn tài khoản trong ngành thường xuyên truy cập, khai thác và sử dụng để thực hiện các nghiệp vụ của ngành.
Bảo hiểm xã hội Việt Nam đã xây dựng, hoàn thiện kho cơ sở dữ liệu của hơn 98,7 triệu người dân; kết nối liên thông với gần 13.000 cơ sở khám, chữa bệnh; có khoảng hơn 620 nghìn tổ chức, doanh nghiệp sử dụng dịch vụ công trên toàn quốc.
Hệ thống giao dịch bảo hiểm xã hội điện tử và hệ thống Thông tin giám định bảo hiểm y tế tiếp nhận khoảng 300 triệu hồ sơ giao dịch trực tuyến (trong đó có khoảng 170 triệu lượt đề nghị thanh toán chi phí khám, chữa bệnh bảo hiểm y tế); kết nối, chia sẻ và khai thác thông tin dữ liệu với các cơ sở dữ liệu quốc gia, chuyên ngành thông qua nền tảng tích hợp chia sẻ dữ liệu quốc gia.
Đến hết năm 2022, Bảo hiểm xã hội Việt Nam đã xây dựng, hoàn thiện kho cơ sở dữ liệu của hơn 98,7 triệu người dân; kết nối liên thông với gần 13.000 cơ sở khám, chữa bệnh; có khoảng hơn 620 nghìn tổ chức, doanh nghiệp sử dụng dịch vụ công trên toàn quốc.
Qua đó, ngành đã thực hiện hơn 500 triệu xác thực và chia sẻ thông tin với các bộ, ngành, địa phương… Đây là tiền đề quan trọng cho công tác tổ chức, thực hiện chính sách trên môi trường số; là nền tảng trong việc chuyển đổi số, ứng dụng các công nghệ Big Data, AI nhằm mục tiêu trở thành tổ chức an sinh xã hội hiện đại của ngành.