Công văn nêu rõ: Để thực hiện có hiệu quả các quy định của Luật An toàn thông tin mạng, Luật An ninh mạng, Nghị định số 13/2023/NĐ-CP và Công văn số 2916/BCA-A05 ngày 22/8/2023 của Bộ Công an về việc tăng cường công tác bảo vệ dữ liệu cá nhân, BHXH Việt Nam yêu cầu các đơn vị trực thuộc; BHXH các tỉnh, thành phố trực thuộc Trung ương khẩn trương triển khai một số nội dung sau đây:

Đối với các đơn vị

1. Tổ chức triển khai và thực hiện nghiêm các quy định về bảo vệ dữ liệu cá nhân, những hành vi bị nghiêm cấm tại Điều 7 Luật An toàn thông tin mạng, Điều 8 Luật An ninh mạng, Điều 9 Quy chế quản lý, khai thác và sử dụng thông tin từ cơ sở dữ liệu tập trung ngành BHXH (Quyết định số 2366/QĐ-BHXH ngày 28/11/2018); Điều 12 Quy chế bảo đảm an toàn thông tin trong ứng dụng công nghệ thông tin của ngành BHXH (Quyết định số 967/QĐ-BHXH ngày 20/06/2017), chú trọng tổ chức phổ biến, quán triệt tới toàn bộ CCVC về quyền và nghĩa vụ theo quy định của pháp luật.

2. Nghiên cứu quy định về khai thác và sử dụng thông tin từ cơ sở dữ liệu tập trung ngành BHXH, xử lý thông tin, dữ liệu cá nhân của người tham gia BHXH, BHYT (sau đây gọi tắt là dữ liệu cá nhân) trên phần mềm nghiệp vụ, từ đó xác định rõ quyền hạn, trách nhiệm của CCVC trong việc khai thác, xử lý dữ liệu cá nhân.

3. Phân công, giao nhiệm vụ bằng văn bản cho CCVC được khai thác, xử lý dữ liệu cá nhân. Xác minh, làm rõ các trường hợp để lộ lọt mật khẩu tài khoản, cho mượn tài khoản, sử dụng không đúng tài khoản để truy cập, khai thác dữ liệu cá nhân tại đơn vị và báo cáo về BHXH Việt Nam (qua Trung tâm CNTT).

4. Tuân thủ hướng dẫn tại Công văn số 1610/BHXH-CNTT ngày 17/06/2022 về việc tăng cường công tác quản lý, bảo đảm an toàn thông tin truy cập hệ thống thông tin của Ngành; Công văn số 2201/BHXH-CNTT ngày 19/07/2023 về việc triển khai xác thực OTP kiểm soát truy cập VPN. Rà soát việc quản lý sử dụng tài khoản VPN, xác định rõ nhu cầu, thời hạn sử dụng và sự phù hợp với công việc được phân công của CCVC; kịp thời thu hồi tài khoản không có nhu cầu, hết thời hạn sử dụng, nghỉ hưu, thôi việc, chuyển công tác…

5. Kiểm soát các kênh trao đổi của CCVC với các cá nhân, đơn vị bên ngoài Ngành, bảo đảm không rò rỉ, lộ lọt dữ liệu cá nhân trên không gian mạng; thực hiện đúng quy định của pháp luật và của Ngành khi cung cấp dữ liệu cá nhân cho các đơn vị ngoài Ngành.

6. Thường xuyên theo dõi cảnh báo của BHXH Việt Nam về lộ lọt mật khẩu tài khoản, lỗ hổng, điểm yếu an toàn thông tin trên nền tảng điều phối, ứng cứu xử lý sự cố để kịp thời xử lý.

Đối với cá nhân

1. Tuân thủ các quy định của pháp luật và của Ngành về bảo vệ dữ liệu cá nhân.

2. Chỉ được truy cập và khai thác các dữ liệu nghiệp vụ của Ngành theo đúng nhiệm vụ được phân công, phân quyền; tuyệt đối không sử dụng tài khoản của người khác hoặc cho người khác sử dụng tài khoản; có ý thức trách nhiệm bảo vệ tài khoản và thiết lập mật khẩu mạnh, an toàn.

3. Nghiêm cấm hành vi lợi dụng sơ hở, điểm yếu của hệ thống thông tin, phần mềm nghiệp vụ để thu thập, khai thác dữ liệu cá nhân; Sử dụng công cụ, phương tiện, phần mềm để khai thác trái phép, thu thập dữ liệu cá nhân từ hệ thống thông tin, phần mềm nghiệp vụ, cơ sở dữ liệu của Ngành.

4. Thực hiện các công việc được phân công và sử dụng tài khoản nghiệp vụ, tài khoản VPN được cấp trên đúng máy tính được giao, máy tính đã đăng ký sử dụng, hoàn toàn chịu trách nhiệm cá nhân khi để xảy ra việc truy cập, khai thác trái phép, làm lộ lọt dữ liệu của Ngành trên máy tính, tài khoản được giao quản lý, sử dụng.

Đối với Trung tâm Công nghệ thông tin

1. Là đơn vị chủ trì xây dựng các giải pháp kỹ thuật để thực hiện công tác bảo vệ dữ liệu cá nhân.

2. Thực hiện cảnh báo các trường hợp để lộ lọt mật khẩu tài khoản, cho mượn tài khoản, sử dụng không đúng tài khoản để truy cập; trường hợp sử dụng công cụ, phương tiện, phần mềm để khai thác trái phép lỗ hổng, điểm yếu an toàn thông tin của người dùng trên nền tảng điều phối, ứng cứu xử lý sự cố để các đơn vị xác minh, làm rõ.

3. Thực hiện các biện pháp ngăn chặn các hành vi có dấu hiệu vi phạm, khai thác dữ liệu cá nhân trái phép tại các đơn vị; tổng hợp và báo cáo BHXH Việt Nam những tài khoản có dấu hiệu bất thường; thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân khi phát hiện xảy ra vi phạm về cơ quan Công an theo hướng dẫn tại Nghị định số 13/2023/NĐ-CP.

Cùng với đó, BHXH Việt Nam yêu cầu các đơn vị nghiêm túc thực hiện, phổ biến, quán triệt tới toàn thể CCVC trong đơn vị; nghiêm cấm mọi hành vi cung cấp dữ liệu cá nhân cho các tổ chức, cá nhân ngoài Ngành khi chưa có sự đồng ý của BHXH Việt Nam./.