Khi tấm bản đồ lộ trình triển khai Bệnh án điện tử đã được vẽ ra rõ ràng bởi Công văn 365/TTYQG-GPQLCL, các nhà quản lý bệnh viện ngay lập tức phải đối mặt với một bài toán hóc búa mang tính nền tảng: “Chúng ta sẽ đặt ‘trái tim’ của hệ thống – tức kho dữ liệu khổng lồ của bệnh viện – ở đâu?”. Câu hỏi này không đơn thuần là sự lựa chọn về địa điểm, mà là một quyết định chiến lược ảnh hưởng trực tiếp đến chi phí đầu tư, khả năng vận hành và sự an toàn của toàn bộ hệ thống y tế trong tương lai. Trước đây, hình ảnh quen thuộc tại các bệnh viện là những căn phòng máy chủ (Server Room) đèn nhấp nháy, tiếng quạt gió kêu ù ù suốt ngày đêm. Nhưng nay, làn sóng điện toán đám mây (Cloud Computing) đang ập đến mạnh mẽ, mang theo lời hứa về sự linh hoạt và tiết kiệm. Đứng giữa ngã ba đường này, Công văn 365 đóng vai trò như một người trọng tài công tâm, đưa ra những tiêu chuẩn kỹ thuật rạch ròi cho cả hai phương án, giúp các Giám đốc bệnh viện có đủ cơ sở để đưa ra quyết định sáng suốt nhất, phù hợp với quy mô và nguồn lực của đơn vị mình.
Đối với những đơn vị lựa chọn con đường truyền thống là xây dựng hạ tầng tại chỗ, Công văn 365 tại Mục III.2.d đã đặt ra những yêu cầu không hề dễ dàng, biến phòng máy chủ từ một kho chứa máy tính đơn thuần trở thành một “pháo đài” công nghệ thực thụ. Không còn chấp nhận việc đặt máy chủ trong một căn phòng tận dụng tạm bợ, văn bản yêu cầu phòng máy chủ hoặc trung tâm dữ liệu phải được trang bị tận răng: Từ hệ thống kiểm soát truy cập nghiêm ngặt, hệ thống giám sát nhiệt độ, độ ẩm môi trường, cho đến các hệ thống báo cháy, chữa cháy chuyên dụng, lưu điện (UPS), điều hòa chính xác và hệ thống tủ Rack, máng cáp chuẩn chỉnh. Mục tiêu là đảm bảo hạ tầng vận hành ổn định, an toàn tuyệt đối trước các rủi ro vật lý. Hơn thế nữa, bản thân các thiết bị phần cứng như máy chủ, thiết bị lưu trữ, thiết bị mạng và bảo mật cũng phải có tính sẵn sàng cao (High Availability), nghĩa là phải có cơ chế dự phòng để nếu một thiết bị hỏng, hệ thống vẫn hoạt động bình thường. Rõ ràng, để đáp ứng được “list” danh sách dài dằng dặc này, bệnh viện sẽ phải bỏ ra một khoản chi phí đầu tư ban đầu (CAPEX) khổng lồ và gánh thêm chi phí vận hành, bảo trì, tiền điện hàng tháng không hề nhỏ. Đây là thách thức lớn, đặc biệt với các cơ sở y tế quy mô vừa và nhỏ.
Nhận thấy rào cản đó, Công văn 365 đã mở ra một “lối thoát” đầy tiềm năng khi khuyến nghị các đơn vị, đặc biệt là tuyến khám chữa bệnh ban đầu, nên sử dụng hạ tầng điện toán đám mây (Cloud). Tuy nhiên, “lên Mây” không có nghĩa là phó mặc tất cả cho nhà cung cấp. Bộ Y tế đã thiết lập một hàng rào kỹ thuật cực kỳ chặt chẽ để bảo vệ các bệnh viện khi thuê dịch vụ này. Tiêu chuẩn đầu tiên và quan trọng nhất: Hạ tầng Cloud phải đặt tại Việt Nam. Điều này đảm bảo chủ quyền dữ liệu quốc gia và tốc độ truy cập. Tiếp đó, Trung tâm dữ liệu của đơn vị cung cấp dịch vụ không được là những “đám mây trôi nổi”, mà phải đáp ứng các quy định của Bộ Khoa học và Công nghệ, và đặc biệt được khuyến nghị đạt chuẩn quốc tế tối thiểu Tier 3 (hoặc Rated 3 TIA 942) và ISO 27001 về an toàn thông tin. Tier 3 là một bảo chứng vàng về độ ổn định, cam kết thời gian hoạt động (Uptime) lên tới 99,982%, đảm bảo hệ thống bệnh án điện tử luôn “sống” 24/7/365. Nếu nhà cung cấp Cloud mà Quý vị đang nhắm tới không đưa ra được những chứng chỉ này, hãy cẩn trọng, vì Quý vị đang đặt sinh mệnh của bệnh viện vào một nơi thiếu an toàn.
Một nỗi lo lớn nhất của các Giám đốc bệnh viện khi thuê Cloud là sợ bị “bắt chốt”, sợ dữ liệu của mình biến thành dữ liệu của nhà cung cấp, hoặc khi không thuê nữa thì bị gây khó dễ. Thấu hiểu điều này, Công văn 365 đã đưa ra những quy định pháp lý “thép” để bảo vệ quyền lợi của cơ sở y tế. Văn bản khẳng định rõ ràng: Dữ liệu hình thành trong quá trình thuê dịch vụ thuộc sở hữu trọn đời của cơ sở khám bệnh, chữa bệnh. Nhà cung cấp chỉ là người “giữ hộ”. Quan trọng hơn, công văn yêu cầu phải có điều khoản rõ ràng về việc khi kết thúc hợp đồng, nhà cung cấp dịch vụ có trách nhiệm bàn giao toàn bộ dữ liệu kèm theo đặc tả chi tiết cho bệnh viện, hỗ trợ chuyển dữ liệu an toàn về địa điểm mới, và sau đó phải hủy bỏ triệt để dữ liệu trên hệ thống của họ. Đây là những “điều khoản vàng” giúp bệnh viện nắm đằng chuôi, hoàn toàn chủ động và tự do trong việc lựa chọn đối tác công nghệ mà không lo bị lệ thuộc hay mất mát tài sản số. Bên cạnh đó, nhà cung cấp Cloud cũng phải có phương án kết nối an toàn từ phần mềm EMR tới các hệ thống vệ tinh như HIS, LIS, PACS theo yêu cầu của bệnh viện, đảm bảo tính liên thông không bị đứt gãy.
Dù lựa chọn phương án nào, “tự xây” hay “đi thuê”, thì nguyên tắc về An toàn thông tin và Sao lưu dữ liệu vẫn là sợi chỉ đỏ xuyên suốt Công văn 365. Các máy chủ và máy trạm làm việc tại bệnh viện bắt buộc phải được bảo vệ bằng phần mềm chống virus, mã độc và có cơ chế kiểm soát truy cập chặt chẽ. Đặc biệt, chiến lược sao lưu dữ liệu (Backup) được quy định rất cụ thể theo mô hình an toàn tối đa: Định kỳ thực hiện sao lưu gồm 01 bản tại cơ sở khám bệnh, chữa bệnh và khuyến nghị có thêm 01 bản tại đơn vị cung cấp dịch vụ lưu trữ. Quy định “trứng không để một giỏ” này nhằm đảm bảo rằng ngay cả khi bệnh viện bị tấn công mạng, bị mã hóa dữ liệu (Ransomware) hay gặp sự cố thiên tai cháy nổ tại chỗ, thì vẫn còn một bản sao an toàn ở nơi khác để phục hồi hệ thống, đảm bảo sự liên tục trong công tác khám chữa bệnh.
Ngoài ra, hạ tầng mạng đường truyền cũng được lưu ý đặc biệt. Phần mềm phải được triển khai trên hạ tầng mạng tốc độ cao, ổn định. Đối với mạng nội bộ (LAN), bệnh viện cần phân vùng, quy hoạch tài nguyên mạng hợp lý, tránh tình trạng “tắc đường” dữ liệu khi lượng bệnh nhân đông. Đồng thời, tầm nhìn xa của Bộ Y tế còn thể hiện ở yêu cầu về tính sẵn sàng với công nghệ IPv6. Hệ thống phải có khả năng hỗ trợ chuyển đổi sang IPv6 và có giải pháp chuyển đổi IPv4 sang IPv6 trong môi trường nội bộ và Internet. Đây là sự chuẩn bị cần thiết cho tương lai khi tài nguyên địa chỉ IPv4 đang cạn kiệt và IoT trong y tế bùng nổ.
Nhìn lại toàn bộ Mục III.2 của Công văn 365, chúng ta thấy một sự định hướng rất mở nhưng cũng rất chặt chẽ. Nó trao quyền tự quyết cho bệnh viện nhưng cũng ràng buộc trách nhiệm giải trình kỹ thuật. Tại Meditech, chúng tôi hiểu rằng không có một câu trả lời chung cho tất cả. Với các bệnh viện lớn, có nguồn lực IT mạnh, việc đầu tư Private Cloud (Đám mây riêng) hoặc phòng máy chủ đạt chuẩn tại chỗ có thể là lựa chọn tốt để tối đa hóa quyền kiểm soát. Nhưng với đại đa số các bệnh viện tuyến dưới và phòng khám, việc thuê dịch vụ Cloud từ các đối tác đạt chuẩn Tier 3 mà Meditech hợp tác tư vấn chính là lời giải tối ưu về chi phí và hiệu quả. Chúng tôi cam kết đồng hành cùng Quý vị trong việc khảo sát hạ tầng hiện trạng, đánh giá các tiêu chuẩn an toàn thông tin và tư vấn mô hình triển khai phù hợp nhất, đảm bảo tuân thủ tuyệt đối từng gạch đầu dòng trong Công văn 365. Hãy để Meditech giúp Quý vị xây dựng một nền tảng hạ tầng vững chãi, nơi dữ liệu y tế được bảo vệ an toàn và sẵn sàng phục vụ cho sứ mệnh chăm sóc sức khỏe nhân dân.