So Sánh · Dữ Liệu Y Tế

HIPAA vs GDPR

Hai quy định bảo vệ dữ liệu y tế lớn nhất thế giới, một của Mỹ, một của EU. HealthTech Việt Nam thường cần cả hai khi mở rộng quốc tế.

Viết bởi đội ngũ Compliance pTrackly · Cập nhật tháng 7/2026 · HIPAA 45 CFR & GDPR 2016/679
HIPAA

Bảo vệ PHI tại Mỹ

Health Insurance Portability and Accountability Act, yêu cầu bảo vệ Protected Health Information của bệnh nhân Mỹ. Áp dụng cho Covered Entities và Business Associates.

Xem HIPAA Hub →
VS
GDPR

Bảo vệ dữ liệu EU

General Data Protection Regulation, quy định bảo vệ toàn diện dữ liệu cá nhân EU. Dữ liệu y tế là 'special category data' với yêu cầu bảo vệ nâng cao.

Xem GDPR Hub →

So sánh chi tiết

Tiêu chí HIPAA GDPR
Xuất xứ Mỹ (1996, cập nhật 2013) EU (2018)
Phạm vi dữ liệu Protected Health Information (PHI), 18 loại nhận dạng + thông tin y tế Mọi dữ liệu cá nhân của người EU; dữ liệu y tế là Special Category
Đối tượng áp dụng Covered Entities + Business Associates (xử lý PHI) Mọi tổ chức xử lý dữ liệu người EU, dù đặt trụ sở ở đâu
Consent Không luôn yêu cầu, có nhiều lawful basis khác nhau Một trong 6 lawful bases; với dữ liệu y tế cần explicit consent
Business Associate Agreement Bắt buộc với mọi Business Associate tiếp cận PHI Tương đương: Data Processing Agreement (DPA)
Breach notification 60 ngày với HHS (nếu >500 người) + thông báo cá nhân 72 giờ với DPA; không có threshold tối thiểu
Data Subject Rights Quyền truy cập, chỉnh sửa PHI của mình 8 quyền đầy đủ: truy cập, xóa, portability, phản đối...
DPO Không có yêu cầu tương đương Bắt buộc trong một số trường hợp (xử lý dữ liệu y tế quy mô lớn)
Mức phạt Phân cấp theo mức độ negligence Đến 4% doanh thu toàn cầu hoặc €20M (tùy mức cao hơn)
Phù hợp cho HealthTech nhắm thị trường Mỹ, nhà cung cấp dịch vụ y tế Mỹ Mọi công ty xử lý dữ liệu người dùng EU, dù ở ngành nào

Làm cả hai: Overlap ở đâu?

Nếu HealthTech của bạn nhắm cả thị trường Mỹ lẫn EU, bạn cần cả HIPAA lẫn GDPR. Tin tốt là có overlap đáng kể về technical controls:

Technical Safeguards / Security

Encryption at rest và in transit, access control, audit logs, MFA, đáp ứng cả HIPAA Technical Safeguards lẫn GDPR Article 32.

Vendor Contracts

BAA (HIPAA) và DPA (GDPR), cùng một nhà cung cấp nhưng cần hai loại hợp đồng. Nhiều điều khoản tương tự nhau.

Incident Response

Quy trình phát hiện, đánh giá và xử lý breach, xây dựng một lần, áp dụng cho cả hai.

Staff Training

Security awareness và privacy training, nội dung trùng nhau nhiều, có thể kết hợp vào một chương trình.

Điểm khác: Consent

GDPR yêu cầu explicit consent cho dữ liệu y tế; HIPAA linh hoạt hơn về lawful basis. Cần xây dựng consent flow đáp ứng GDPR (strict hơn) là đủ.

Điểm khác: Breach Timeline

GDPR: 72 giờ. HIPAA: 60 ngày. Xây dựng process theo GDPR (72h) là đáp ứng cả hai.

🇻🇳
Dành riêng cho HealthTech Việt Nam:

Ngoài HIPAA và GDPR, HealthTech tại Việt Nam còn phải tuân thủ PDPD (Nghị định 13/2023) khi xử lý dữ liệu sức khỏe của người dùng Việt Nam — đây là dữ liệu nhạy cảm theo định nghĩa của PDPD và yêu cầu đăng ký với Bộ Công An. Nếu bạn đang mở rộng ra thị trường Mỹ và EU đồng thời vẫn phục vụ người dùng Việt Nam, cả ba quy định này đều áp dụng.

Câu hỏi thường gặp

HealthTech Việt Nam cần HIPAA hay GDPR?

Phụ thuộc vào thị trường: HIPAA nếu platform xử lý dữ liệu bệnh nhân Mỹ (kể cả qua API hoặc integration với US healthcare system). GDPR nếu có bệnh nhân EU. Nhiều HealthTech Việt Nam nhắm cả hai nên cần cả hai.

Nếu đã có GDPR, HIPAA còn cần gì thêm?

HIPAA yêu cầu thêm: (1) Business Associate Agreement cụ thể với mọi vendor tiếp cận PHI, (2) Specific technical safeguards theo HIPAA Security Rule, (3) Minimum Necessary rule, chỉ chia sẻ PHI khi cần thiết, (4) Workforce training theo HIPAA, (5) Designated Privacy và Security Officer.

App sức khỏe cá nhân có phải tuân thủ HIPAA không?

Không phải luôn luôn. HIPAA chỉ áp dụng cho Covered Entities (bệnh viện, bảo hiểm y tế, nhà cung cấp dịch vụ y tế) và Business Associates của họ. App sức khỏe cá nhân trực tiếp cho người dùng cuối (consumer wellness app) thường không phải Covered Entity, trừ khi tích hợp với hệ thống y tế chính thức.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo