Tháng Giêng năm nay, Luật số 91/2025/QH15 — Luật Bảo vệ Dữ liệu Cá nhân — chính thức có hiệu lực.

Không phải nghị định hướng dẫn. Không phải thông tư. Là luật.

Và nếu doanh nghiệp của bạn thu thập tên, số điện thoại, địa chỉ email hay bất kỳ dữ liệu nào có thể xác định một người cụ thể — bạn đã nằm trong phạm vi điều chỉnh từ ngày 01/01/2026.

Câu hỏi không còn là “luật có áp dụng cho mình không.” Câu hỏi thực sự là: nếu có thanh tra vào ngày mai, bạn chứng minh tuân thủ bằng gì?

Luật mới yêu cầu cụ thể gì với doanh nghiệp?

Luật 91/2025/QH15 không chỉ nhắc lại những điều Nghị định 13/2023 đã quy định. Nó đi xa hơn.

Doanh nghiệp xử lý dữ liệu cá nhân bây giờ phải công khai chính sách bảo mật rõ ràng, đảm bảo người dùng có thể truy cập, chỉnh sửa và xóa dữ liệu của họ, và — quan trọng nhất — phải có hệ thống kỹ thuật thực sự bảo vệ dữ liệu đó, không chỉ là tờ giấy cam kết.

Đối với dữ liệu sinh trắc học, dữ liệu vị trí, hay dữ liệu xử lý qua AI — yêu cầu còn chặt hơn nữa. Bất kỳ sự cố rò rỉ nào cũng có thể kéo theo nghĩa vụ thông báo cho cơ quan có thẩm quyền và cho chính người bị ảnh hưởng.

Đây không phải quy định mang tính khuyến khích. Đây là nghĩa vụ pháp lý có chế tài.

Tại sao nhiều doanh nghiệp nghĩ mình đang tuân thủ — nhưng thực ra chưa

Một lỗi phổ biến tôi thấy ở rất nhiều doanh nghiệp vừa nhỏ: họ có trang “Chính sách bảo mật” trên website. Họ nghĩ vậy là đủ.

Không đủ.

Một trang web với đoạn văn mẫu sao chép từ đâu đó không chứng minh được gì khi có sự cố xảy ra. Điều mà cơ quan quản lý sẽ hỏi là: hệ thống kiểm soát nội bộ của anh/chị là gì? Ai chịu trách nhiệm? Phân quyền truy cập dữ liệu được quản lý như thế nào? Khi sự cố xảy ra, quy trình ứng phó là gì?

Đây không phải câu hỏi pháp lý. Đây là câu hỏi vận hành.

Và đây chính xác là những gì ISO/IEC 27001 — tiêu chuẩn quản lý bảo mật thông tin quốc tế — yêu cầu doanh nghiệp phải xây dựng và duy trì.

ISO 27001 không phải chứng chỉ để treo lên tường

Nhiều giám đốc doanh nghiệp nhỏ nghe đến ISO 27001 là nghĩ ngay đến một dự án dài, tốn kém, với hàng trăm tài liệu không ai đọc.

Có một phần đúng — nếu làm sai cách.

Nhưng bản chất của ISO 27001 là buộc doanh nghiệp phải trả lời ba câu hỏi thiết yếu: Chúng ta đang bảo vệ cái gì? Rủi ro thực sự là gì? Chúng ta kiểm soát những rủi ro đó như thế nào?

Với một công ty 30–80 người, lộ trình thực tế không quá phức tạp. Giai đoạn đánh giá khoảng cách (gap analysis) thường mất 3–4 tuần. Xây dựng hệ thống tài liệu và chính sách mất 2–3 tháng. Audit nội bộ, rồi audit chính thức — tổng cộng 4 đến 6 tháng là có thể đến ngày nhận chứng chỉ.

Chứng chỉ có hiệu lực 3 năm. Và quan trọng hơn: doanh nghiệp có một hệ thống thực sự vận hành, không phải bộ tài liệu cất trong ngăn kéo.

Một thay đổi quan trọng từ cuối 2025 mà ít người để ý

Tháng 12 năm 2025, Viện Công nhận Chất lượng Việt Nam (VACI) được IAF — tổ chức công nhận quản lý chất lượng hàng đầu thế giới — chính thức công nhận cho lĩnh vực chứng nhận ISO/IEC 27001.

Trước đây, doanh nghiệp Việt muốn có chứng chỉ ISO 27001 được quốc tế thừa nhận thường phải đi qua tổ chức chứng nhận nước ngoài. Chi phí cao hơn, thủ tục phức tạp hơn, thời gian dài hơn.

Giờ đây không còn như vậy. Các tổ chức chứng nhận được VACI công nhận trong nước có thể cấp chứng chỉ được IAF thừa nhận toàn cầu. Chi phí và thời gian đều giảm đáng kể — đây là tin tốt trực tiếp cho bất kỳ SME nào đang tính toán ngân sách.

Áp lực từ thị trường còn lớn hơn áp lực từ pháp luật

Nếu bạn đang làm B2B — bán dịch vụ cho các công ty khác, đặc biệt là doanh nghiệp nước ngoài hay các tập đoàn lớn trong nước — ISO 27001 đang dần trở thành điều kiện tiên quyết để tham gia đấu thầu và ký hợp đồng.

Các công ty Nhật Bản, Hàn Quốc, và các tổ chức tài chính Việt Nam ngày càng thêm “có chứng chỉ ISO 27001” vào danh sách yêu cầu với nhà cung cấp. Không phải vì họ tin tưởng giấy tờ hơn con người — mà vì họ cần bằng chứng có thể kiểm tra được.

Một công ty phần mềm, fintech, hay dịch vụ y tế không có chứng chỉ này đang tự đặt mình vào thế bất lợi trong mọi cuộc đàm phán quan trọng.

Câu hỏi thực tế cần trả lời ngay hôm nay

Không cần phải quyết định ngay hôm nay có làm ISO 27001 hay không. Nhưng có ba câu hỏi cơ bản mà bất kỳ doanh nghiệp nào xử lý dữ liệu khách hàng đều nên có câu trả lời:

  • Dữ liệu cá nhân của khách hàng đang được lưu trữ ở đâu — server nội bộ, cloud nước ngoài, hay Google Sheet của nhân viên kinh doanh?
  • Ai có quyền truy cập vào dữ liệu đó, và quyền truy cập đó được kiểm soát như thế nào?
  • Nếu có sự cố rò rỉ dữ liệu ngày mai, quy trình ứng phó của doanh nghiệp là gì?

Nếu ba câu đó không có câu trả lời rõ ràng bằng văn bản, thì dù có trang “Chính sách bảo mật” đẹp đến đâu — doanh nghiệp cũng chưa tuân thủ Luật 91/2025/QH15.

Dịch vụ liên quan: Tư vấn ISO 27001 | Kiểm thử xâm nhập (VAPT)

Evvo Labs đã giúp nhiều doanh nghiệp vừa nhỏ tại Việt Nam và Đông Nam Á xây dựng hệ thống ISO 27001 thực sự vận hành — không phải bộ tài liệu đối phó. Nếu bạn muốn bắt đầu bằng một buổi đánh giá khoảng cách để biết mình đang đứng ở đâu, liên hệ với chúng tôi tại đây.