醫(yī)療信息保密管理辦法

醫(yī)療信息保密管理辦法總則目的和依據(jù)為了加強(qiáng)醫(yī)療信息保密管理，保護(hù)患者的隱私和合法權(quán)益，維護(hù)醫(yī)療秩序和安全，依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》以及相關(guān)醫(yī)療行業(yè)法律法規(guī)和標(biāo)準(zhǔn)，結(jié)合本醫(yī)療機(jī)構(gòu)實(shí)際情況，制定本管理辦法。適用范圍本辦法適用于本醫(yī)療機(jī)構(gòu)內(nèi)所有涉及醫(yī)療信息收集、存儲(chǔ)、使用、傳輸、共享、銷毀等活動(dòng)的部門、科室和人員，包括但不限于醫(yī)護(hù)人員、管理人員、技術(shù)人員、后勤人員以及與本醫(yī)療機(jī)構(gòu)有合作關(guān)系的外部單位和個(gè)人。定義本辦法所稱醫(yī)療信息，是指本醫(yī)療機(jī)構(gòu)在醫(yī)療服務(wù)過(guò)程中產(chǎn)生、收集、存儲(chǔ)的與患者有關(guān)的各種信息，包括但不限于患者的個(gè)人身份信息（如姓名、性別、年齡、身份證號(hào)碼、聯(lián)系方式等）、病歷資料（如癥狀、診斷、治療方案、檢查檢驗(yàn)結(jié)果等）、醫(yī)療費(fèi)用信息、基因信息等。組織與職責(zé)管理機(jī)構(gòu)成立醫(yī)療信息保密管理委員會(huì)，由醫(yī)療機(jī)構(gòu)主要負(fù)責(zé)人擔(dān)任主任，分管領(lǐng)導(dǎo)擔(dān)任副主任，成員包括各相關(guān)部門和科室負(fù)責(zé)人。委員會(huì)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)和指導(dǎo)醫(yī)療信息保密管理工作，審議和決策重大事項(xiàng)，監(jiān)督和評(píng)估管理辦法的執(zhí)行情況。管理部門設(shè)立醫(yī)療信息保密管理辦公室，作為委員會(huì)的日常辦事機(jī)構(gòu)，負(fù)責(zé)具體組織實(shí)施醫(yī)療信息保密管理工作，制定和完善相關(guān)規(guī)章制度和操作規(guī)程，開展培訓(xùn)和宣傳教育活動(dòng)，處理信息保密方面的投訴和糾紛等。部門和人員職責(zé)1.各部門和科室負(fù)責(zé)人：對(duì)本部門和科室的醫(yī)療信息保密工作負(fù)直接領(lǐng)導(dǎo)責(zé)任，組織落實(shí)本辦法的各項(xiàng)要求，定期開展自查自糾，及時(shí)發(fā)現(xiàn)和解決問(wèn)題。2.醫(yī)護(hù)人員：在醫(yī)療服務(wù)過(guò)程中，嚴(yán)格遵守信息保密規(guī)定，妥善保管患者的醫(yī)療信息，不得泄露、篡改、毀損患者信息。在使用和提供醫(yī)療信息時(shí)，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，確保信息的安全和保密。3.技術(shù)人員：負(fù)責(zé)醫(yī)療信息系統(tǒng)的建設(shè)、維護(hù)和管理，采取必要的技術(shù)措施保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，防止信息泄露、丟失和篡改。定期對(duì)信息系統(tǒng)進(jìn)行安全評(píng)估和檢測(cè)，及時(shí)發(fā)現(xiàn)和處理安全隱患。4.后勤人員：在工作中涉及到患者醫(yī)療信息的，應(yīng)當(dāng)嚴(yán)格遵守保密規(guī)定，不得擅自查看、傳播患者信息。醫(yī)療信息收集與存儲(chǔ)收集原則1.合法合規(guī)：醫(yī)療信息的收集應(yīng)當(dāng)遵循法律法規(guī)和相關(guān)行業(yè)標(biāo)準(zhǔn)的規(guī)定，取得患者的明確同意或者授權(quán)。在收集信息前，應(yīng)當(dāng)向患者說(shuō)明收集的目的、方式、范圍以及患者享有的權(quán)利等。2.必要適度：收集的醫(yī)療信息應(yīng)當(dāng)與醫(yī)療服務(wù)的目的直接相關(guān)，不得過(guò)度收集患者信息。對(duì)于不必要的信息，不得收集。3.知情同意：在收集患者個(gè)人敏感信息（如基因信息、精神病史等）時(shí)，應(yīng)當(dāng)取得患者的書面同意，并明確告知患者使用該信息的風(fēng)險(xiǎn)和后果。收集流程1.告知義務(wù)：醫(yī)護(hù)人員在收集患者醫(yī)療信息時(shí)，應(yīng)當(dāng)向患者或者其家屬說(shuō)明收集信息的目的、用途、方式以及患者的權(quán)利和義務(wù)，取得患者的理解和配合。2.信息錄入：醫(yī)護(hù)人員應(yīng)當(dāng)準(zhǔn)確、完整地錄入患者的醫(yī)療信息，確保信息的真實(shí)性和可靠性。在錄入過(guò)程中，應(yīng)當(dāng)注意保護(hù)患者的隱私，避免在公共場(chǎng)所大聲詢問(wèn)患者敏感信息。3.授權(quán)簽字：對(duì)于需要患者授權(quán)的信息收集活動(dòng)，應(yīng)當(dāng)由患者或者其法定代理人簽字確認(rèn)。存儲(chǔ)要求1.安全存儲(chǔ)：醫(yī)療信息應(yīng)當(dāng)存儲(chǔ)在安全可靠的存儲(chǔ)設(shè)備和系統(tǒng)中，采取加密、備份等措施防止信息丟失和損壞。存儲(chǔ)設(shè)備應(yīng)當(dāng)放置在安全的場(chǎng)所，設(shè)置訪問(wèn)權(quán)限和密碼，防止未經(jīng)授權(quán)的訪問(wèn)。2.分類管理：根據(jù)醫(yī)療信息的敏感程度和重要性，對(duì)信息進(jìn)行分類存儲(chǔ)和管理。對(duì)于高敏感信息，應(yīng)當(dāng)采取更加嚴(yán)格的安全措施進(jìn)行保護(hù)。3.定期檢查：定期對(duì)存儲(chǔ)的醫(yī)療信息進(jìn)行檢查和維護(hù)，確保信息的完整性和可用性。發(fā)現(xiàn)信息存在問(wèn)題的，應(yīng)當(dāng)及時(shí)進(jìn)行處理和修復(fù)。醫(yī)療信息使用與共享使用原則1.目的明確：醫(yī)療信息的使用應(yīng)當(dāng)有明確的目的，并且應(yīng)當(dāng)與收集信息的目的相一致。不得超出目的范圍使用患者信息。2.最小必要：在使用醫(yī)療信息時(shí)，應(yīng)當(dāng)遵循最小必要原則，只使用與醫(yī)療服務(wù)相關(guān)的必要信息，不得使用無(wú)關(guān)信息。3.安全保密：使用醫(yī)療信息時(shí)，應(yīng)當(dāng)采取必要的安全措施，確保信息的安全和保密。不得將信息提供給無(wú)關(guān)的單位和個(gè)人。使用流程1.審批制度：對(duì)于需要使用患者醫(yī)療信息的，應(yīng)當(dāng)按照規(guī)定的審批流程進(jìn)行申請(qǐng)和審批。申請(qǐng)時(shí)應(yīng)當(dāng)說(shuō)明使用的目的、范圍、方式以及使用期限等，經(jīng)相關(guān)部門和領(lǐng)導(dǎo)批準(zhǔn)后方可使用。2.授權(quán)使用：獲得授權(quán)使用醫(yī)療信息的人員，應(yīng)當(dāng)嚴(yán)格按照授權(quán)的范圍和方式使用信息，不得超出授權(quán)范圍使用。在使用過(guò)程中，應(yīng)當(dāng)做好記錄，以備查詢和審計(jì)。3.使用后處理：使用完畢后，應(yīng)當(dāng)及時(shí)對(duì)醫(yī)療信息進(jìn)行妥善處理，不得隨意丟棄或者泄露。對(duì)于不再需要使用的信息，應(yīng)當(dāng)按照規(guī)定進(jìn)行銷毀。共享管理1.共享原則：醫(yī)療信息的共享應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，確保信息共享的安全和保密。在共享信息前，應(yīng)當(dāng)與共享方簽訂保密協(xié)議，明確雙方的權(quán)利和義務(wù)。2.共享審批：醫(yī)療信息的共享應(yīng)當(dāng)經(jīng)過(guò)嚴(yán)格的審批程序，由醫(yī)療信息保密管理辦公室進(jìn)行審核，報(bào)管理委員會(huì)批準(zhǔn)后方可進(jìn)行。在審批過(guò)程中，應(yīng)當(dāng)評(píng)估共享的必要性、安全性和合法性。3.共享安全：在共享醫(yī)療信息時(shí)，應(yīng)當(dāng)采取必要的技術(shù)措施保障信息的安全傳輸和存儲(chǔ)，防止信息在共享過(guò)程中泄露。共享方應(yīng)當(dāng)對(duì)獲得的信息承擔(dān)保密責(zé)任，不得將信息泄露給第三方。醫(yī)療信息傳輸與共享傳輸安全1.加密傳輸：在傳輸醫(yī)療信息時(shí)，應(yīng)當(dāng)采用加密技術(shù)對(duì)信息進(jìn)行加密處理，確保信息在傳輸過(guò)程中的保密性和完整性。2.安全通道：選擇安全可靠的傳輸通道，如專用網(wǎng)絡(luò)、虛擬專用網(wǎng)絡(luò)（VPN）等，避免通過(guò)公共網(wǎng)絡(luò)傳輸敏感信息。3.身份認(rèn)證：在傳輸信息前，應(yīng)當(dāng)對(duì)傳輸雙方的身份進(jìn)行認(rèn)證，確保信息傳輸?shù)暮戏ㄐ院桶踩?。共享管?.內(nèi)部共享：醫(yī)療機(jī)構(gòu)內(nèi)部各部門和科室之間需要共享醫(yī)療信息的，應(yīng)當(dāng)按照規(guī)定的流程進(jìn)行申請(qǐng)和審批，確保信息共享的合理性和安全性。2.外部共享：與外部單位（如醫(yī)保部門、衛(wèi)生行政部門、科研機(jī)構(gòu)等）共享醫(yī)療信息時(shí)，應(yīng)當(dāng)簽訂書面協(xié)議，明確共享的目的、范圍、方式、期限以及雙方的權(quán)利和義務(wù)等。在共享信息前，應(yīng)當(dāng)對(duì)外部單位的資質(zhì)和信譽(yù)進(jìn)行評(píng)估，確保其具備相應(yīng)的信息保密能力。醫(yī)療信息銷毀銷毀原則1.合法合規(guī)：醫(yī)療信息的銷毀應(yīng)當(dāng)遵循法律法規(guī)和相關(guān)行業(yè)標(biāo)準(zhǔn)的規(guī)定，確保銷毀過(guò)程的合法性和規(guī)范性。2.徹底銷毀：采用適當(dāng)?shù)匿N毀方式，確保醫(yī)療信息被徹底銷毀，無(wú)法恢復(fù)。3.記錄備案：對(duì)醫(yī)療信息的銷毀過(guò)程進(jìn)行詳細(xì)記錄，包括銷毀的時(shí)間、地點(diǎn)、方式、數(shù)量等，并保存相關(guān)記錄以備查詢和審計(jì)。銷毀流程1.申請(qǐng)與審批：需要銷毀醫(yī)療信息的部門和科室，應(yīng)當(dāng)填寫《醫(yī)療信息銷毀申請(qǐng)表》，說(shuō)明銷毀的原因、范圍、數(shù)量等，經(jīng)部門和科室負(fù)責(zé)人審核后，報(bào)醫(yī)療信息保密管理辦公室審批。2.銷毀實(shí)施：經(jīng)審批同意后，由專人負(fù)責(zé)組織實(shí)施醫(yī)療信息的銷毀工作。銷毀方式可以采用物理銷毀（如粉碎、焚燒等）或電子銷毀（如數(shù)據(jù)擦除、格式化等）。3.監(jiān)督與檢查：在銷毀過(guò)程中，應(yīng)當(dāng)有專人進(jìn)行監(jiān)督和檢查，確保銷毀工作按照規(guī)定的要求進(jìn)行。銷毀完畢后，監(jiān)督人員應(yīng)當(dāng)在銷毀記錄上簽字確認(rèn)。監(jiān)督與檢查內(nèi)部監(jiān)督1.定期檢查：醫(yī)療信息保密管理辦公室應(yīng)當(dāng)定期組織對(duì)各部門和科室的醫(yī)療信息保密工作進(jìn)行檢查，檢查內(nèi)容包括制度執(zhí)行情況、信息安全措施落實(shí)情況、人員培訓(xùn)情況等。2.專項(xiàng)檢查：根據(jù)工作需要，不定期開展專項(xiàng)檢查，如對(duì)信息系統(tǒng)安全、信息共享情況等進(jìn)行重點(diǎn)檢查。3.自查自糾：各部門和科室應(yīng)當(dāng)定期開展自查自糾活動(dòng)，及時(shí)發(fā)現(xiàn)和解決本部門和科室存在的信息保密問(wèn)題。外部監(jiān)督1.接受監(jiān)管：積極配合衛(wèi)生行政部門、信息安全監(jiān)管部門等的監(jiān)督檢查，如實(shí)提供相關(guān)資料和情況，及時(shí)整改存在的問(wèn)題。2.社會(huì)監(jiān)督：鼓勵(lì)社會(huì)各界對(duì)本醫(yī)療機(jī)構(gòu)的醫(yī)療信息保密工作進(jìn)行監(jiān)督，設(shè)立投訴舉報(bào)電話和郵箱，及時(shí)處理公眾的投訴和舉報(bào)。培訓(xùn)與宣傳教育培訓(xùn)內(nèi)容1.法律法規(guī)和政策：組織學(xué)習(xí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)和政策文件，提高員工的法律意識(shí)和合規(guī)意識(shí)。2.信息保密知識(shí)：開展醫(yī)療信息保密知識(shí)培訓(xùn)，包括信息收集、存儲(chǔ)、使用、傳輸、共享、銷毀等環(huán)節(jié)的保密要求和操作規(guī)程，提高員工的信息保密技能。3.案例分析：通過(guò)案例分析的方式，向員工介紹信息泄露的危害和后果，增強(qiáng)員工的信息保密意識(shí)和責(zé)任感。培訓(xùn)方式1.定期培訓(xùn)：定期組織全體員工參加信息保密培訓(xùn)，每年至少開展一次集中培訓(xùn)。2.專項(xiàng)培訓(xùn)：針對(duì)新入職員工、關(guān)鍵崗位人員等，開展專項(xiàng)培訓(xùn)，確保其掌握必要的信息保密知識(shí)和技能。3.在線學(xué)習(xí)：利用網(wǎng)絡(luò)平臺(tái)開展在線學(xué)習(xí)活動(dòng)，方便員工隨時(shí)隨地學(xué)習(xí)信息保密知識(shí)。宣傳教育1.宣傳活動(dòng)：通過(guò)宣傳欄、海報(bào)、標(biāo)語(yǔ)等形式，宣傳信息保密的重要性和相關(guān)規(guī)定，營(yíng)造良好的信息保密氛圍。2.案例警示：定期發(fā)布信息保密方面的案例和警示信息，提醒員工時(shí)刻保持警惕，防止信息泄露。應(yīng)急處置應(yīng)急預(yù)案制定醫(yī)療信息保密應(yīng)急預(yù)案，明確應(yīng)急處置的組織機(jī)構(gòu)、職責(zé)分工、處置流程和措施等。應(yīng)急預(yù)案應(yīng)當(dāng)定期進(jìn)行演練和修訂，確保其有效性和可操作性。事件報(bào)告一旦發(fā)生醫(yī)療信息泄露事件，相關(guān)部門和人員應(yīng)當(dāng)立即向醫(yī)療信息保密管理辦公室報(bào)告。報(bào)告內(nèi)容應(yīng)當(dāng)包括事件的發(fā)生時(shí)間、地點(diǎn)、范圍、可能造成的影響等。應(yīng)急處置措施1.立即采取措施：在接到報(bào)告后，醫(yī)療信息保密管理辦公室應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，采取必要的措施控制事態(tài)發(fā)展，防止信息進(jìn)一步泄露。2.調(diào)查原因：組織相關(guān)人員對(duì)事件進(jìn)行調(diào)查，查明事件的原因、經(jīng)過(guò)和責(zé)任，提出處理意見和改進(jìn)措施。3.通知患者：及時(shí)通知受到信息泄露影響的患者，告知其事件的情況和可能采取的防范措施，取得患者的理解和配合。4.報(bào)告主管部門：按照規(guī)定及時(shí)向衛(wèi)生行政部門和其他相關(guān)部門報(bào)告事件的情況，配合有關(guān)部門進(jìn)行調(diào)查和處理。法律責(zé)任內(nèi)部責(zé)任追究對(duì)于違反本辦法