《患者诊疗信息保护制度.docx》由会员分享,可在线阅读,更多相关《患者诊疗信息保护制度.docx(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、标题信息系统患者隐 私保护制度编号:YUT-XXGLZX-050-02生效日期:发布日期:发布部门:XXX审核人:XXX批准人:XXX页码:第1页,共15页信息系统患者诊疗信息保护制度医院信息系统中保存有门诊与住院患者在我院进行就诊的各种 信息,如患者基本资料、家庭地址、医嘱与病历、费用与报销。依照 国家有关法律及上级有关制度要求医院必须做好患者的隐私保护工 作,为此,我院特制定本制定。一、组织保障为不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、 丢失和更好的定期开展患者诊疗信息安全自查工作,因此成立患者诊 疗信息系统安全事故的最高决策机构。为在发生或者可能发生患者诊 疗信息泄露、毁损
2、、丢失的情况时,应当立即采取补救措施,按照规 定向组织结构汇报,以推动患者信息事故处理工作有序展开。1、患者诊疗信息安全工作小组组长:XXX (院长)副组长:XXX (副院长)成员:XXX(XXX主任)、XXX (医务部主任)、XXX (护理部主任)、 XX (财务管理中心主任)、XX (门办主任)、XX (医保管理中心主任)主要职责:信息系统的重要性来选择是否进行身份认证,对不同的用户选择恰当 的身份认证手段。访问控制策略要有时间维度和空间维度的限制,具 有访问权限的用户,只有在规定范围的时间和空间内,才可以访问医 疗信息系统。4、网络通信的安全保障:网络安全设备(防火墙,入侵检测系 统等)
3、可以监测网络的数据流、对危险的网络行为进行报警,自动检 测并处理安全事件,降低使用风险,确保医疗业务数据通信的安全性。5、安全审计:对每个事物所涉及的系统、用户、医疗工作人员、 患者、医疗信息数据的行为进行记录,保证医疗信息系统的可靠性和 安全性。6、信息资产的安全保护:信息资产的安全保护分为硬件和软件 两个方面。硬件方面,首先确保资产处在安全、合适的工作物理环境 当中,其次要确保能源供应,并做到冗余备份。软件方面,确保系统 软件的可靠性和安全性以及入网端点设备接口启用情况、注册表关键 值、系统运行进程等情况的安全性,系统管理员账号密码要具有足够 的长度和复杂度以保证用户账号密码的安全性。7、
4、访问控制技术:通过限制医疗信息系统使用者对信息资源的 访问权限,管理所有资源的访问请求,达到防止非法用户访问系统和 合法用户非法使用资源、使数据在合法范围内使用的目的。医疗信息 系统属于内容管理系统,用户体现的角色属性是其最显著的特点。按 照医疗人员、患者、管理员在系统中行使的权利划分不同的角色。8、按照信息安全等级要求建立严格的信息分级安全管理系统和 配套工作制度,建立严格的信息分级授权制度体系并常态化运行。授 权审批应严格根据工作岗位和工作内容而定。9、建立主数据双备份制度。对医疗信息均要求保存备份数据和 数据表,并保持良好的兼容互通。八、应急预案本预案为当患者信息发生泄漏事件处理专项预案
5、,其目的主要是 为了进一步规范对信息泄露事件的处理方法和处理程序,规范和明确 我院信息泄露引发突发事件的应急处理工作,维护医患双方的合法权 益,打造和谐的社会关系。1、基本原则(1)、防范为主,加强监控。通过加强信息安全防范意识,加强 数据保密和数据防泄露技术措施,完善信息泄露事件的日常监测、发 现机制,及时采取有效的应对措施,迅速控制事件影响范围,力争将 损失降到最低程度。从而缓解信息泄露安全威胁。(2)、以人为本,协调作战。把患者的合法权益的安全作为首要 任务。相关部门协同配合、具体实施、及时获取充分而准确的信息。 通过跟踪研判,果断决策,迅速处置,以最大程度地减少危害和影响。(3)、规范
6、操作,常备不懈。加强技术储备,规范信息泄露应急 处置措施与操作流程,确保应急预案切实有效,实现信息泄露突发事 件应急处置的科学化、程序化与规范化。2、事件处置阶段患者信息泄露是一类安全事件,在事件中敏感的、受保护的或机 密的数据有可能被未经授权的个人或组织剽窃、盗走或使用。患者诊 疗信息外泄最常见的是攻击者入侵医院电脑主机或网络窃取敏感数 据,但也可能是内部人员将一些敏感信息在有意或者无意的情况下泄 露出去。(一)服务器被入侵造成信息泄露处置方案(1)、信息中心人员发现服务器出现异常,经初步检查判断遭受 黑客攻击或者控制后,立即启动应急预案(2)、信息中心人员判断该服务器下线是否影响业务(是否
7、单点), 如不影响业务则立刻下线服务器,如影响关键业务不能立即下线也应 向领导汇报情况,并进行网络隔离等切断外网访问。(3)、对数据库操作和查询日志、服务器进程、服务器和网络日 志、可疑文件等进行排查,检查是否有信息泄露。如有发现信息泄露, 应立刻向领导汇报情况,并进行应急处理。同时根据已有攻击方式和 可疑文件等,整理出排查方式,对其他服务器进行安全排查,对可能 遭受跳板攻击的服务器进行重点排查。(4)、对所有的服务器进行排查,确认是否遭受攻击,是否有信 息泄露。对所有遭受攻击的服务器进行处理和清除,确保安全。如不 能保证安全处理,立即报警给公安局网络技术人员到现场,依法维护 患者安全权益。(
8、5)、注意对各种日志和恶意文件进行备份,如事态严重,可能 需要在向领导和中心请示后向公安部门报警。(6)、紧急处置完成后,还应进行后续安全加固工作,对内外部 系统进行风险分析,对存在的问题进行整改和加固,不能立即解决的 问题应排期处理,确保无风险隐患残留。(二)数据库业务数据泄密处置方案(1)、在数据库操作日志,数据库审计日志排查中发现业务数据 泄密,或在外网上发现患者就诊数据泄露之后,需要立即向领导汇报, 并成立应急响应协同工作。(2)、对泄露的数据进行分析,快速定位排查泄露来源。(3)、对数据泄露源进行详细排查分析,修补安全薄弱环节和漏 洞,防止进一步泄露所造成危害。(4)、紧急处置完成后
9、,还应进行后续安全加固工作,对内外部 系统进行风险分析,对存在的问题进行整改和加固,不能立即解决的 问题应排期处理,确保无风险隐患残留。(5)由医院领导决策是否发布对外事故声明。(三)、内部人员信息泄露处置方案(1)、主要泄密风险除了黑客攻击、木马病毒等外因素外,内部 员工泄密以及内部管理措施缺失等内部因素成为引发数据泄密事件 的也是一个重要因素。(2)、内部员工无意泄露信息:员工在浏览网页或者卸载软件时, 很容易感染木马病毒,导致电脑数据泄露。对这种情况应及时按照病 毒处置程序,定位发生问题的电脑,立即断网进行处理,最好是重装 系统,并进行全网排查。同时对全体员工进行信息安全意识培训,提 供
10、防护意识。(3)、内部员工有意泄密机密信息:一部门员工出于利益诱惑, 盗取医院患者就诊信息,卖给第三方。对于这种情况,立即收集日志 信息,判断泄露人员,并立即限制其账号和权限并汇报领导。情节严 重时在向领导请示后向公安部门报警(4)、紧急处置完成后,还应进行后续安全加固工作,对核心数 据和敏感数据进行加密存储,增加数据库审计等防护措施。3、总结分析(一)、完成病毒、木马、攻击文件的清除工作后,应立刻 加固 系统和进行漏洞补丁升级使系统避免再次受到相同攻击。(二)、全面排查各内外部信息系统,理清信息泄露隐患,对关 键核心数据和个人隐私数据等需进行加密存储和防泄露措施,对存在 高安全隐患的硬件和软
11、件先切断互联网连接,待整改后再开放。(三)、为提高应急处理的速度,提高应急响应小组成员对信息 泄露事件处理的熟练程度,应定期对信息泄露处置流程进行演练。(四)、应根据数据加密和防泄露技术的发展和系统的变化及时 对规程进行修订,修订后的规程经评审通过后发布生效。九、责任追究机制(一)、根据信息安全分级授权和信息分级保护要求,信息安全 事故责任须进行逐级追溯。(二)、根据隐私泄露溯源应从最终数据应用者向个人数据源头搜寻的原则,建立溯源技术标准体系、患者诊疗数据使用登记制度、 溯源监管制度和溯源奖惩制度。(三)、溯源技术标准体系主要为实现技术可行性。患者诊疗数 据使用登记制度为实现数据跟踪和溯源有迹
12、可循,溯源监管和奖惩制 度主要是强化溯源机制的威慑与强制作用。十、附则第二十四条 本制度由XXX部门、医务部负责解释。第二十五条 本制度自发布之日起施行。XXX2020年1月6日(一)、建立患者诊疗信息全流程管理制度,确保患者诊疗信息 管理全流程的时效性、真实性、连续性、完整性、准确性、稳定性、 安全性和可溯源性。(二)、医务工作人员应客观、真实、准确、及时、完整记录患 者诊疗信息,对输入计算机的数据时效性、真实性、连续性、完整性、 准确性负责,不得随意增减或删除有效数据。(三)、建立患者诊疗信息创建、修改、归档等操作授权制度, 确保患者诊疗信息可追溯性,严禁对后台原始数据进行修改。(四)、X
13、XX工作人员负责对医疗信息系统产生的患者诊疗信息 的存储、备份、安全防护等,健全技术设施、数据安全管理制度和应 急预案,确保信息的可恢复性、患者诊疗信息的完整性、稳定性和可 溯源性。(五)、建立患者诊疗信息安全保护制度和信息再利用的审批流 程,明确医务人员使用患者诊疗信息权限和授权部门。医务人员应当 遵循合法、依规、正当、必要的原则,不得擅自出售患者信息,不得 未经批准擅自向他人或其他机构提供患者诊疗信息。(六)、建立健全对院内医务工作人员因科研、教学、学术交流 等对患者诊疗信息的复制的审批制度和流程,明确脱敏范围。(七)、建立健全医疗设备工作站、从事医疗业务的计算机、带 有存储功能的其他设备
14、报废处置前的患者诊疗数据处理制度和流程。(八)、实行信息安全等级保护和用户使用权限划分,明确授权 部门及具体实施部门权限,并建立权限动态调整机制。定期开展患者 诊疗信息安全自查工作,不断提升患者诊疗信息安全防护水平,防止 信息泄露、毁损、丢失。要建立患者诊疗信息系统安全事故责任追究 机制,在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时, 应当立即采取补救措施,按照规定向有关部门报告。(九)、建立患者诊疗信息系统安全事故责任追究机制。XXX围 绕医疗数据的安全保护,设定专职岗位,培养技术人才,建立健全各 项运维制度。至少每年对医疗数据中心的安全措施进行技术评估,采 取有效措施,确保患者诊
15、疗数据的安全。二、患者隐私数据范围患者的隐私数据包括,但不限于:1、患者基本资料,如姓名、性别、年龄、地址、单位、电话号 码、身份证号码等;2、患者病情与诊疗信息,如诊断、处方、检查和检验结果、医 嘱、病历等;3、患者费用信息,如费用清单、结算清单、报销类型与报销金 额等;三、患者信息获取制度第一条本条例适用于因为报销和医疗诊治以及其他原因(如公 安机关的案件调查、法院的案件审理、患者所在单位的调查分析等), 病人(或非本人)需要调阅在本院住院期间所产生的电子病历和其他 的信息的行为。第二条非患者本人(患者亲属或患者委托人)获取患者信息的流程1、非患者本人向医院提出提档请求,并向医院告知委托人
16、的姓 名、身份证等基本信息。2、由患者书写提档申请,上面注明自己住院时期的住院号、住 院科室以及请求提取的信息种类,并由患者本人签名(按手印)加以 确认。3、被委托人手持提档申请,来到医院病案室,将提档申请上交, 在医院工作人员进行核对无误后,收押委托人的证件,将病人档案进 行复印。复印完毕,被委托人需将档案原件归还医院病案室,病案室 将收押证件交还给委托人。4、医院病案室应将提档申请妥善保管,防止因个人疏忽造成的 丢失损坏。第三条 社会组织(公检法以及患者本人单位)获取患者信息的 流程1、由社会组织向医院提出提档请求,并向医院告知患者的姓名、 身份证号等基本信息2、由社会组织书写提档证明,上
17、面注明获取患者诊疗信息的原 因,患者住院时期的住院号、住院科室以及请求提取的信息种类,并 由患者本单位加盖公章,负责人签字并加以确认。3、社会组织工作人员手持提档证明,来到医院病案室,将提档 证明上交,在医院工作人员进行核对无误后,将病人档案进行复印。 复印完毕,社会组织工作人员需将档案原件归还医院病案室。4、社会组织工作人员手持医务部加盖公章证明,来到信息中心,在信息中心工作人员进行核对无误后,才将病人就诊记录信息给予社 会组织工作人员查询。第四条患者本人获取诊疗信息的流程1、由患者本人提出书面申请,注明本人的门诊、住院科室等信 息并注明获取诊疗信息的原因,由本人签字确认。2、患者手持提档申
18、请,来到医院病案室或者xxx,将提档申请 上交,在医院工作人员进行核对无误后,收押患者的证件,将病人就 诊信息进行查询打印。查询完毕后,被委托人需将档案原件归还医院 病案室,病案室将收押的证件交还患者本人。3、医院病案室应将提档证明妥善保管,防止因个人疏忽造成的 丢失损坏。四、患者信息修改制度第五条 医院患者信息包括患者的姓名、年龄性别、住址基本信 息。包括患者的诊断、病历、病程、医嘱、知情同意书等诊疗信息。第六条患者信息的修改方法分为前台软件修改和后台数据库修 改修改,前者由医院分管职能部门进行修改,后者由医院信息管理部 门负责进行。原则上,尽量用前台软件进行修改。第七条为保障患者医疗安全,
19、维护患者的合法权益,门诊和住 院登记收费处在患者入院登记时,提醒患者核对其个人信息是否准确 无误,并由患者签字确认,从源头上杜绝错误信息的产生。由患者原 因所造成的信息错误,原则上不予修改。第八条因医院原因导致患者信息错误的,院方应申请对个人信 息进行更正。第九条患者信息特别是诊疗信息是患者住院期间最敏感的信息, 修改患者信息应严格按照本规则规定的程序办理。第十条应职工报销或医疗保险报销的需要,患者可能需要修改 本人的基本信息,应按照一下流程:1、由患者本人填写数据修改申请表。签字确认。2、病人所在科室审核病人的身份证、户口本、医保卡,在确认 该病人申请无误后,所在科室主治医师和科主任签字确认
20、,一下分为 两种情况:(一)该病人的信息可在前台软件进行修改:(1)患者将签字确认的修改申请表提交交给住院科室进行修改(2)住院科室根据申请表,对患者本人的信息加以修改(3)住院科室部门将数据修改申请表归档并妥善保管(二)该病人的信息不能在前台软件进行修改必须在后台数据库 进行修改:(1)本院医护人员需将签字确认的申请表提交给xxx部门(2)xxx部门根据申请表,打开数据库调出该患者的基本资料, 使用数据库修改语句进行修改。(3)修改无误,xxx将申请表归档并妥善保管。第十一条因本院医护人员的疏忽或病人病情急剧变化,需要修改医嘱、诊断等敏感信息的情形,应按照以下流程:1、由当事医生填写数据修改
21、申请表,在申请表中注明需要修 改的住院号、患者姓名、旧医嘱名称、执行时间并注明修改的理由, 由本人签字,并提交本科室主任审阅并签字确认。2、本科室主任在审阅签字确认无误后,由当事人将数据修改 申请表提交给XXX,由XXX主任进行审阅并同意。3、在完成上述步骤后,当事人应将数据修改申请表提交给 xxx部门,由专业人员打开数据库,调取病人的医嘱信息进行修改。4、修改完毕,xxx部门应将数据修改申请表归档并进行妥 善保管,防止医疗纠纷的产生。第十二条条拟更正的个人信息与原信息有显著差异的,必须由 患者户口所在地公安机关出示相关证明后方可修改。五、患者隐私保护制度第十三条、员工不得将本人的系统账号密码
22、告诉其他人或写在任 何其他人可得到的书面资料上,以防外来人员非法查询患者就诊信息;第十四条、患者本人查询既往就诊信息或费用信息的给予提供, 患者本人因故不能亲自前往但有足够证据证明来人与患者关系且经 过患者同意的,应予办理,本条中第二种情形应取得相关书面证明。第十五条、数据库由XXX负责,集中管理。管理员账号密码专人 负责,记录存档,账户密码要定期修改,超级管理员账号密码只允许 在服务器上使用。第十六条、住院病区查询其他科室住院患者信息的,原则上不予办理,因工作需要提供的,须由医务科和XXX批准。第十七条、行政科室需要查询本院门诊或住院患者信息的,需要由医务科和XXX批准。第十八条、本院医生因
23、课题研究需要借阅患者隐私数据的,应在 取得分管领导后由XXX对基本数据进行必要的处理后提供,这种处理 包括:患者姓名、联系电话等的无效化调整。第十九条、因信息化建设需要向合作开发商等第三方提供患者数 据的,应在取得分管领导批准后对基础数据进行必要处理后提供,对 于无法进行技术处理的情形,应在得到对方书面承诺不误用的前提下 提供。第二十条、保险公司因报销患者费用需要借阅患者报销与本院医 疗服务就诊信息的,应在察看对方有关证件及患者同意书后经医务科 批准后提供。第二十二条、任何人员不得使用他人的系统账号和密码,也不得 将工作范围内可接触到的数据告诉其他任何未经授权的人员,并在离 开系统终端时及时推
24、出计算机系统。第二十三条、所有电子信息资料在未经主管领导的批准下只许在 医疗机构内部管理,不得转出。患者资料通过分级权限管理保护及诊 治请示分管领导,得到分管领导书面批准后给予提供,在无法得到领 导批准的情形下严禁对外提供患者的各项信息。六、患者诊疗信息处理流程医院的管理过程,即信息的收集、加工与决策过程。医疗信息的 处理流程可分为5个模块:数据的采集,信息的存储,加工处理,传输和获取。医疗信息系统所以功能都是以病人为中心的服务展开的, 这5大基本模块相辅相成形成一个整体,为医疗人员和患者提供高效一存储 传递 传递信息录入的服务。图1医疗信息处理的5大模块七、信息系统中患者隐私保护的主要措施医
25、疗信息系统中,为了确保信息的真实性、完整性和不可否认性, 所有电子化的医疗信息,应根据所有者属性加密,使其能够安全的存 储、传输和访问;保障医疗信息系统中饮食信息的真是性、完整性和 可用性;医疗信息的访问和共享过程应该通过签名和认证。可以采取 以下几种保证措施来保障医疗信息系统中的隐私保护:1、数据匿名化:在医疗信息系统使用中、医疗机构的研究、医 疗保险等医疗服务中的信息传递,要保护患者隐私信息的安全。向外 发布数据时,去掉身份信息,对数据进行泛化处理,保留数据的整体 分布规律。2、加密和数字签字:对数据库加密,对数据字段加密,并管理 加密密钥,保证医疗信息系统中患者隐私信息的安全。医疗信息系统 的使用者创建或更改数据时,要向xxx报备申请更改进行数字签名, 保证医疗信息系统数据的不可否认性。3、身份认证和访问控制:根据角色级别、用户类型及其对医疗