医疗公司患者信息安全管理制度
患者信息安全管理制度
为规范公司对患者信息的管理,保障患者隐私安全,促进业务合规,根据《中华人民共和国网络安全法》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《信息安全技术个人信息安全规范》、《医疗质量管理办法》、《医疗机构病例管理规定》等相关法律法规和要求,并结合公司实际,特制定本制度。
一、总则
(一)患者信息安全管理制度指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。
(二)患者个人信息包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验检查结果等各种临床和相关内容组成的信息集(以纸质、电子或者其他方式记录);个人敏感信息指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
(三)进行患者信息管理要遵循权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与的基本原则。
(四)公司应当设置专门网络安全机构,确定网络安全负责人及患者信息安全负责人;各影像中心应当根据需要设置信息管理者岗位,进行患者信息管理;其他各级人员需严格遵守信息安全管理制度规定,保护患者信息,防止患者信息泄露、毁损、丢失。
二、患者信息的收集
(一)影像中心在业务运营过程中收集患者信息,应当遵循合法、正当、必要的原则,明示收集的目的、方式和范围,并以书面形式获得被收集者同意。
(二)影像中心收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
(三)影像中心人员在患者填写检查申请单同时,应当要求其阅读并签署《患者知情同意书》(详见附件),确保患者充分知悉对其个人信息的收集、存储及使用等情况。
(四)影像中心收集患者个人敏感信息前,应征得患者的明示同意,并应确保患者明示
同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。
(五)影像中心收集患者生物识别信息前,应单独向患者告知收集、使用个人生物识别信息的目的、
方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意(个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等)。
(六)影像中心对将患者线下签署的纸质文档需设置档案室进行收集归档,专人进行管理,避免材料丢失及信息泄露事故。
(七)云平台、和小程序等线上平台,通过弹窗等形式主动向患者展示详尽、完整的隐私政策介绍,详细说明线上收集患者个人信息的类型和用途,帮助患者理解线上平台的信息处理范围和规则,并决定是否继续使用该线上平台。
(八)在远程会诊的场景下,同样应当要求患者阅读并签署《患者知情同意书》,确保患者知悉远程会诊过程中个人信息处理、共享、转让、公开披露的流程。
(九)自合作医院收集患者信息时,需明确其信息来源合法性。在与合作医院签署协议中,应当明确医院对其提供的患者信息承担安全责任,或由医院签署承诺函的方式使得医院承诺其数据来源合法。
(十)以下例外情形中,收集患者信息不必事先征得患者授权同意:
1、与履行法律法规规定的义务相关的;
2、与国家安全、国防安全直接相关的;
3、与公共安全、公共卫生、重大公共利益直接相关的;
4、与刑事侦查、起诉、审判和判决执行等直接相关的;
5、出于维护患者或他人的生命、财产等重大合法权益但又很难得到本人授权同意的;
6、所涉及的个人信息是个人信息主体自行向社会公众公开的;
7、根据个人信息主体要求签订和履行合同所必需的;
8、从合法公开披露的信息中收集患者信息的,如合法的新闻报道、政府信息公开等渠
道;
中秋节发朋友圈说说
9、维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障;
10、新闻单位,且其开展合法的新闻报道所必需的;
11、学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究
或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。
三、患者信息的存储
(一)各影像中心不得将患者信息存储在的服务器中,不得使用托管、租赁在的服务器进行数据管理。
全球酒店
(二)收集患者信息后,信息管理者应立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。
(三)对信息管理者的要求包括:
1、存储个人敏感信息时,应采用加密等安全措施,密码技术应符合相关国家标准。
物业费包括哪些2、个人生物识别信息应与个人身份信息分开存储。
3、原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但
不限于:1) 仅存储个人生物识别信息的摘要信息;2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
(四)收集患者信息满足“最小化”要求,患者信息的存储期限应为实现授权使用的目的所必需的最短时间, 超出上述期限后应对患者信息进行删除或匿名化处理。
(五)各影像中心停止运营其产品或服务时,应:
1、及时停止继续收集个人信息;
2、对其所持有的个人信息进行删除或匿名化处理。
四、患者信息的使用
(一)访问患者信息的控制要求:
1、对被授权访问患者信息的人员,应建立最小授权的访问控制策略,使其只能访问职
责所需的最小必要的患者信息,且仅具备完成职责所需的最少的数据操作权限;
2、对患者信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操
作;
3、对信息管理人员、数据操作人员、审计人员的角进行分离设置;
祝学生的新年祝福语
4、确因工作需要,需授权特定人员超权限处理患者信息的,应进行审批,并记录在册;
5、对个人敏感信息的访问、修改等操作行为,应在对角权限控制的基础上,按照业
务流程的需求进行授权。
(二)涉及通过界面展示患者信息的(如显示屏幕、纸面),信息管理者应对需展示的个信息采取去标识化处理等措施,降低患者信息在展示环节的泄露风险。
(三)使用患者信息时,不应超出与收集患者信息时所声称的目的具有直接或合理关联的范围;因业务需要,确需超出上述范围使用患者信息的,应再次征得明示同意。
(四)如所收集的患者信息进行加工处理而产生的信息,能够单独或与其他信息结合识别特定患者身份或者反映特定患者活动情况的,应将其认定为患者信息。对其使用应遵循收集患者信息时获得的授权同意范围。
五、患者信息的共享、转让、公开披露
(一)共享、转让患者信息时,应充分重视风险。共享、转让患者信息,非因收购、兼并、重组、破产原因的,应符合以下要求:
1、事先开展患者个人信息安全影响评估,并依评估结果采取有效的确保患者信息安全
的措施;
2、向患者告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,
并事先征得其授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联患者的除外;
3、共享、转让个人敏感信息前,除2、中告知的内容外,还应向患者告知涉及的个人敏
感信息类型、数据接收方的身份和数据安全能力,并事先征得患者的明示同意;
4、通过签订合同等方式规定数据接收方的责任和义务,如数据接收方未能履行信息保
密的义务,应由数据接收方承担全部泄露责任。
(二)患者信息原则上不应公开披露。患者信息管理者经法律授权或具备合理事由确需公开披露时,应符合以下要求:
1、事先开展患者信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措
施;
2、向患者告知公开披露个人信息的目的、类型,并事先征得其明示同意;
3、公开披露个人敏感信息前,除2、中告知的内容外,还应向患者告知涉及的个人敏感
信息的内容;
4、准确记录和存储患者信息的公开披露的情况,包括公开披露的日期、规模、目的、
公开范围等;
怎样下载5、承担因公开披露患者信息对患者合法权益造成损害的相应责任;
6、不应公开披露个人生物识别信息;
7、不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析
法国签证好办吗结果。
(三)以下情形中,患者信息管理者共享、转让、公开披露患者信息不必事先征得患者的授权同意:
1、与履行法律法规规定的义务相关的;
2、与国家安全、国防安全直接相关的;
3、与公共安全、公共卫生、重大公共利益直接相关的;
4、与刑事侦查、起诉、审判和判决执行等直接相关的;
5、出于维护患者或他人的生命、财产等重大合法权益但又很难得到本人授权同意的;
6、患者自行向社会公众公开的个人信息;
7、从合法公开披露的信息中收集到患者信息的,如合法的新闻报道、政府信息公开等
渠道。
(四)当患者信息管理者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务,患者信息管理者的应当做到:
1、建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设
置接入条件;
2、应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的患者
信息安全措施;
3、应向患者明确标识产品或服务由第三方提供;
4、应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
5、应要求第三方根据本标准相关要求向患者征得收集信息授权同意,必要时核验其实
现的方式;
6、应要求第三方产品或服务建立响应患者的请求和投诉等的机制,以供患者查询、使
用;
7、应监督第三方产品或服务提供者加强患者信息安全管理,发现第三方产品或服务没
有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
8、产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。