电子病历共享协议（2025年等保测评）

电子病历共享协议（2025年等保测评）甲方（数据提供方）：[甲方全称]，统一社会信用代码：[甲方代码]，法定代表人：[甲方法定代表人]，地址：[甲方地址]，联系电话：[甲方电话]。乙方（数据接收方/使用方）：[乙方全称]，统一社会信用代码：[乙方代码]，法定代表人：[乙方法定代表人]，地址：[乙方地址]，联系电话：[乙方电话]。鉴于甲方拥有并运营电子病历信息系统（以下简称“信息系统”），存储有患者电子病历数据；乙方因[具体共享目的，如临床会诊、科研分析、患者授权查阅等]需要，希望获取并使用甲方信息系统中的部分电子病历数据。甲乙双方依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《医疗机构管理条例》及相关法律法规，特别是参照国家网络安全等级保护2.0（以下简称“等保2.0”）标准的要求，经友好协商，达成如下协议，以资共同遵守。第一条定义1.1电子病历数据：指甲方通过信息系统生成的，记录患者诊疗活动过程中产生的各类信息，包括但不限于患者基本信息、病史、体征、检查检验结果、影像资料、处方、病程记录、手术记录等。1.2敏感个人信息：指在电子病历数据中包含的个人身份识别信息以及医疗健康信息。1.3等保测评：指依据国家网络安全等级保护制度要求，对信息系统进行的安全保护等级测评。1.4安全事件：指影响信息系统安全运行的数据泄露、篡改、丢失、系统被非法入侵、拒绝服务等情况。第二条数据共享范围与目的2.1甲方同意向乙方共享电子病历数据，具体数据范围包括：[详细列出共享的数据类型，如患者姓名、性别、年龄、身份证号、病历主索引、就诊记录、过敏史、用药记录、检查检验结果、影像报告等]。2.2乙方仅能为本协议第一条约定的[具体共享目的]使用获取的电子病历数据，不得将数据用于任何其他用途，不得非法转供第三方。2.3乙方应确保使用的电子病历数据仅为乙方自身[具体共享目的]所必需。第三条数据安全保护义务3.1甲乙双方均应严格履行等保2.0的要求，承担各自信息系统或处理环节的网络安全主体责任。3.2甲方义务：a.保证其信息系统符合国家网络安全等级保护要求，并根据等保测评结果持续改进。甲方应在协议签订后[具体时间]内提供其信息系统最近一次通过等保[具体等级]测评的证明文件或正在进行测评的有效证明。b.采用符合等保要求的加密技术（如TLS1.2及以上）保护电子病历数据在网络传输过程中的安全。c.对存储在信息系统中的电子病历数据，采取符合等保要求的加密措施。d.建立严格的访问控制机制，遵循最小权限原则，确保只有授权人员能在授权范围内访问数据。e.对信息系统的操作进行安全审计，记录并定期（建议不小于每半年）审查访问和操作日志。f.建立数据备份和恢复机制，确保在发生安全事件时能够及时恢复数据，并定期进行恢复演练。g.制定并实施安全事件应急响应预案，及时处置安全事件，并在发生重大安全事件后[具体时间，如24小时]内通知乙方。3.3乙方义务：a.严格遵守等保2.0的基本要求，在其数据接收、存储、处理和使用过程中，落实必要的安全防护措施，包括但不限于边界防护、访问控制、数据加密、安全审计等。b.仅通过安全可靠的途径接收电子病历数据，确保传输过程的机密性和完整性。c.对接收的电子病历数据，按照甲方要求或等保要求进行加密存储，并实施严格的访问控制。d.建立内部数据安全管理制度，明确数据处理人员的权限和责任，并进行安全意识培训。e.对其操作人员进行安全审计，记录并定期审查对数据的访问和操作。f.建立数据备份和恢复机制，并确保能够满足甲方数据恢复的要求。g.制定并实施内部安全事件应急响应流程，及时处置发生的安全事件，并在发生安全事件后[具体时间，如24小时]内通知甲方。h.未经甲方书面同意，不得对电子病历数据进行任何形式的脱敏处理。3.4双方承诺，在数据共享和处理过程中，严格遵守《个人信息保护法》等相关法律法规，特别是关于敏感个人信息处理的特殊规定，保障患者个人信息权益。第四条患者权利与授权4.1电子病历数据的共享和使用，原则上应基于患者本人或其授权人的明确、单独授权同意。授权方式为[书面、电子等形式]，授权范围应明确具体。4.2甲方应向患者（或其授权人）充分告知电子病历共享的目的、接收方、数据范围、安全措施、患者权利等信息，确保患者知情同意。4.3患者有权访问其本人的电子病历数据，并要求甲方更正其中不准确的信息。4.4若乙方使用共享的电子病历数据进行科研等非直接服务于患者诊疗活动的目的，必须事先获得甲方和患者的双重同意，并采取严格的去标识化或匿名化处理，确保无法识别到特定个人。第五条双方权利与义务5.1甲方权利：a.监督乙方对电子病历数据的合规使用情况。b.要求乙方提供其数据处理环节的安全措施证明及审计报告。c.在乙方违反本协议约定，特别是违反数据安全保护义务时，有权要求乙方立即停止违约行为，采取补救措施，并可根据违约程度要求乙方赔偿损失、解除协议。d.在发生安全事件时，有权要求乙方提供相关情况和证据。5.2甲方义务：a.保证其提供的电子病历数据的合法性、真实性和完整性。b.按照本协议约定，保障电子病历数据在传输过程中的安全。c.提供必要的技术支持，协助乙方落实数据接收环节的安全要求。d.定期（建议不小于每年一次）对自身信息系统进行等保测评或持续符合性评估，并将结果告知乙方。5.3乙方权利：a.在本协议约定的范围内，获得必要的电子病历数据用于约定目的。b.要求甲方提供其信息系统符合等保要求的证明文件。5.4乙方义务：a.按照本协议约定和等保要求，妥善保护电子病历数据的安全，防止数据泄露、篡改、丢失。b.建立健全内部数据安全管理制度和操作规程，对相关人员进行培训和考核。c.对因自身原因造成的数据安全事件承担全部责任。d.接受甲方对数据使用情况的合理监督检查。第六条数据生命周期管理6.1乙方对电子病历数据的存储期限不得超出本协议约定的共享目的所需时间。6.2电子病历数据的共享目的结束、协议终止或根据法律规定需要删除时，乙方必须在[具体时间，如15个工作日]内，按照等保要求的安全处置标准（如彻底删除或采用无法逆向还原的匿名化处理），将电子病历数据从其系统中安全移除或处理，并应甲方要求提供书面证明。第七条安全事件应急响应7.1甲乙双方均应制定并有效执行安全事件应急响应预案。7.2任何一方发生或发现可能影响电子病历数据安全的重大安全事件，应在[具体时限，如24小时]内立即通知对方，并按照约定或应急预案采取措施控制事态，保存相关证据，并配合对方进行事件处理和调查。7.3双方应定期（建议不小于每年一次）共同或分别组织应急演练，检验应急响应预案的有效性。第八条保密义务8.1甲乙双方应对从对方获取的、以及在本协议履行过程中知悉的任何商业秘密、技术秘密、未公开信息（包括但不限于协议内容、电子病历数据、安全措施细节等）承担保密义务。8.2未经对方书面同意，任何一方不得向任何第三方泄露该等保密信息，但法律法规另有规定或监管机构要求的除外（此时应尽合理努力通知对方）。8.3本保密义务不因本协议的终止而失效，持续有效期限为协议终止后[具体年限，如三年或五年]。第九条合规性审计与监督9.1甲方有权对乙方数据处理活动的合规性（包括等保要求落实情况、患者授权情况、数据使用范围等）进行定期或不定期的审计或检查。9.2乙方有权对甲方提供的数据的安全性及合规性进行监督和检查。9.3双方应配合对方的合理审计或检查要求，提供必要的文件、记录和访问权限，审计费用由[约定承担方，如甲方]承担。9.4如任何一方未能通过等保测评或发生重大数据安全事件，应立即通知对方，并采取措施整改，整改情况应书面告知对方。第十条协议期限、变更与终止10.1本协议有效期为[具体年限]年，自双方签字盖章之日起生效。10.2协议期满前[具体时间]，如双方均有意继续合作，应另行签订协议。10.3任何一方可在协议有效期内，提前[具体时间]书面通知对方终止本协议，但需承担相应的责任。10.4出现以下情况之一，守约方有权书面通知违约方立即终止本协议：a.一方严重违反本协议约定，且在收到守约方书面通知后[具体时间]内未能纠正。b.一方发生重大安全事件，严重影响数据安全或对方业务，且未能有效控制。c.一方进入破产、清算或解散程序。10.5协议终止后，关于数据安全、保密、责任承担、争议解决等条款仍然有效。第十一条违约责任11.1甲乙双方任何一方违反本协议约定，均应承担违约责任，赔偿因其违约行为给对方造成的直接经济损失。11.2若乙方违反数据安全保护义务或等保要求，导致电子病历数据泄露、篡改、丢失，或因违反患者授权约定使用数据，应承担全部责任，并赔偿甲方及患者因此遭受的所有损失（包括但不限于经济损失、声誉损失、行政处罚等）。11.3若甲方未能保证其数据来源的合法性或数据质量，导致乙方遭受损失，应承担相应赔偿责任。11.4因不可抗力导致协议无法履行或延迟履行，受影响方应立即通知对方，并在合理期限内提供证明，根据情况可部分或全部免除责任。第十二条法律适用与争议解决12.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。12.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权将争议提交至[选择仲裁或诉讼，如：甲方所在地有管辖权的人民法院诉讼解决/提请[具体仲裁委员会名称]按照其仲裁规则进行仲裁]。第十三条其他条款13.1本协议构成双方关于电子病历数据共享的完整协议，取代此前所有口头或书面的沟通、协