医院患者隐私保护管理办法

医院患者隐私保护管理办法第一章总则第一条目的与依据为保障患者合法权益，规范医院在医疗服务过程中对患者隐私信息的收集、使用、存储和披露等行为，维护医疗秩序，树立医院良好职业形象，依据国家相关法律法规及行业规范，结合本院实际情况，特制定本办法。第二条适用范围本办法适用于本院所有科室、部门及其全体工作人员，包括但不限于医师、护士、医技人员、行政管理人员、实习进修人员、规培人员、护工、保洁人员以及在院提供服务的第三方机构人员。患者隐私保护贯穿于医疗服务的全过程，从患者入院至出院（或离院）后的信息管理均需遵守本规定。第三条定义本办法所称患者隐私，是指在医疗活动中产生的，患者不愿为他人知悉的个人信息，包括但不限于患者的姓名、性别、年龄、身份证号码、家庭住址、联系方式、婚姻状况、职业、收入、既往病史、现病史、体格检查结果、实验室检查结果、影像学资料、诊断结论、治疗方案、用药情况、手术记录、护理记录以及其他与患者健康状况和个人生活相关的信息。第二章组织与职责第四条组织领导医院成立患者隐私保护工作领导小组，由院长担任组长，分管副院长任副组长，成员包括医务、护理、信息、质控、院感、保卫、人事、纪检监察等相关部门负责人。领导小组下设办公室，办公室设在医务部（或指定专门部门），负责日常工作的组织、协调、监督与落实。第五条部门职责1.医务部（或指定部门）：作为隐私保护工作的牵头部门，负责制定和修订隐私保护相关制度和流程，组织开展隐私保护培训与教育，受理和调查处理患者隐私相关的投诉与纠纷，监督检查各部门隐私保护工作落实情况。2.信息科：负责医院信息系统（包括电子病历系统、HIS、LIS、PACS等）中患者隐私信息的技术安全防护，确保数据存储、传输、访问的安全性，落实信息系统权限管理和日志审计制度。3.各临床、医技科室：科室主任/护士长为本科室患者隐私保护第一责任人，负责组织本科室人员学习和执行本办法及相关规定，加强对本科室工作环节中患者隐私信息的管理，及时发现和报告隐私保护风险事件。4.护理部：负责指导和监督护理工作中患者隐私保护措施的落实，规范护理文书的管理。5.院办公室/宣传科：负责对外宣传、信息发布中涉及患者隐私的审核与管理，严禁未经许可泄露患者信息。6.人事科：负责将患者隐私保护要求纳入员工入职培训、岗位职责及绩效考核体系。7.保卫科：负责涉及患者隐私的纸质文件、存储介质等的安全保卫工作，防止被盗、被抢、丢失。8.其他相关部门：根据各自职责，配合做好患者隐私保护相关工作。第三章患者隐私信息的收集、存储与使用第六条信息收集原则收集患者隐私信息应遵循合法、正当、必要的原则，仅限于为患者提供医疗服务所必需的范围。收集时应向患者或其监护人、授权委托人说明信息用途，并获得其明示同意（特殊情况如紧急救治等除外）。严禁以欺骗、误导、强迫等不正当方式收集患者隐私信息。第七条信息存储安全1.纸质病历及相关资料应存放于指定的病历柜或档案室，加锁保管，严格执行借阅、复印、复制制度。2.电子病历及各类电子医疗记录应存储于符合国家信息安全标准的服务器中，采取加密、访问控制等技术措施。3.任何个人不得私自存储、复制、备份患者隐私信息到非医院指定的存储设备（如个人电脑、U盘、移动硬盘、手机等）。第八条信息使用规范1.患者隐私信息的使用仅限于临床诊疗、教学、科研、医院管理等合法目的。2.因教学、科研需要使用患者隐私信息时，应去除可识别患者身份的个人标识信息，或获得患者的书面同意，并严格遵守相关伦理规范。3.医务人员因工作需要查阅、调取患者信息时，必须凭本人工号及权限进行操作，并对操作行为负责。严禁冒用他人工号或越权访问。4.严禁在非工作时间、非工作地点、非工作需要的情况下访问、查看患者隐私信息。5.严禁将患者的病历资料、检查结果等隐私信息随意摆放、丢弃或带出工作区域。6.在进行临床教学、病例讨论时，应注意保护患者隐私，避免在公开场合泄露患者可识别身份的信息，确需使用时应进行匿名化处理。第四章患者隐私信息的传递与披露第九条内部传递内部传递患者隐私信息应通过医院内部安全信息系统或指定的加密方式进行，严禁通过非加密电子邮件、即时通讯工具（如微信、QQ等）等不安全渠道传递。纸质文件传递应确保专人负责，交接登记。第十条对外披露1.未经患者本人或其监护人、授权委托人书面同意，严禁向任何与医疗活动无关的第三方披露患者隐私信息。法律法规另有规定的除外（如司法机关依法查询、传染病报告等）。2.因法律、法规规定或公共卫生需要，必须向外部机构提供患者隐私信息时，应由相关职能部门（如医务部）审核批准，并严格按照规定的程序和范围提供。3.新闻媒体采访涉及患者情况时，须经医院宣传部门同意，并由指定人员统一对外发布信息，且不得泄露患者可识别身份的隐私信息，除非获得患者明确授权。4.患者本人或其监护人、授权委托人要求查阅、复制其病历资料的，应按照《医疗机构病历管理规定》等相关规定办理手续。5.严禁医务人员在私人交往和通信中泄露患者隐私信息，严禁利用患者隐私信息谋取私利。第五章电子信息系统安全管理第十一条权限管理信息科应严格执行信息系统用户权限分级授权制度，根据“最小权限”和“按需分配”原则，为不同岗位人员设置相应的信息访问和操作权限，并定期进行权限审查和清理。第十二条密码与身份认证医务人员应妥善保管自己的系统登录密码，定期更换，严禁转借、泄露给他人使用。信息系统应采用强密码策略，并逐步推广多因素认证。第十三条安全审计信息系统应具备完善的日志审计功能，对患者隐私信息的访问、查询、修改、删除等操作进行详细记录，并确保日志的完整性和不可篡改性。相关日志应至少保存规定年限。第十四条数据备份与恢复信息科应建立健全患者隐私信息的数据备份和灾难恢复机制，定期进行数据备份，并确保备份数据的安全和可恢复性。第十五条终端设备管理医院办公电脑、移动医疗设备（如移动查房车、平板电脑等）严禁安装与工作无关的软件，严禁连接不安全的网络。个人手机等私人电子设备原则上不得用于存储、处理患者隐私信息，确有必要的，需经医院批准并采取严格的安全防护措施。第六章患者隐私保护的告知与沟通第十六条告知义务医院应在患者入院时或诊疗活动开始前，通过《患者须知》、宣传栏、电子屏等多种方式，向患者或其监护人、授权委托人告知其隐私保护的权利、医院保护患者隐私的措施以及患者应配合的事项。第十七条沟通方式在与患者沟通病情、诊疗方案等涉及隐私内容时，应选择适当的场所，避免在公共区域或有无关人员在场的情况下进行，确保沟通内容不被他人窃听或窥视。第十八条诊疗过程中的隐私保护在进行体格检查、治疗操作、影像学检查等医疗活动时，应注意保护患者的身体隐私，如关闭检查室门、使用屏风遮挡、要求无关人员回避等，尊重患者的人格尊严。第七章应急处置与投诉处理第十九条应急预案医院应制定患者隐私信息泄露事件应急预案，明确应急处置流程、责任部门和人员。发生或可能发生隐私信息泄露时，应立即启动应急预案，采取补救措施，防止事态扩大，并按规定及时上报。第二十条投诉受理医院设立专门的投诉渠道（如投诉电话、意见箱、电子邮箱等），方便患者就隐私保护问题进行投诉。相关部门应在规定时限内对投诉事项进行调查、核实和处理，并将结果反馈给投诉人。第八章培训、教育与监督第二十一条培训与教育医院定期组织全体员工进行患者隐私保护相关法律法规、规章制度和专业知识的培训和教育，新员工上岗前必须接受隐私保护培训并考核合格。培训内容应包括案例警示教育，提高员工的法律意识和责任意识。第二十二条日常监督与检查医院患者隐私保护工作领导小组及办公室定期或不定期对各科室、各部门的患者隐私保护工作落实情况进行监督检查，对发现的问题及时通报并督促整改。第二十三条记录与报告建立健全患者隐私保护工作记录制度，包括培训记录、检查记录、投诉处理记录、事件报告记录等。发生重大隐私泄露事件时，应按规定向卫生健康行政部门等相关主管部门报告。第九章奖惩第二十四条奖励对在患者隐私保护工作中表现突出、有效避免或挽回损失的科室或个人，医院予以表彰和奖励。第二十五条惩处对违反本办法规定，造成患者隐私泄露或其他不良后果的，医院将根据情节轻重，对相关责任人给予批评教育、通报批评、经济处罚、岗位调整、直至党纪政纪处分