电子病历信息保密制度

电子病历信息保密制度一、电子病历信息保密制度

电子病历信息保密制度旨在规范电子病历信息的收集、存储、使用、传输、销毁等环节，确保患者隐私和医疗数据安全，防止信息泄露、篡改、丢失，维护医疗秩序和患者合法权益。本制度适用于医疗机构及其工作人员，以及参与电子病历信息系统建设和维护的第三方服务提供商。

（一）基本原则

电子病历信息的处理应遵循合法、正当、必要、诚信的原则，保障患者知情同意权。医疗机构在收集、使用电子病历信息时，必须明确信息使用的目的和范围，不得超出患者授权范围进行操作。同时，应遵循最小化原则，仅收集和处理与医疗服务直接相关的必要信息。

电子病历信息的处理还应遵循安全保障原则，采取技术和管理措施，确保信息安全。医疗机构应建立健全信息安全管理体系，定期进行安全风险评估，及时采取补救措施，防止信息泄露、篡改、丢失。此外，应遵循及时性原则，在法律法规规定的时限内保存电子病历信息，超过保存期限的应及时销毁。

（二）患者权利保护

患者对其电子病历信息享有知情权、授权权、访问权、更正权、删除权等权利。医疗机构在收集、使用电子病历信息前，应向患者明确告知信息的使用目的、范围、方式等，并取得患者的书面授权。患者有权访问其电子病历信息，了解信息的收集、使用情况，并对不准确的信息提出更正要求。

医疗机构应建立患者权利保护机制，设立专门部门或人员负责处理患者关于电子病历信息的投诉和请求。对于患者提出的访问、更正、删除等请求，医疗机构应在法律法规规定的时限内予以响应，并提供必要的协助。同时，医疗机构应定期向患者通报电子病历信息的处理情况，接受社会监督。

（三）信息收集与存储

电子病历信息的收集应遵循患者知情同意原则，医疗机构在收集前应向患者明确告知信息的使用目的、范围、方式等，并取得患者的书面授权。收集的信息应限于与医疗服务直接相关的必要信息，不得收集与医疗服务无关的个人信息。

电子病历信息的存储应采取加密、备份等技术措施，确保信息安全。医疗机构应建立电子病历信息存储管理制度，明确存储设备的维护、更新、报废等流程，确保存储设备的安全性和可靠性。同时，应定期对电子病历信息进行备份，防止信息丢失。

（四）信息使用与传输

电子病历信息的使用应遵循患者授权原则，医疗机构不得超出授权范围使用电子病历信息。在使用前，应再次确认信息使用的目的和范围，并记录使用情况。对于涉及多个医疗机构协作的医疗信息，应建立信息共享机制，确保信息使用的合法性和安全性。

电子病历信息的传输应采取加密、认证等技术措施，防止信息在传输过程中泄露、篡改。医疗机构应建立信息传输管理制度，明确传输流程、传输方式、传输设备等，确保信息传输的安全性和可靠性。同时，应定期对传输设备进行安全检测，及时发现并修复安全隐患。

（五）信息销毁与监督

电子病历信息的销毁应遵循最小化原则，仅销毁与医疗服务无关的个人信息，以及超过保存期限的电子病历信息。医疗机构应建立信息销毁管理制度，明确销毁流程、销毁方式、销毁设备等，确保信息销毁的安全性和彻底性。同时，应记录信息销毁情况，并定期进行销毁效果评估。

医疗机构应设立内部监督机制，定期对电子病历信息保密制度执行情况进行监督检查。监督部门应定期向管理层报告检查结果，并提出改进建议。此外，医疗机构应接受外部监督，定期接受卫生健康行政部门的监督检查，确保电子病历信息保密制度的有效实施。

（六）责任与处罚

医疗机构及其工作人员违反电子病历信息保密制度，造成患者隐私泄露、医疗数据安全事件等，应承担相应的法律责任。医疗机构应建立健全责任追究制度，对违反制度的行为进行严肃处理，包括但不限于警告、罚款、降职、解职等。

对于恶意泄露、篡改、利用电子病历信息从事违法犯罪活动的，医疗机构应积极配合司法机关进行调查处理，并依法追究相关人员的法律责任。同时，医疗机构应定期对工作人员进行保密教育，提高其保密意识和责任感，确保电子病历信息保密制度的有效执行。

二、电子病历信息保密制度实施细则

（一）授权管理与流程规范

医疗机构应建立电子病历信息授权管理制度，明确授权范围、授权流程、授权方式等。授权管理应遵循最小化原则，仅授权给与医疗服务直接相关的必要岗位和人员，并明确授权期限和使用目的。

授权流程应包括申请、审核、批准、通知等环节。申请部门或人员应填写授权申请表，详细说明授权目的、范围、方式等。审核部门应根据申请内容进行风险评估，并决定是否批准授权。批准后，应将授权信息录入信息系统，并通知被授权人员。

授权方式应包括直接授权、间接授权等。直接授权是指医疗机构直接向被授权人员授予信息访问权限。间接授权是指医疗机构通过第三方服务提供商向被授权人员授予信息访问权限。无论采用何种授权方式，医疗机构都应确保授权的合法性和安全性。

（二）人员管理与培训教育

医疗机构应建立电子病历信息保密责任制度，明确各级人员的保密责任和义务。主要负责人应承担领导责任，分管负责人应承担管理责任，直接责任人应承担执行责任。所有工作人员都应签订保密协议，并定期进行保密教育。

保密教育应包括保密意识教育、保密知识教育、保密技能教育等。保密意识教育应提高工作人员的保密意识，使其认识到保密工作的重要性。保密知识教育应普及保密法律法规、保密制度等知识，使工作人员了解保密工作的基本要求。保密技能教育应提高工作人员的保密技能，使其掌握信息保护、安全操作等技能。

医疗机构应定期组织保密培训，对工作人员进行保密知识和技能的培训。培训内容应包括保密法律法规、保密制度、信息保护、安全操作等。培训方式应包括课堂讲授、案例分析、模拟演练等。培训结束后，应进行考核，确保工作人员掌握保密知识和技能。

（三）技术管理与安全保障

医疗机构应建立电子病历信息安全技术管理制度，明确安全技术要求、安全措施、安全标准等。安全技术要求应包括加密技术、备份技术、访问控制技术等。安全措施应包括防火墙、入侵检测、漏洞扫描等。安全标准应包括国家标准、行业标准、企业标准等。

加密技术应应用于电子病历信息的收集、存储、传输、使用等环节，确保信息在各个环节的安全。备份技术应定期对电子病历信息进行备份，防止信息丢失。访问控制技术应限制对电子病历信息的访问，确保只有授权人员才能访问信息。

医疗机构应定期进行安全风险评估，及时发现并修复安全隐患。安全风险评估应包括资产识别、威胁分析、脆弱性分析、风险计算等环节。评估结果应录入信息系统，并定期进行更新。对于评估出的风险，应采取相应的安全措施进行控制。

（四）应急管理与处置流程

医疗机构应建立电子病历信息保密应急管理制度，明确应急响应流程、应急处理措施、应急预案等。应急响应流程应包括事件发现、事件报告、事件处置、事件调查、事件总结等环节。应急处理措施应包括隔离、清除、恢复、补偿等。应急预案应包括应急组织、应急资源、应急流程等。

事件发现是指通过监控系统、人工检查等方式发现电子病历信息保密事件。事件报告是指及时向上级部门报告事件情况。事件处置是指采取应急处理措施控制事件影响。事件调查是指对事件原因进行调查。事件总结是指对事件处理情况进行总结，并提出改进建议。

医疗机构应定期进行应急演练，提高工作人员的应急处置能力。演练内容应包括事件发现、事件报告、事件处置、事件调查、事件总结等环节。演练方式应包括桌面演练、模拟演练等。演练结束后，应进行评估，并提出改进建议。

（五）第三方管理与服务监督

医疗机构应建立第三方保密管理制度，明确第三方服务提供商的选择标准、保密要求、监督机制等。选择标准应包括资质审查、能力评估、信誉调查等。保密要求应包括保密协议、保密培训、保密检查等。监督机制应包括定期检查、随机抽查、事件报告等。

第三方服务提供商应与医疗机构签订保密协议，明确双方的保密责任和义务。保密协议应包括保密范围、保密期限、保密措施、违约责任等。第三方服务提供商应定期接受医疗机构的保密培训，提高其保密意识和技能。医疗机构应定期对第三方服务提供商进行保密检查，确保其履行保密义务。

医疗机构应建立第三方服务监督机制，定期对第三方服务提供商进行监督。监督内容应包括保密协议履行情况、保密培训情况、保密检查情况等。监督方式应包括定期检查、随机抽查、事件报告等。监督结果应录入信息系统，并定期进行更新。对于监督中发现的问题，应及时采取措施进行整改。

（六）合规管理与持续改进

医疗机构应建立电子病历信息保密合规管理制度，明确合规要求、合规评估、合规改进等。合规要求应包括法律法规要求、行业标准要求、企业标准要求等。合规评估应包括合规检查、合规审计、合规评估等。合规改进应包括问题整改、制度完善、人员培训等。

合规检查是指对电子病历信息保密制度执行情况进行检查。合规审计是指对电子病历信息保密制度进行独立评估。合规评估是指对电子病历信息保密制度的合规性进行评估。问题整改是指对检查和审计中发现的问题进行整改。制度完善是指对不完善的制度进行完善。人员培训是指对工作人员进行培训，提高其合规意识。

医疗机构应定期进行合规评估，及时发现并解决合规问题。合规评估应包括法律法规变化、行业标准变化、企业标准变化等。评估结果应录入信息系统，并定期进行更新。对于评估中发现的问题，应及时采取措施进行整改。同时，医疗机构应定期对电子病历信息保密制度进行持续改进，确保制度的有效性和适用性。

三、电子病历信息保密制度实施保障

（一）组织架构与职责分工

医疗机构应设立专门部门或指定专门人员负责电子病历信息保密工作，确保保密工作有组织、有计划、有步骤地开展。该部门或人员应直接向医疗机构主要负责人汇报工作，并接受其领导。主要负责人应承担领导责任，定期研究保密工作，解决保密工作中的重大问题。

部门或人员的主要职责应包括制定保密制度、组织实施保密工作、监督检查保密制度执行情况、处理保密事件等。制定保密制度应包括收集、分析相关法律法规、行业标准、企业标准等，并结合医疗机构实际情况制定出切实可行的保密制度。组织实施保密工作应包括宣传教育、培训、检查、监督等。监督检查保密制度执行情况应包括定期检查、随机抽查、专项检查等。处理保密事件应包括事件报告、事件调查、事件处置、事件总结等。

医疗机构应明确各级人员的保密责任，确保每个人都清楚自己在保密工作中的职责和义务。主要负责人应承担领导责任，分管负责人应承担管理责任，直接责任人应承担执行责任。所有工作人员都应签订保密协议，并定期进行保密教育，提高其保密意识和责任感。

（二）资源配置与经费保障

医疗机构应将电子病历信息保密工作纳入医疗机构发展规划，并配备必要的资源，确保保密工作的顺利开展。资源包括人员、设备、资金等。人员包括保密工作人员、技术工作人员、管理人员等。设备包括计算机、服务器、网络设备、安全设备等。资金包括保密工作经费、技术更新经费、人员培训经费等。

医疗机构应设立保密工作经费，专项用于保密工作。经费应包括设备购置费、维护费、培训费、检查费等。设备购置费用于购置保密设备，如加密设备、备份设备、安全设备等。维护费用于设备维护，确保设备正常运行。培训费用于人员培训，提高其保密意识和技能。检查费用于保密检查，及时发现并解决保密问题。

医疗机构应定期对资源配置情况进行评估，及时调整资源配置，确保资源配置的合理性和有效性。评估内容包括人员配置、设备配置、资金配置等。评估结果应录入信息系统，并定期进行更新。对于评估中发现的问题，应及时采取措施进行整改。

（三）绩效考核与激励约束

医疗机构应建立电子病历信息保密绩效考核制度，将保密工作纳入绩效考核体系，并与员工的薪酬、晋升等挂钩。绩效考核应包括保密意识、保密知识、保密技能、保密工作表现等。保密意识是指员工对保密工作的认识和理解。保密知识是指员工对保密法律法规、保密制度等知识的掌握程度。保密技能是指员工掌握的保密技术和方法。保密工作表现是指员工在保密工作中的表现。

医疗机构应定期进行绩效考核，对员工的保密工作进行评估。考核结果应录入信息系统，并定期进行更新。对于考核优秀的员工，应给予奖励，如奖金、晋升等。对于考核不合格的员工，应进行培训，提高其保密意识和技能。对于违反保密制度的员工，应给予处罚，如警告、罚款、降职、解职等。

医疗机构应建立激励约束机制，激励员工积极参与保密工作，约束员工遵守保密制度。激励措施应包括精神激励和物质激励。精神激励包括表彰、奖励、晋升等。物质激励包括奖金、补贴等。约束措施应包括警告、罚款、降职、解职等。激励约束机制应与绩效考核制度相结合，确保激励约束机制的有效性。

（四）沟通协调与协作机制

医疗机构应建立电子病历信息保密沟通协调机制，确保各部门、各岗位之间的沟通协调，形成工作合力。沟通协调机制应包括定期会议、信息共享、联合检查等。定期会议应包括保密工作会议、部门协调会议等。信息共享应包括保密信息共享、工作信息共享等。联合检查应包括保密检查、联合检查等。

医疗机构应定期召开保密工作会议，研究保密工作，解决保密工作中的重大问题。会议应包括主要负责人、分管负责人、保密工作人员、技术工作人员、管理人员等。会议内容应包括保密工作情况汇报、问题讨论、解决方案制定等。会议结束后，应形成会议纪要，并录入信息系统，并定期进行更新。

医疗机构应建立信息共享机制，确保各部门、各岗位之间能够及时获取保密信息。信息共享应包括保密信息共享、工作信息共享等。保密信息共享应包括保密制度、保密政策、保密案例等。工作信息共享应包括工作计划、工作总结、工作进展等。信息共享应确保信息的准确性和及时性，防止信息泄露。

医疗机构应建立联合检查机制，定期对各部门、各岗位进行联合检查，确保保密制度的执行。联合检查应包括保密检查、联合检查等。保密检查应包括保密制度执行情况、保密工作情况等。联合检查应包括工作检查、联合检查等。联合检查应确保检查的全面性和有效性，及时发现并解决保密问题。

四、电子病历信息保密制度监督与评估

（一）内部监督机制建立

医疗机构应设立内部监督机构或指定内部监督人员，负责对电子病历信息保密制度的执行情况进行日常监督和检查。内部监督机构或人员应独立于日常运营部门，确保监督工作的客观性和公正性。内部监督机构或人员的职责应明确界定，包括但不限于定期检查保密制度的落实情况、受理保密相关投诉、对违规行为进行调查等。

内部监督机构或人员应制定详细的监督计划，明确监督对象、监督内容、监督方法、监督频率等。监督计划应具有可操作性，能够有效覆盖电子病历信息保密的各个环节。监督对象应包括所有部门和岗位，特别是那些直接接触电子病历信息的工作人员。监督内容应包括保密制度的执行情况、保密措施的落实情况、工作人员的保密意识等。监督方法应包括现场检查、查阅资料、访谈等。监督频率应根据实际情况确定，一般应至少每季度进行一次全面监督。

内部监督机构或人员应建立监督记录制度，详细记录每次监督的情况，包括监督时间、监督对象、监督内容、监督结果、整改措施等。监督记录应妥善保存，以便日后查阅和追溯。内部监督机构或人员应定期向医疗机构主要负责人汇报监督情况，并提出改进建议。主要负责人应根据监督情况，及时采取措施解决存在的问题，确保保密制度的有效执行。

（二）外部监督机制引入

医疗机构应积极配合外部监督机构或人员的监督检查，及时整改发现的问题。外部监督机构或人员通常包括卫生健康行政部门的监管人员、专业的保密评估机构等。医疗机构应主动向外部监督机构或人员提供必要的支持和配合，包括提供相关资料、安排相关人员接受访谈等。

医疗机构应建立对外部监督的反馈机制，及时了解外部监督机构或人员的意见和建议，并采取相应的措施进行整改。对于外部监督中发现的问题，医疗机构应认真分析原因，制定整改方案，并限期完成整改。整改方案应明确整改目标、整改措施、责任人、完成时限等。整改完成后，医疗机构应向外部监督机构或人员报告整改情况，并请求进行复查。

医疗机构应建立对外部监督的评估机制，定期评估外部监督的效果，并根据评估结果调整外部监督策略。评估内容应包括外部监督的覆盖范围、监督的深度、问题的发现率、整改的落实情况等。评估结果应录入信息系统，并定期进行更新。对于评估中发现的问题，应及时采取措施进行改进，确保外部监督的有效性。

（三）定期评估与持续改进

医疗机构应建立电子病历信息保密制度的定期评估机制，定期对制度的合理性、有效性进行评估，并根据评估结果进行持续改进。定期评估应每年至少进行一次，评估内容应包括保密制度的完整性、保密措施的可行性、保密工作的规范性等。

定期评估应采用多种方法，包括自我评估、内部评估、外部评估等。自我评估是指医疗机构根据保密制度的要求，对自身的保密工作进行评估。内部评估是指内部监督机构或人员对保密制度的执行情况进行评估。外部评估是指外部监督机构或人员对保密制度的有效性进行评估。定期评估应覆盖保密制度的各个方面，包括信息收集、信息存储、信息使用、信息传输、信息销毁等。

定期评估的结果应形成评估报告，并提交给医疗机构主要负责人。评估报告应包括评估背景、评估方法、评估内容、评估结果、改进建议等。主要负责人应根据评估报告，制定改进方案，并组织相关部门进行实施。改进方案应明确改进目标、改进措施、责任人、完成时限等。改进完成后，医疗机构应再次进行评估，确保改进措施的有效性。

（四）监督评估结果应用

医疗机构应将监督评估的结果应用于日常管理，作为改进保密工作的重要依据。监督评估结果应与绩效考核挂钩，作为评价部门和员工工作表现的重要指标。对于监督评估中发现的问题，应进行重点跟踪，确保问题得到有效解决。

监督评估结果应用于完善保密制度，根据评估结果，对不完善的地方进行修改和完善，确保保密制度的科学性和可操作性。监督评估结果应用于加强保密培训，根据评估结果，确定培训的重点和内容，提高培训的针对性和有效性。监督评估结果应用于优化保密措施，根据评估结果，对不合理的保密措施进行调整和优化，提高保密措施的效果。

监督评估结果应用于加强监督管理，根据评估结果，调整监督策略，加强对重点领域和关键环节的监督，确保保密制度的有效执行。监督评估结果应用于激励先进，表彰在保密工作中表现突出的部门和员工，树立榜样，鼓励大家学习先进，共同提高保密工作的水平。通过将监督评估的结果应用于日常管理，医疗机构可以不断提高保密工作的水平，确保电子病历信息的安全。

五、电子病历信息保密制度违规处理与责任追究

（一）违规行为界定与认定

医疗机构应明确界定电子病历信息保密制度中的违规行为，确保所有工作人员清晰了解哪些行为属于违规，以及违规的后果。违规行为应包括但不限于未履行保密义务、违反授权规定、擅自泄露、篡改、删除电子病历信息、未经授权访问电子病历信息、未按规定进行信息备份、未按规定销毁电子病历信息等。

医疗机构应制定违规行为认定标准，明确认定依据、认定程序、认定结果等。认定依据应包括保密制度、法律法规、行业标准、企业标准等。认定程序应包括初步调查、正式调查、认定决定、结果通知等。认定结果应明确违规行为的性质、情节、后果等。认定标准应具有可操作性，能够有效区分不同性质的违规行为，并作出相应的处理决定。

医疗机构应建立违规行为认定机制，确保违规行为的认定过程公平、公正、透明。违规行为认定机制应包括调查组、认定委员会等。调查组负责对违规行为进行调查，收集证据，分析事实。认定委员会负责对调查组的调查结果进行审查，并作出认定决定。调查组和认定委员会应独立于日常运营部门，确保认定过程的客观性和公正性。

（二）违规处理程序与措施

医疗机构应制定电子病历信息保密制度违规处理程序，明确违规处理的原则、程序、措施等。违规处理原则应包括教育与惩戒相结合、公平公正、与违规情节相适应等。违规处理程序应包括调查、认定、处理、申诉等。违规处理措施应包括警告、罚款、降职、解职、追究法律责任等。

违规处理程序应规范调查、认定、处理、申诉等环节，确保违规处理过程的合法性和合理性。调查环节应包括初步调查、正式调查等。初步调查应了解基本情况，确定是否需要进一步调查。正式调查应收集证据，分析事实，形成调查报告。认定环节应包括认定决定、结果通知等。认定决定应根据调查报告，作出是否违规的认定。结果通知应将认定结果通知当事人，并告知其申诉权利。

违规处理措施应根据违规行为的性质、情节、后果等因素，作出相应的处理决定。对于轻微违规行为，应给予警告或罚款。对于严重违规行为，应给予降职或解职。对于构成犯罪的违规行为，应依法追究法律责任。违规处理措施应与违规行为相适应，确保处理结果的公平公正。

（三）责任追究机制完善

医疗机构应建立电子病历信息保密制度责任追究机制，明确责任追究的原则、程序、措施等。责任追究原则应包括谁主管谁负责、谁经办谁负责、责任到人等。责任追究程序应包括调查、认定、处理、申诉等。责任追究措施应包括内部处分、追究法律责任等。

责任追究机制应明确各级人员的责任，确保责任到人。主要负责人应承担领导责任，分管负责人应承担管理责任，直接责任人应承担执行责任。责任追究机制应与违规处理程序相结合，确保违规行为的处理和责任追究的顺利进行。

责任追究机制应建立内部处分制度，对违规行为责任人进行内部处分。内部处分包括警告、罚款、降职、解职等。内部处分应根据违规行为的性质、情节、后果等因素，作出相应的处理决定。责任追究机制应建立追究法律责任制度，对构成犯罪的违规行为责任人追究法律责任。追究法律责任应积极配合司法机关进行调查处理，并依法追究相关人员的刑事责任。

（四）违规案例分析与警示教育

医疗机构应建立电子病历信息保密制度违规案例库，收集和分析违规案例，总结经验教训，为后续的保密工作提供参考。案例库应包括违规行为、调查过程、认定结果、处理措施、申诉情况等。案例库应定期更新，确保案例库的时效性和实用性。

医疗机构应定期组织违规案例分析，对典型案例进行深入分析，总结经验教训，提高工作人员的保密意识和责任感。案例分析应包括违规行为分析、调查过程分析、认定结果分析、处理措施分析、申诉情况分析等。案例分析应注重实效，确保案例分析能够帮助工作人员认识到违规行为的危害性，并从中吸取教训。

医疗机构应将违规案例分析结果应用于警示教育，通过多种形式对工作人员进行警示教育，提高其保密意识和责任感。警示教育形式应包括案例分析会、专题讲座、警示教育片等。警示教育内容应包括违规行为的危害性、保密制度的重要性、保密工作的要求等。警示教育应注重实效，确保警示教育能够帮助工作人员认识到违规行为的危害性，并从中吸取教训，自觉遵守保密制度。

（五）违规处理结果反馈与整改

医疗机构应建立电子病历信息保密制度违规处理结果反馈机制，及时将处理结果反馈给当事人，并听取当事人的意见。处理结果反馈应包括处理决定、处理依据、处理过程等。处理结果反馈应确保信息的准确性和完整性，避免信息泄露或误解。

医疗机构应建立违规处理结果申诉机制，对处理结果不服的当事人，可以提出申诉。申诉机制应包括申诉受理、申诉调查、申诉处理等。申诉受理应及时受理当事人的申诉，并告知其申诉程序。申诉调查应认真调查当事人的申诉，收集证据，分析事实。申诉处理应根据调查结果，作出申诉处理决定，并通知当事人。

医疗机构应建立违规处理结果整改机制，对处理结果不合理的，应进行整改。整改机制应包括问题分析、整改方案、整改措施、整改效果评估等。问题分析应认真分析处理结果不合理的原因，找出问题所在。整改方案应制定整改方案，明确整改目标、整改措施、责任人、完成时限等。整改措施应具体可行，能够有效解决问题。整改效果评估应定期评估整改效果，确保整改措施的有效性。

医疗机构应将违规处理结果反馈与整改结果应用于完善保密制度，根据反馈和整改结果，对不完善的地方进行修改和完善，确保保密制度的科学性和可操作性。通过将违规处理结果反馈与整改结果应用于完善保密制度，医疗机构可以不断提高保密工作的水平，确保电子病历信息的安全。

六、电子病历信息保密制度附则

（一）制度解释与修订

本电子病历信息保密制度由医疗机构指定部门负责解释。解释部门应负责对本制度进行日常管理和维护