26年护理数据安全保护课件

26年护理数据安全保护课件演讲人2026-05-032026年护理数据安全保护的新形势与刚性要求01护理数据安全全流程实操规范02护理数据的分类分级与各岗位权责划分03护理数据安全事件应急处置与责任认定04目录大家好，我是市护理学会信息管理专委会的工作人员，从事护理数据安全管理工作已经11年，今天的培训内容是结合2025年刚落地的《护理信息数据分类分级指南》等新规，以及我们辖区近一年处置的23起护理数据违规事件整理而成，覆盖临床护理、护理管理、互联网+护理服务等全场景，适用于各级医疗机构、养老护理机构的所有护理从业人员，培训目标是帮助大家明确法规要求、掌握实操规范、厘清责任边界，既要保护患者隐私权益，也能规避自身职业风险。2026年护理数据安全保护的新形势与刚性要求012026年护理数据安全保护的新形势与刚性要求首先要跟大家明确，护理数据安全已经不再是医院信息科的专属工作，而是所有护理从业者必须履行的法定责任，当前的监管环境和风险形态和3年前相比已经发生了非常大的变化，核心体现在三个方面：1法规体系进一步完善，要求更加具体2025年最高法更新了《个人信息保护法》医疗卫生领域适用司法解释，首次将“护理记录未采取加密措施、私自导出护理数据用于非诊疗目的”明确列为违法行为，同时国家卫健委发布的《护理信息数据分类分级指南》，对护理数据的采集、存储、传输、销毁全流程做出了可落地的量化要求，我去年参与市卫健的执法检查时，碰到一家三甲医院的产科护士为了做科研，私自导出了2000多份产妇的产后护理记录，既没有走伦理审查流程，也没有做脱敏处理，最后机构被罚8万元，涉事护士被暂停执业3个月，护士长扣除年度考核优秀资格，这个案例就是新规落地后的典型处罚案例，大家一定要引以为戒。除此之外，医保局2025年底发布的《医保数据安全管理规范》，也将护理操作记录、护理费用结算数据纳入了重点监管范畴，一旦出现数据泄露、篡改，还会同步触发医保部门的处罚。2护理数据形态多元化，风险点大幅增加2026年全市二级以上医院的护理智能终端普及率已经达到92%，互联网+护理服务的覆盖范围拓展到了所有涉农区县，护理数据已经从传统的纸质护理记录、HIS系统内的电子记录，拓展到了可穿戴护理监测设备的实时生理数据、上门护理服务的轨迹数据、患者随访群的交流数据、AI辅助护理决策的运算数据等多个维度，很多之前大家没有注意到的场景都已经纳入了监管范围。上个月我去某社区卫生服务中心督导，碰到一位负责老年随访的护士，用私人微信加了120多位高血压、糖尿病患者，手机丢失后里面的患者病情、住址、联系方式全部泄露，最后17名患者联合投诉到12345，机构花了大量精力做安抚才没有造成更严重的后果，这个案例就是新的数据形态带来的新风险，大家一定要有认知。3监管处罚力度升级，实行“机构+个人”双罚制我上个月参加省护理学会信息专委会会议时，省卫健委的同志通报，2025年全年全省共处置护理数据违规事件47起，其中21起对直接责任护士做出了暂停执业3-6个月的处罚，12起对涉事护理管理者做出了免职、降职的处理，所有处罚结果全部纳入护理人员信用档案，与职称评定、评优评先直接挂钩。现在的监管原则是“谁操作谁负责、谁管理谁负责”，不再像之前那样只罚机构不罚个人，大家千万不要有“出事了有医院担着”的侥幸心理。护理数据的分类分级与各岗位权责划分02护理数据的分类分级与各岗位权责划分明确了当前的监管要求和风险形势之后，我们接下来要厘清的核心问题是：哪些护理数据属于法定保护范畴？不同岗位的护理人员对应的安全权责又是什么？1护理数据的法定分类按照《护理信息数据分类分级指南》要求，所有护理数据分为四大类：第一类是患者身份与健康基础数据，包括患者姓名、身份证号、联系方式、住址、病史、过敏史、家族遗传病史等与患者身份直接绑定的基础信息；第二类是护理操作与服务数据，包括医嘱执行记录、护理评估单、压疮/跌倒风险评估结果、手术护理记录、上门护理服务的操作记录与轨迹数据、临终关怀护理记录等所有护理服务产生的过程数据；第三类是护理管理与运营数据，包括护士排班信息、护理不良事件上报记录、护理质量考核数据、医保结算对应的护理费用数据等护理管理过程中产生的数据；第四类是护理科研与教学数据，包括用于科研的病例资料、随访数据、教学用的患者案例、临床护理实训的操作记录等。2护理数据的敏感等级划分根据数据泄露可能造成的危害程度，护理数据分为三个敏感等级：第一级是核心敏感级，指一旦泄露会对患者造成重大人身、财产损害，或者引发严重舆情的护理数据，包括艾滋病、精神疾病、性病等特殊疾病患者的护理记录，未成年人、残障人士、孕产妇的特殊护理记录，肿瘤患者的预后与随访数据，涉及患者隐私部位的护理操作记录等，这类数据的所有操作都需要双人审核；第二级是重要敏感级，指泄露后会对患者造成一定损害的护理数据，包括普通患者的完整诊疗护理记录、医保费用明细、随访联系方式等，这类数据的导出必须走正规审批流程；第三级是一般敏感级，指已经做了匿名化处理、无法反向识别到具体个人的护理统计数据、不涉及个人信息的护理操作规范类数据，这类数据的使用限制相对宽松，但也不能随意对外传播。3不同岗位的护理数据安全权责我们专门针对不同护理岗位梳理了明确的权责清单，大家可以对照自己的岗位落实：3不同岗位的护理数据安全权责3.1临床一线护士是所负责患者护理数据安全的第一责任人，负责本人操作端所有数据采集、录入、传输的安全，不得私自复制、导出、传播任何患者的护理数据，离开操作终端时必须锁屏，不得转借个人操作账号。3不同岗位的护理数据安全权责3.2护理管理者（护士长、科护士长）负责本科室护理数据安全制度的落地，每月组织一次科室数据安全隐患排查，审核本科室护理科研数据的导出申请，发生数据安全事件时第一时间上报并配合处置。3不同岗位的护理数据安全权责3.3护理信息岗人员负责护理信息系统的权限分配、操作日志审计、系统漏洞排查，定期开展护理人员的数据安全培训，为应急处置提供技术支持。3不同岗位的护理数据安全权责3.4互联网+护理服务护士负责上门服务过程中数据采集、存储、传输的全流程安全，不得私自留存患者的任何隐私数据，不得用私人设备拍摄患者的护理相关内容。我之前做过调研，82%的护理数据泄露事件都是因为一线人员的操作疏忽导致的，而非黑客攻击，所以大家一定要明确，数据安全不是信息科的事，是每一位护理人员的法定责任。护理数据安全全流程实操规范03护理数据安全全流程实操规范在清楚了保护对象和自身权责的基础上，我们接下来进入本次培训的核心实操环节，也就是全流程的护理数据安全操作规范，每一条都是结合既往违规案例总结出来的，大家一定要记牢：1数据采集环节规范首先要遵循“最小必要”原则，只采集诊疗护理活动必须的信息，不得采集患者家属职业、收入、宗教信仰等与护理服务无关的内容；采集数据时要在患者视线范围内操作，不得将操作终端屏幕对着无关人员；使用手持PDA、护理平板电脑等移动终端时，必须设置复杂度符合要求的解锁密码，不得用工号、生日作为密码，离开终端时必须锁屏，密码每3个月更换一次。去年我去某二甲医院督导时，刚好碰到内科护士站因为PDA未锁屏，被家属翻看看到了同病房艾滋病患者的护理记录，最后引发纠纷，机构赔了患者2万元精神损失费，涉事护士被取消了当年的主管护师评定资格，仅仅是一个未锁屏的小疏忽，就造成了这么严重的后果，大家一定要重视。2数据存储与传输环节规范所有护理数据必须存储在医疗机构的官方服务器内，绝对不能存储在私人手机、私人网盘、个人电脑、私人U盘等非官方存储介质中；传输护理数据必须使用医疗机构内部的OA系统、加密工作群，绝对不能使用微信、QQ、抖音等公域社交软件传输任何敏感级护理数据；如果需要导出护理数据用于科研、教学、质量分析等用途，必须严格按照“伦理审查→科室主任签字→护理部审核→信息科备案”的流程审批，导出的数据必须做脱敏处理，删除所有可以识别到患者个人身份的信息，使用完毕后72小时内必须彻底删除。去年有个护士长为了方便做季度护理质量分析，私自把全年1200多份患者的跌倒、压疮护理记录导出到个人U盘，U盘丢失后造成大量患者信息泄露，最后机构被罚12万元，护士长被免去职务，这个教训非常惨痛。3数据使用与共享环节规范不得在电梯、食堂、公共交通工具等公共场合谈论患者的隐私护理信息，不得在公共平台发布任何包含患者身份标识的护理案例；如果需要和其他医疗机构共享患者的护理数据，必须取得患者的书面知情同意，通过卫健部门指定的医疗数据共享平台传输，不得私自向其他机构人员传输护理数据；使用AI工具辅助撰写护理查房记录、护理科研论文时，必须使用通过国家网络安全等级保护三级认证的医疗专用AI工具，绝对不能使用公域免费AI工具上传任何患者的护理数据，2025年我省某三甲医院就出现过护士用公域AI工具上传患者病例写护理记录，导致数据泄露被处罚的案例。4数据销毁环节规范超过法定存储期限的纸质护理记录，必须统一送到有资质的销毁机构粉碎，不得随意丢弃到垃圾桶；电子护理数据的销毁必须由信息科操作，做不可逆的深度删除，不得仅删除到回收站就视为销毁；报废的护理移动终端、办公电脑，必须交给信息科做数据擦除处理，不得私自售卖、丢弃。护理数据安全事件应急处置与责任认定04护理数据安全事件应急处置与责任认定哪怕我们把所有操作规范都落实到位，也不能完全排除数据安全事件的发生概率，所以掌握规范的应急处置流程，是降低事件危害、厘清责任边界的关键，这也是我们接下来要讲的内容。1应急处置的标准流程一旦发现护理数据泄露、丢失、被窃取的情况，第一时间上报科室护士长、护理部和信息科，绝对不能隐瞒，也不能私自删除数据、私自补救，私自操作很可能会破坏事件溯源的证据，导致后果更加严重；之后要配合信息科开展风险排查，确认泄露的数据范围、涉及的患者数量、可能造成的危害，按照法规要求在24小时内上报属地卫健部门和网信部门；对于涉及的患者，要安排专人逐一告知，做好解释安抚工作，避免引发群体性投诉。2责任认定的边界我要特别跟大家说明责任认定的原则：如果护理人员已经严格按照规范操作，事件是因为系统漏洞、黑客攻击等不可抗因素导致的，不需要承担责任；但如果是因为违反操作规范，比如私自导出数据、用私人微信传输数据、未锁屏导致数据泄露，就必须承担相应的行政、民事甚至刑事责任。大家不用过度焦虑，只要严格按照规范操作，就不会有职业风险。3日常应急演练要求各科室每季度至少要组织一次护理数据安全应急演练，模拟PDA丢失、数据泄露等场景，熟悉上报、处置、安抚的全流程，我们辖区去年有个社区卫生服务中心发生随访数据泄露事件，就是因为之前做过演练，处置非常规范，没有造成严重后果，也没有被监管部门处罚，这就是演练的实际价值。以上就是本次培训的全部核心内容，最后我结合自己十多年的从业经验跟大家做几点总结：第一，