医疗行业掌握着患者的身份信息、健康状况、病史记录、诊疗方案、遗传信息等高度敏感的个人隐私信息,这些信息一旦泄露,不仅会严重侵犯患者的隐私权,还可能对患者的工作、生活、家庭造成不良影响,甚至引发歧视等严重后果。因此,医疗行业的保密管理工作直接关系到患者的合法权益,也关系到医疗机构的信誉和医患关系的和谐,医疗机构和医务人员必须严格遵守患者隐私保密管理的相关规范。
患者信息的收集要遵循合法、正当、必要原则。医疗机构在患者就诊过程中,只收集和诊疗活动相关的必要信息,不能过度收集和诊疗无关的患者个人信息。收集患者信息时要明确告知患者信息的收集用途、存储方式、使用范围和保密措施等内容,获得患者的知情同意。对于艾滋病、精神疾病、遗传病等特殊疾病的患者信息,要采取更严格的保密措施,除了法律法规规定的情形外,不得向任何单位和个人泄露。
患者信息的存储要符合安全保密要求。电子病历和患者信息要存储在医疗机构统一的加密医疗信息系统中,不能存储在医务人员的个人电脑、私人移动存储设备或者公共云盘中。医疗信息系统要设置严格的访问权限,不同岗位的医务人员只能访问自己工作范围内的患者信息,比如门诊医生只能访问自己接诊患者的病历信息,住院医生只能访问自己分管床位患者的病历信息,不能越权访问其他患者的信息。系统的登录要采用多因素认证方式,每一次访问患者信息的操作都要留下完整的日志记录,包括访问人、访问时间、访问内容、访问用途等,方便后续审计溯源。纸质病历要存放在专门的病案室,由专人负责管理,无关人员不得随意进入病案室,查阅纸质病历要经过严格的审批流程,并且要在病案管理人员的陪同下进行,不能私自复印、摘抄患者的敏感病历内容。
患者信息的使用要严格控制范围。医务人员在诊疗活动中可以合理使用患者的信息,但不能出于非诊疗目的泄露患者的隐私。不能在公共场合或者无关人员在场的情况下讨论患者的病情、病史等敏感信息,不能随意向患者的家属、朋友透露患者的病情,除非获得患者本人的明确同意,或者属于法律法规规定的必须告知的情形。如果因为医学研究、教学等需要使用患者的信息,要对信息进行匿名化处理,去除能够识别患者身份的内容,并且要获得患者的知情同意,不能直接使用患者的真实信息开展研究和教学活动。
医疗机构和医务人员还要特别注意避免在社交媒体上泄露患者的隐私。不能在朋友圈、微博、短视频平台等社交媒体上发布患者的病历、照片、诊疗视频等内容,即便是出于科普目的,也要获得患者的明确同意,并且对患者的身份信息进行彻底的隐去处理,避免被其他人识别出患者的身份。
针对外包服务人员和第三方合作机构的保密管理也不能放松。很多医疗机构会将信息化建设、病历数字化、体检服务等业务外包给第三方机构,这些外包人员可能会接触到大量的患者信息,医疗机构要和第三方机构签订严格的保密协议,明确其保密义务和责任,要求其对接触到的患者信息严格保密,不得泄露、出售或者非法向他人提供。要对第三方机构的工作人员进行背景审查和保密培训,在合作过程中定期对其信息安全保障情况进行检查,一旦发现存在信息泄露风险,要及时终止合作并追究责任。
医疗机构要定期对医务人员开展患者隐私保密培训,通过案例警示教育、法律法规学习、实操技能培训等方式,提高医务人员的保密意识和保密能力,使其认识到泄露患者隐私不仅违反职业道德,还可能承担民事赔偿责任、行政责任甚至刑事责任。要定期开展保密检查,重点检查医疗信息系统的权限设置、患者信息的存储和使用情况、纸质病历的管理情况等,及时发现和整改存在的保密隐患。如果发生患者信息泄露事件,要及时启动应急处置预案,采取措施控制泄露范围,通知受影响的患者,同时按照规定向卫生健康主管部门和相关监管部门报告,配合开展调查处理工作,最大限度降低信息泄露造成的损失。
保护患者隐私是医务人员的基本职业道德,也是医疗机构必须履行的法律义务,只有严格落实各项保密管理规范,才能保障患者的合法权益,构建和谐的医患关系,促进医疗卫生行业的健康发展。
