EN
在醫(yī)療信息化高速發(fā)展的今天,電子病歷早已成為醫(yī)療機(jī)構(gòu)日常診療工作的重要組成部分。然而,隨著數(shù)據(jù)泄露事件頻發(fā),電子病歷的安全管理迫在眉睫。6月30日,國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局三部門聯(lián)合發(fā)布《關(guān)于進(jìn)一步加強(qiáng)醫(yī)療機(jī)構(gòu)子病歷信息使用管理的通知》(以下簡稱《通知》),對電子病歷的規(guī)范管理、權(quán)限控制、數(shù)據(jù)安全等提出更嚴(yán)格要求。這是繼2017年《電子病歷應(yīng)用管理規(guī)范(行)》后,我國醫(yī)療信息化領(lǐng)域的又一里程碑式政策。以下是新規(guī)的六大核心要點(diǎn),醫(yī)療機(jī)構(gòu)和醫(yī)務(wù)人員必看!
1.壓實(shí)主體責(zé)任:電子病歷管理成“一把手工程”
《通知》明確將醫(yī)療機(jī)構(gòu)定為電子病歷信息管理的“第一責(zé)任人”,要求必須建立起一套由牽頭部門統(tǒng)籌、多部門協(xié)同的管理機(jī)制。這意味著醫(yī)務(wù)、科教、信息等部門需要打破壁壘,緊密合作。例如,信息部門負(fù)責(zé)技術(shù)保障,醫(yī)務(wù)部門把控使用規(guī)范,科教部門則監(jiān)督教學(xué)科研過程中的病歷使用情況。同時(shí),電子病歷規(guī)范使用還將被納入績效考核,從制度層面督促各部門履職盡責(zé)。
劃重點(diǎn):醫(yī)療機(jī)構(gòu)需設(shè)立紀(jì)檢監(jiān)督機(jī)制,嚴(yán)查權(quán)限濫用和泄露行為。一旦出現(xiàn)違規(guī)情況,如某醫(yī)院員工利用職務(wù)之便私自查看明星患者病歷并泄露信息,不僅直接責(zé)任人將受到處罰,管理部門也難辭其咎;電子病歷管理情況與醫(yī)院評審、智慧醫(yī)院建設(shè)直接掛鉤,未來在評選優(yōu)秀醫(yī)院、智慧醫(yī)療示范單位時(shí),電子病歷管理水平將是重要的考量因素。
2.權(quán)限分級再細(xì)化:遵循“最小可用”原則
新規(guī)要求醫(yī)療機(jī)構(gòu)對電子病歷實(shí)施分級分類訪問控制,按崗位需求設(shè)定權(quán)限和時(shí)限。臨床診療人員,僅能調(diào)閱診療必需的病歷,這有效避免了無關(guān)病歷信息的暴露;教學(xué)科研人員如需使用病歷,必須經(jīng)過嚴(yán)格審批,且權(quán)限范圍不能超出培訓(xùn)需要,防止學(xué)術(shù)研究中出現(xiàn)病歷信息濫用;外部服務(wù)商,如為醫(yī)院提供系統(tǒng)維護(hù)的公司,必須簽訂保密協(xié)議,其每一次訪問電子病歷的操作都將受到全程監(jiān)控。
特別規(guī)定:見習(xí)醫(yī)生、進(jìn)修生等短期人員的使用權(quán)限需嚴(yán)格限定,違規(guī)將追責(zé)。此前就曾有見習(xí)醫(yī)生出于好奇,違規(guī)查看患者病歷,最終導(dǎo)致信息泄露。新規(guī)落地后,此類行為將面臨更嚴(yán)厲的處罰。
3.數(shù)據(jù)安全升級:數(shù)字水印+全流程追溯
為防范信息篡改和泄露,《通知》提出兩大技術(shù)手段。操作留痕方面,所有電子病歷的修改、查閱、傳輸記錄均需可追溯,包括時(shí)間、操作人員身份。想象一下,若病歷被惡意篡改,通過操作留痕功能,能夠快速鎖定修改時(shí)間和人員,為追查提供有力證據(jù)。
數(shù)字水印技術(shù)則是在病歷共享或?qū)С鰰r(shí)嵌入隱形標(biāo)識(shí),確保來源可查、責(zé)任可究。比如,醫(yī)院將患者病歷導(dǎo)出提供給第三方機(jī)構(gòu),一旦出現(xiàn)信息泄露,通過數(shù)字水印就能追蹤到信息最初的流出源頭。此外,醫(yī)療機(jī)構(gòu)需建立應(yīng)急處置制度,一旦發(fā)生輿情或泄露事件,立即封存相關(guān)數(shù)據(jù)并阻斷傳播,將損失降到最低。
4.嚴(yán)控外部合作:外包服務(wù)納入監(jiān)管
如今,許多醫(yī)療機(jī)構(gòu)會(huì)與信息系統(tǒng)維護(hù)、數(shù)據(jù)分析等外部服務(wù)商合作。在合作過程中,醫(yī)療機(jī)構(gòu)需明確數(shù)據(jù)訪問范圍、目的和期限。例如,邀請服務(wù)商進(jìn)行系統(tǒng)維護(hù)時(shí),要限定其僅能訪問與維護(hù)工作相關(guān)的數(shù)據(jù),且規(guī)定好維護(hù)的時(shí)間周期。同時(shí),要監(jiān)督服務(wù)商落實(shí)保密義務(wù),定期檢查其保密措施是否到位;禁止未經(jīng)授權(quán)的數(shù)據(jù)復(fù)制、傳播,避免服務(wù)商私自留存、傳播病歷數(shù)據(jù)。
5.患者隱私保護(hù):非必要不觸碰
《通知》重申“非醫(yī)療、教學(xué)、研究目的不得泄露患者信息”。電子病歷系統(tǒng)需通過電子簽名和權(quán)威時(shí)間源確保數(shù)據(jù)真實(shí)性和不可篡改,電子簽名就如同手寫簽名一般,確保每一次操作都能明確責(zé)任人;權(quán)威時(shí)間源則保證病歷數(shù)據(jù)的時(shí)間準(zhǔn)確性,防止篡改時(shí)間逃避責(zé)任。
患者隱私泄露將按《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》追責(zé)。此前,某醫(yī)院因管理不善,導(dǎo)致大量患者病歷信息在網(wǎng)上流傳,醫(yī)院不僅面臨巨額罰款,相關(guān)責(zé)任人還被追究刑事責(zé)任。新規(guī)實(shí)施后,此類行為將受到更嚴(yán)格的法律制裁。
6.政策延續(xù)性:與電子病歷評級掛鉤
此次新規(guī)與2018年《電子病歷系統(tǒng)應(yīng)用水平分評價(jià)標(biāo)準(zhǔn)》形成銜接,要求醫(yī)療機(jī)構(gòu)在實(shí)現(xiàn)全院信息共享(4級)和醫(yī)療決策支持(5級)的基礎(chǔ)上,進(jìn)一步強(qiáng)化安全管理。這意味著,未來醫(yī)院想要在電子病歷評級上取得更高等級,不能只關(guān)注信息共享和決策支持功能,更要重視數(shù)據(jù)安全管理。未來,電子病歷應(yīng)用水平或成醫(yī)院高質(zhì)量發(fā)展的核心指標(biāo),成為衡量醫(yī)院綜合實(shí)力的重要標(biāo)準(zhǔn)之一。
此次《通知》通過制度約束+技術(shù)賦能雙管齊下,既回應(yīng)了公眾對醫(yī)療數(shù)據(jù)安全的關(guān)切,也為醫(yī)療機(jī)構(gòu)信息化建設(shè)提供了明確指引。隨著電子病歷管理的精細(xì)化,醫(yī)療質(zhì)量和患者權(quán)益將得到更堅(jiān)實(shí)保障。無論是患者看病就醫(yī),還是醫(yī)院開展科研教學(xué),都將在更安全、規(guī)范的環(huán)境下進(jìn)行。
最后,我們是為廣大醫(yī)療機(jī)構(gòu)提供智慧醫(yī)療系統(tǒng)的服務(wù)商,如果貴醫(yī)院需要智慧醫(yī)療HIS系統(tǒng)、智慧管理HRP系統(tǒng)、智慧運(yùn)營HCRM系統(tǒng),歡迎您隨時(shí)溝通~
以下是政策原文:
各省、自治區(qū)、直轄市及新疆生產(chǎn)建設(shè)兵團(tuán)衛(wèi)生健康委、中醫(yī)藥局、疾控局:
按照《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《中華人民共和國醫(yī)師法》《醫(yī)療機(jī)構(gòu)管理?xiàng)l例》及其實(shí)施細(xì)則等法律法規(guī)和部門規(guī)章規(guī)定,進(jìn)一步落實(shí)醫(yī)療質(zhì)量安全核心制度、醫(yī)療機(jī)構(gòu)病歷管理規(guī)定、電子病歷系統(tǒng)功能和應(yīng)用管理規(guī)范、醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法等有關(guān)要求,現(xiàn)就進(jìn)一步加強(qiáng)醫(yī)療機(jī)構(gòu)電子病歷信息使用管理工作通知如下:
一、加強(qiáng)醫(yī)療機(jī)構(gòu)內(nèi)部管理
(一)明確電子病歷范圍。電子病歷是病歷的一種記錄形式,指醫(yī)務(wù)人員在醫(yī)療活動(dòng)過程中,使用信息系統(tǒng)生成的文字、符號(hào)、圖表、圖形、數(shù)字、影像等數(shù)字化信息,并能實(shí)現(xiàn)存儲(chǔ)、管理、傳輸和重現(xiàn)的醫(yī)療記錄,包括門(急)診病歷和住院病歷。
(二)壓實(shí)醫(yī)療機(jī)構(gòu)主體責(zé)任。醫(yī)療機(jī)構(gòu)對本單位電子病歷信息使用管理承擔(dān)主體責(zé)任,要依法依規(guī)嚴(yán)格保護(hù)患者隱私,不得以非醫(yī)療、教學(xué)、研究目的泄露患者的病歷信息。醫(yī)療機(jī)構(gòu)應(yīng)明確電子病歷信息使用管理的牽頭部門,確定各相關(guān)部門和人員的職責(zé)分工,統(tǒng)籌協(xié)調(diào)醫(yī)務(wù)、科教、信息等相關(guān)部門落實(shí)管理責(zé)任,指導(dǎo)臨床業(yè)務(wù)部門落實(shí)使用主體責(zé)任。醫(yī)療機(jī)構(gòu)要強(qiáng)化紀(jì)檢部門的監(jiān)督職能,加強(qiáng)對電子病歷信息使用權(quán)限濫用、信息泄露等行為的監(jiān)管。要將電子病歷信息規(guī)范使用管理情況納入行政管理人員和醫(yī)務(wù)人員績效評價(jià),出現(xiàn)違規(guī)操作、泄露信息等不良事件,要依法依規(guī)追究相應(yīng)部門和個(gè)人責(zé)任。
(三)健全醫(yī)療機(jī)構(gòu)管理制度。醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)完善電子病歷信息系統(tǒng)分級管理制度,規(guī)范電子病歷的建立、記錄、修改、保存、傳輸?shù)雀鳝h(huán)節(jié)工作流程,以及使用、管理的權(quán)限范圍。建立電子病歷信息使用長效監(jiān)管機(jī)制,預(yù)防并及時(shí)處置不合理調(diào)閱、使用、轉(zhuǎn)發(fā)電子病歷信息等情形,確保電子病歷信息使用合法合規(guī)、安全可控。建立應(yīng)急處置制度,建立健全電子病歷信息泄露場景的處置流程。
(四)落實(shí)分級管理要求。醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)根據(jù)電子病歷信息的重要程度、敏感級別、使用場景等具體情況,嚴(yán)格實(shí)施分級分類訪問控制與權(quán)限管理。遵循最小可用原則,按照崗位職責(zé)、角色任務(wù)、使用需求等,明確臨床診療、教學(xué)、管理等相關(guān)人員分級訪問權(quán)限和時(shí)限,嚴(yán)禁未經(jīng)授權(quán)查閱、復(fù)制、傳播或篡改病歷信息。發(fā)生就醫(yī)診療相關(guān)輿情時(shí),要立即封存涉及人員的相關(guān)信息,無關(guān)人員不得訪問瀏覽記錄轉(zhuǎn)發(fā)。
二、規(guī)范電子病歷信息使用
(一)規(guī)范相關(guān)人員使用權(quán)限和行為。醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)為電子病歷系統(tǒng)操作人員提供專有的身份標(biāo)識(shí)和識(shí)別手段,并設(shè)置相應(yīng)權(quán)限。明確操作人員對本人身份標(biāo)識(shí)的使用負(fù)責(zé),不得違規(guī)收集、使用、傳輸、透露、買賣患者病歷信息或通過網(wǎng)絡(luò)渠道傳播。醫(yī)療機(jī)構(gòu)從業(yè)人員均應(yīng)妥善保管個(gè)人身份識(shí)別介質(zhì),依權(quán)限規(guī)范使用電子病歷信息,并由醫(yī)療機(jī)構(gòu)根據(jù)工作崗位和工作內(nèi)容定期更新調(diào)整其使用權(quán)限和時(shí)限。參與見習(xí)實(shí)習(xí)和培養(yǎng)培訓(xùn)的學(xué)生、進(jìn)修醫(yī)生等短期工作人員,需接受醫(yī)療機(jī)構(gòu)組織的相關(guān)培訓(xùn),依權(quán)限在教學(xué)學(xué)習(xí)活動(dòng)中規(guī)范使用電子病歷信息,其使用權(quán)限和時(shí)限不得超過培訓(xùn)進(jìn)修學(xué)習(xí)范圍和時(shí)長。醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)與提供信息系統(tǒng)維護(hù)和數(shù)據(jù)分析服務(wù)等業(yè)務(wù)的外部服務(wù)商簽訂嚴(yán)格的保密協(xié)議和授權(quán)協(xié)議,明確其訪問電子病歷系統(tǒng)的范圍、目的和期限,并在服務(wù)過程中接受醫(yī)療機(jī)構(gòu)監(jiān)督,確保數(shù)據(jù)安全。
(二)保障全流程可追溯。醫(yī)療機(jī)構(gòu)要確保電子病歷系統(tǒng)歷次操作痕跡、操作時(shí)間和操作人員等信息可查詢、可追溯。支持通過數(shù)字水印等技術(shù)手段,確保使用過程留痕。醫(yī)療機(jī)構(gòu)共享電子病歷信息時(shí),應(yīng)有嚴(yán)格的授權(quán)機(jī)制和審批流程,確保信息的安全性和防篡改性。醫(yī)療機(jī)構(gòu)接收外單位提供的電子病歷信息時(shí),應(yīng)對信息來源的合法性、完整性、安全性進(jìn)行驗(yàn)證,并參照內(nèi)部管理要求建立詳細(xì)的接收、存儲(chǔ)、使用記錄,實(shí)現(xiàn)數(shù)據(jù)流向可追溯。
(三)確保數(shù)據(jù)安全。醫(yī)療機(jī)構(gòu)要按照《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國電子簽名法》等法律法規(guī)規(guī)定,強(qiáng)化數(shù)據(jù)安全管理。建立電子病歷信息安全防護(hù)體系,充分利用信息化手段監(jiān)測電子病歷信息使用情況。定期開展安全評估,對異常訪問或未經(jīng)授權(quán)的操作及時(shí)發(fā)出警報(bào)并通知上級管理人員,有效防范潛在安全風(fēng)險(xiǎn)。
三、強(qiáng)化衛(wèi)生健康行政部門監(jiān)管
地方各級衛(wèi)生健康行政部門(含中醫(yī)藥、疾控部門,下同)要加強(qiáng)對醫(yī)療機(jī)構(gòu)規(guī)范使用電子病歷信息的指導(dǎo)和監(jiān)管,定期監(jiān)測評估。各省級衛(wèi)生健康行政部門要將醫(yī)療機(jī)構(gòu)規(guī)范使用電子病歷信息情況作為醫(yī)院評審、醫(yī)院巡查、智慧醫(yī)院建設(shè)等相關(guān)工作重要評估依據(jù)。各辦醫(yī)主體單位組織推進(jìn)落實(shí)。
?
國家衛(wèi)生健康委辦公廳????????國家中醫(yī)藥局綜合司
國家疾控局綜合司
2025年6月23日
關(guān)注康博嘉微信公眾號(hào)
獲取營銷干貨和最新活動(dòng)資訊
掃一掃
關(guān)注官方公眾號(hào)
智慧醫(yī)療HIS
智慧管理HRP
智慧服務(wù)HCRM
智慧診所SaaS
干貨分享
公開課
行業(yè)政策
企業(yè)簡介
企業(yè)新聞
加入我們
聯(lián)系我們
智慧醫(yī)院整體解決方案白皮書獲取
4009-612-812
