私隱專員吳斌發表醫院管理局個人資料系統視察報告,指醫管局並沒有整體統籌保障病人資料的政策及措施,令醫護人員難以遵從。
報告提出多項改善建議,包括研究使用獨特識別代號代替身份證號碼、制訂電子資料保留政策,以防止過度囤積不必要的資料,以及制訂政策及指引,規管把病人資料帶離工作地點的情況。
醫管局行政總裁蘇利民歡迎有關建議,並成立專責隊伍,研究和制訂資料保安的改善措施,有信心在未來1年,因應有關建議作出重大改進。
採取有系統審核方法
吳斌今天(7月22日)表示,醫管局應對所有醫院採取有原則、有系統的私隱審核方法,以便及早發現任何洩漏資料或違反規條例規定的癥兆。
他指出,醫管局迫切需要提供更多培訓及教育,以提高員工的私隱意識,促使他們遵守條例的規定,以及減低日後再發生人為錯誤導致的違規事故。
報告提出37項改善建議,包括指派專責委員會或指定人士,制訂、更新、檢討及統一所有關於病人資料保安的手冊、政策及措施;以及檢討各聯網及醫院委員會的角色,清晰界定職權範圍。
防止囤積不必要資料
醫管局應研究使用獨特識別代號代替身份證號碼,作為鑑定病人身份及處方藥物以外的用途;並進行保安風險評估,評估目前以身份證號碼作為識別代號的做法,是否涉及披露太多具侵犯私隱性高的資料。
報告建議檢討及制訂臨床資料以外的電子資料的保留政策,以防止過度囤積不必要的資料;以及檢討有關使用手提電子儲存裝置的政策及措施,並訂明批准及檢討持續需要的機制。
私隱專員認為,醫管局應制訂政策及指引,規管將病人資料帶離工作地點的情況;並慮就批准及檢討員工查閱病人資料的權限上,進一步定立具備詳細批准原則的訂明程序。
醫管局應考慮把醫療人員閱覽醫療記錄及化驗報告硬拷貝的程序,規限在指定地點進行,和制訂程序,確保員工當交還使用完的活動式電子儲存裝置時,把內藏的所有資料按業界標準刪除。
專責組料八月交報告
蘇利民表示,私隱專員的建議,將連同醫管局病人資料安全及私隱專責小組提出的建議一併考慮。專責小組預計8月中完成報告,9月提交醫管局大會討論。
醫管局至今已實施改進措施,例如加裝自動加密功能,當職員需要從臨床系統下載病人資料時,系統會自動加密檔案來進一步保障病人資料並加強系統保安。
醫管局正研究各種提升技術及程序的措施,也會與私隱專員公署合作,提高員工保障私隱的意識,加強醫護人員認識在日常工作面對有關個人私隱的風險。
|