(1) 机密医疗信息应仅由授权人员输入到基于计算机的病历中。对记录的增补应加盖时间和日期戳,并在记录中注明增补人员。
(2) 应向患者和医生告知存储患者医疗信息的计算机化数据库的存在。此类信息应在医生向维护计算机数据库的一个或多个实体发布医疗信息之前传达给医生和患者。
对计算机化数据库具有某种形式访问权限的所有个人和组织,以及允许的访问级别,都应事先具体确定。为了获得治疗的知情同意,有必要向患者全面披露此信息。应根据数据的敏感程度为患者数据分配一个适当的安全级别,用于控制哪些人可以访问该信息。
(3) 在计算机机构分发报告之前,应将反映可识别患者数据的所有报告的分发情况通知医生和患者。在向医疗护理环境外部的个人或组织发布患者可识别的临床和管理数据之前,应获得患者的批准并通知医生。未经患者明确许可,不得泄露此类信息。
(4) 机密医疗数据的传播应仅限于真正使用该数据的个人或机构。只有真正使用所必需的数据才应该被发布。适当时应省略患者识别码。数据库中机密医疗信息的发布应限于信息请求的特定目的,并限于请求的特定时间范围。
所有此类组织或个人应告知,向其授权发布数据并不授权其向其他个人或组织进一步发布数据,或随后将数据用于其他目的。
(5) 在计算机化数据库中添加或更改数据的程序应指明有权进行更改的人员、发生更改的时间段以及将从病历中了解数据更改的人员。
(6) 应建立清除计算机化数据库中陈旧或不准确数据的程序,并在清除数据前后通知患者和医生。不应将医生的计算机化病历与其他计算机服务局客户的病历混合在一起。此外,应制定程序以防止个别报告或其片段的无意混合。
(7) 只有在使用需要医疗数据的授权计算机程序时,计算机化医疗数据库才应在线连接到计算机终端。不应允许临床机构外部的个人和组织在线访问包含患者病历中可识别数据的计算机化数据库。应通过密码、信息加密(编码)、可扫描徽章或其他用户标识等安全措施控制对计算机化数据库的访问。
(8) 备份系统和其他机制应到位,以防止因硬件或软件故障而造成的数据丢失和停机。
(9) 应制定严格的安全程序,以防止未经授权访问基于计算机的病历。应制定人员审核程序,以在发生未经授权披露医疗数据的情况下建立记录。数据处理环境中的已解雇或已离职员工不应有权访问有关患者的病历数据。
在终止对医生的计算机服务时,为医生维护的那些计算机文件应实际移交给医生。只有在确定医生有另一份副本(以某种形式)时,才能销毁(删除)。如果文件被擦除,计算机服务局应以书面形式向医生核实擦除是否已经发生。
中国律师事务所-律政在线 http://www.law-firm-china.com/?id=2703 转载需授权!