医院患者隐私保护与信息安全管理制度.docxVIP

医院患者隐私保护与信息安全管理制度

为规范医院患者个人信息处理活动，保护患者隐私权益，防范信息安全风险，依据《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《医疗纠纷预防和处理条例》《医疗机构病历管理规定》等法律法规及行业规范，结合医院实际业务需求，制定本制度。本制度适用于医院范围内所有涉及患者个人信息收集、存储、使用、传输、共享、删除等处理活动的部门及人员，包括临床科室、医技科室、行政职能部门、信息系统运维人员、外包服务供应商等。

一、管理原则与目标

（一）基本原则

1.合法正当必要：患者个人信息处理活动须符合法律法规要求，基于明确、合理的诊疗或管理目的开展，处理范围严格限定于实现目的所需的最小必要信息，不得过度收集或使用。

2.知情同意：除法律、行政法规规定应当保密或不需要告知的情形外，处理患者个人信息前须以显著方式、清晰易懂的语言向患者或其法定代理人告知处理目的、方式、范围及信息主体权利等事项，取得其明确同意；患者为无民事行为能力或限制民事行为能力人的，需由其监护人代为同意。

3.安全保障：采取技术措施与管理措施，确保患者个人信息在处理过程中的保密性、完整性、可用性，防范信息泄露、篡改、丢失等风险。

4.责任明确：实行“谁处理、谁负责”的责任机制，各部门及岗位人员须严格履行信息保护义务，对违规处理行为承担相应责任。

（二）管理