吉林财经大学医院保密工作管理制度
第一章总则
第一条制定目的与法律依据
为全面落实保密工作责任制,规范校医院国家秘密、校内工作秘密、师生患者医疗隐私、人事财务、采购招标、纪检巡察等涉密信息全流程管理,防范失泄密风险,保障国家安全、学校与师生员工合法权益。依据《中华人民共和国保守国家秘密法》《保守国家秘密法实施条例》《个人信息保护法》《数据安全法》《电子病历应用管理规范》及吉林财经大学保密工作相关规定,结合校医院诊疗、行政、后勤实际,制定本制度。
第二条适用范围
本制度适用于校医院全体在岗人员(院长、医护、药房、收费、检验、行政、保洁安保、合同制人员)、实习进修学生、临时工作人员;覆盖医院全部纸质涉密载体、电子信息系统、存储介质、诊疗档案、会议材料、招标采购、人事纪检、财务数据等各类涉密、敏感信息。
第三条保密工作基本原则
(一)党管保密、一岗双责:党支部书记、院长为保密工作第一责任人,分管副院长、各科室负责人对分管领域保密工作直接负责,落实“业务谁主管、保密谁负责”。
(二)最小知悉、全程管控:涉密信息仅向履职必需人员开放,实行分级授权,信息采集、存储、查阅、传输、销毁全流程留痕可追溯。
(三)预防为主、分级管理:区分国家秘密、校内工作秘密、医疗隐私敏感信息三类管理,要害部位重点防护,常态化开展教育、排查、督查。
(四)权责对等、失责必究:所有接触涉密信息人员签订保密承诺书,发生泄露依规追责,涉嫌违法移交司法机关。
第四条保密信息范围界定
(一)国家秘密:上级下发涉密文件、疫情防控涉密数据、公共卫生专项涉密材料、纪检巡察涉密线索、维稳涉密信息等,分绝密、机密、秘密三级管理。
(二)校内工作秘密:医院三重一大会议记录、设备采购招标底价、人事考核、薪酬财务、院感内部排查报告、投诉纠纷内部处置材料、专项审计资料。
(三)医疗敏感隐私信息:全校师生就诊病历、检验影像、诊断结果、身份证、联系方式、住址、病史、传染病、精神类、慢性病、孕检等特殊敏感诊疗数据;学生体检批量健康档案。
(四)其他内部敏感信息:药品耗材采购台账、师生医保报销数据、监控录像、门禁台账、系统账号密码、网络服务器后台数据。
第二章保密工作组织架构与岗位职责
第五条保密工作领导小组
成立校医院保密工作领导小组:
组长:党支部书记、院长
副组长:分管行政、医疗副院长
成员:各科室负责人、药房组长、收费负责人、病案管理员、网络信息管理员领导小组职责:
1.贯彻落实学校保密办工作部署,制定、修订医院保密制度、年度保密工作计划;
2.组织全院保密培训、警示教育、涉密风险季度排查;
3.审批涉密文件定密、解密、对外提供涉密信息;
4.处置失泄密隐患与泄密事件,按规定上报学校保密办、校党委;
5.管理保密要害部门、部位防护设施建设。
第六条各岗位保密职责
(一)第一责任人(书记、院长):对全院保密工作负总责,定期专题研究保密工作,审批重大涉密事项,保障保密防护经费与设备。
(二)科室负责人:本科室保密第一责任人,落实科室日常保密管理,组织科室人员学习保密规定,每日排查病历、电脑、文件存储隐患。
(三)涉密行政岗:专人收发、登记、保管上级涉密文件,统一管理涉密纸质载体,做好密件传阅、归档、销毁台账。
(四)病案、医疗信息管理员:统一管理纸质、电子病历,严格病历查阅、复印审批流程,管控体检档案批量数据导出权限。
(五)网络信息管理员:负责医院HIS、电子病历系统、服务器、办公电脑、U盘等设备保密管控,定期更新系统补丁、清理日志、管控外网接入。
(六)医护、检验、收费人员:仅可查阅本人接诊师生诊疗信息,不在公共区域讨论病情,严禁私自拍摄、转发病历、检验报告。
(七)后勤、安保、外包人员:不得私自翻阅病历、监控、办公文件,不得携带手机进入病案室、机房等要害区域。
(八)全体人员通用义务:主动参加保密培训;签订保密承诺书;发现泄密隐患第一时间上报;离岗、离职、实习结束完成脱密交接。
第三章涉密载体(纸质)保密管理
第七条 涉密文件收发、登记、传阅
1.上级涉密文件由办公室专人签收,建立《涉密载体登记台账》,标注密级、份数、收发日期、传阅人,全程闭环登记;
2.涉密文件仅限院内相关负责人阅办,严禁私自复印、摘抄、拍照、转发微信;确需复印须经院长书面审批,复印件同等密级管理,多余底稿当场销毁;
3.传阅密件不得带出医院,阅后当日归还办公室,不得长期留存个人办公桌。
第八条 纸质病历、档案管理
(一)纸质病历、学生体检档案存放专用带锁病案库房,非工作人员未经审批严禁进入;库房门窗防盗,配备监控、灭火器材;
(二)查阅病历:本院医护凭工号登记查阅;师生本人调阅凭身份证;家属调取需患者书面授权;公检法机关调取凭单位介绍信、工作证件,院长审批登记;
(三)病历不得随意摆放诊室、走廊,下班全部入柜上锁;废弃病历、检验报告单统一收集,定点粉碎销毁,禁止随意丢弃。
第九条 涉密纸质载体销毁
涉密文件、过期内部材料、作废病历统一汇总,由领导小组双人核对登记,送至学校指定涉密销毁机构处理,严禁自行售卖、当作废纸丢弃。
第四章电子信息、网络与设备保密管理
第十条内外网物理隔离要求
1.医院涉密电脑、存储诊疗数据内网电脑严禁连接互联网、WiFi;内网、外网电脑物理分开,禁止交叉混用U盘、移动硬盘;
2.办公外网电脑不得存储、拷贝病历、体检、财务等敏感数据,禁止使用私人云盘、微信、QQ传输师生诊疗信息。
第十一条电脑、账号与密码管理
1.每台办公、诊疗电脑设置独立登录密码,长度不少于8位,含字母数字符号,每90天更换一次,严禁共用账号、转借密码;
2.电子病历系统实行岗位最小权限:门诊医生仅查看本人接诊患者,护士仅分管床位信息,收费人员仅操作结算数据,系统自动留存访问审计日志,保存不少于1年;
3.人员离岗、下班必须锁屏;长时间离开关闭电脑,禁止无人值守开放系统页面。
第十二条移动存储、手机、拍摄设备管控
1.涉密内网专用U盘统一编号登记,仅限内网使用,不得接入外网、私人手机;私人U盘禁止插入诊疗内网电脑;
2.禁止在微信群、朋友圈、短视频平台发布患者病情、病历照片、体检汇总数据、医院内部会议材料。
第十三条服务器、监控、第三方系统管理
1.医院数据服务器专人管理,机房上锁,定期备份加密存储,备份硬盘单独存放;
2.与第三方检验、医保、体检合作单位数据传输签订保密协议,脱敏后传输,严禁提供完整可识别个人信息。
第五章人员保密、培训与离岗脱密管理
第十四条保密承诺书制度
1.新入职、实习、外包人员上岗前必须签订《保密承诺书》,明确保密义务、违约责任;未签订不得接触涉密、诊疗信息;
2.承诺书一式两份,医院存档、个人留存,离岗时回收归档。
第十五条常态化保密教育培训
1.每年不少于2次全院保密专题培训,覆盖保密法规、医疗隐私保护、网络泄密典型案例;新员工岗前必开展保密教育;
2.每季度组织科室保密自查,领导小组每半年开展全院保密专项督查,形成检查台账,限期整改隐患。
第十六条离岗、离职、实习结束脱密管理
1.职工辞职、调动、退休、实习生结业,须完成保密交接:交还全部纸质密件、存储介质、注销系统账号,清空办公电脑敏感数据;
2.涉及重点涉密岗位人员设置1-3个月脱密期,脱密期内不得私自对外泄露医院内部及患者信息,离职后仍永久承担医疗隐私保密义务。
第六章会议、对外交流与信息公开保密管理
第十七条涉密会议管理
1.涉及采购底价、纠纷处置、纪检线索、疫情涉密数据的内部会议,会前明确保密要求,禁止参会人员手机录音拍照;
2.会议涉密材料会后统一回收,草稿当场销毁,不得带离会场。
第十八条对外提供信息审批
1.校外单位、媒体、调研机构申请调取师生体检、病历、财务、采购数据,须提交书面申请,经党支部书记、院长双重审批;
2.对外报送、发表教学、科研涉及患者数据,必须做匿名化脱敏处理,删除姓名、学号、联系方式等识别信息;
3.接受采访、对外宣传不得披露患者隐私、医院未公开内部工作秘密。
第十九条信息公开审查
医院对外公示、公众号发布内容实行保密前置审查,办公室、院长双重审核,严防敏感诊疗、人事财务信息违规公开。
第七章失泄密事件处置与责任追究
第二十条 泄密隐患与事件上报流程
1.发现涉密文件丢失、病历泄露、系统数据外传、偷拍病历等隐患,当事人第一时间上报科室负责人与保密领导小组,24小时内上报学校保密办公室;
2.领导小组立即采取阻断传播、收回载体、删除网络信息等补救措施,排查泄露范围,留存事件完整记录。
第二十一条 奖惩与追责机制
(一)奖励情形:及时消除重大泄密隐患、举报违规泄密行为、保密工作年度考核优秀人员,予以院内通报表彰。
(二)一般违规(未造成不良后果):私自复印病历、外网传输敏感信息、公共场合谈论患者隐私、带入手机进入要害部位等,给予全院通报批评、绩效考核扣分,责令书面检讨。
(三)较重泄密(造成舆情、患者投诉):违规向无关人员提供批量体检数据、转发病历照片、泄露采购招标秘密,扣除绩效,取消年度评优,岗位调整;外包人员终止合作合同。
(四)严重失泄密(造成经济损失、法律纠纷、舆情风险):故意或重大过失泄露大量师生隐私、国家秘密,依规上报学校给予纪律处分,承担相应民事赔偿;涉嫌违反《个人信息保护法》《保守国家秘密法》的,移交公安机关、保密行政管理部门处理,追究法律责任。