除盤點個資與告知病患外,醫療業面對個資,委外契約更要建立防護,以及增加住院律師來強化對個資法規的意識
民眾到醫院看病,都會留下各式各樣的醫療病歷資料,這些醫療資料在個資法的規定中,大多被歸為特種個資,雖然行政院目前暫緩實施特種個資的相關法條,並向立法院提出法條修正案,但未來通過後,仍對特種個資的執行有更嚴格的規範,規範涵蓋了醫療個資各種蒐集、處理和利用的過程,這些過程都被架上放大鏡檢視,對於醫療業的影響不容小覷。
臺灣健康資訊交換第七層協定協會(HL7 Taiwan)理事長顏志展表示,個資法除了對金融和保險業有極大影響外,再者就是對醫療業的衝擊也相當大。
原本醫院製作病歷就須符合醫療法與醫師法等特別法的規範,這兩法的位階都高於個資法,因此符合這兩個法律規範的病歷,較不會受到個資法的影響。顏志展表示,即使醫療業從以前就建立了一套嚴謹的作業流程,主管機關的規範也相當完整,但是,個資法的實行仍對醫療業造成影響。
法律專長為個人資料保護法、醫療與商務糾紛處理、兩岸法律事務等,並且擁有個人資料管理師和個人資料內評師執照的謙誠律師事務所林鴻文律師,也有和顏志展相似的看法。
林鴻文表示,由於先前就有醫療法及醫師法來規範醫院及醫師的行為,因此,個資法在醫療業的實行上,有很大的排除空間,如病歷的製作方式該遵照醫師法規範,而不屬於個資法的規範範圍。然而,這並不表示醫院擁有醫療法及醫師法的前提,就不需要進行任何個資法的因應措施。
醫療法及醫師法規定了病歷的製作方式及內容,但是,林鴻文說,這兩項法律並沒有規定醫生蒐集資料時必須告知病人,更沒有規定醫生需告知病人其病歷資料的後續利用情形。此外,現在醫院的業務較以前廣泛,不僅從事醫療行為,許多醫院還有健康檢查、病情預防等其他業務,這些都不在醫療法與醫師法的規範中。
因此,顏志展表示,個資法對醫療業的衝擊可分為3個層面來看:資料處理、法規和作業流程。
首先,個資法中設下最多限制的特種資料,屬醫療院所處理的資料接觸最多,但過去大部分的醫療院所都只知道醫療法、醫師法等醫療相關法令規章,對各產業通用的法令較不熟悉。除此之外,現在的醫療院所在健保的財務收入減少下,常提供多樣化的服務,如健康檢查、委外檢驗等,如此下來,醫院所提供的服務就牽涉許多上、下游廠商,形成醫療的服務供應鏈,而這些委外及內部的作業串流,也都需要合乎個資法的規範。
所以,顏志展表示,醫療院所需要有了解醫療法規也懂個資的輔導顧問或是律師,從旁協助調整院內作業流程來因應個資法。
在以前,醫院可能發生醫療糾紛才會涉及訴訟,但個資法實施後,民眾對資料防護有疑慮就能對醫院提出訴訟,因此顏志展認為,醫院內最好有個律師,他不僅要懂醫療與個資相關法規,更必須要對這間醫院有一定程度的了解,如此一來,若有法律問題發生時,駐院律師也能夠比較快了解問題的癥結點。
臺灣健康資訊交換第七層協定協會(HL7 Taiwan)理事長顏志展認為,個資防護必須每個部門都要派人參與,一起用整個流程的角度來看事情,才不會有疏漏。
醫院因應流程:盤點、告知、委外新合約
至於醫院的實際因應辦法,顏志展建議,醫院第一步該做的,就是先盤點院內的個資。他認為,醫院應該先確認院內提供了哪些服務以及相關文件,而這些服務所牽涉到的病人資料,這個病人又是不是有收到確切的告知,醫院要讓病人了解自己的資料會做什麼樣的用途。
舉例來說,醫院內衛生教育活動或病友會,都可能包含病患的電話、住址、電子郵件等資料,此時,醫院就必須要先取得病患的同意,並且告知病患這些資料的使用目的。
顏志展說,「醫院應該要以病人安全為中心的角度,來防止資訊被外洩」,他也認為,醫院應該要給病人足夠的便利性,讓病人在一開始入院時就簽署同意這些未來醫院作業需要的授權文件,並且指派專人在旁詳細說明病患資料後續的利用方式。
除了告知病人,顏志展表示,醫院也該做好委外合作項目的管理,善盡督導的責任。例如,有些醫院常委託外部機構處理基因檢驗,或者委託附屬的照護機構照護病患,此時,醫院除了告知病患外,也必須要和委外的單位簽訂新合約,在原本的合約上加註個資防護的項目,並且對往來的人員也要做到管制與宣導,確保病患資料不外洩。
謙誠律師事務所林鴻文律師表示,醫院必須先完成個資盤點,再建立一套各醫院專屬的書面程序與作業標準流程。
律師:必須先完成個資盤點,再建立作業SOP
林鴻文也建議,醫院首先要做的,是完成個資盤點。因為醫院內部所擁有的個資,有些可能是看病掛號留下、有些也可能是訂閱醫院刊物或健康檢查而來的資料,醫院必須要先將這些資料都定義完全且分類清楚,必須要知道現在醫院內部擁有什麼樣的個人資料,是病歷還是健康紀錄等。
林鴻文表示,不同管道蒐集來的資料,所要遵守的蒐集程序就不同,因此醫院都要訂定每種資料專有的蒐集程序。
而除了分類外,盤點資料的過程中,醫院也可能發現某些資料當初的蒐集目的,已經和現在的處理目的有所不同。林鴻文舉例,如果醫院當初蒐集的個資現在已經用不到,就要將這些資料刪除,而如果某些資料現已轉為研究目的使用,依照個資法的規定,就必須部分遮蔽這些資料。
而下一步,林鴻文表示,醫院必須建立一套符合個資法的書面程序與作業標準流程。
首先是建立病人資料的蒐集文件,也就是病人同意書。林鴻文表示,雖然依照醫療法與醫師法,醫生製造病歷並不需要經過病人的同意,但因為現在各醫院都有提供醫療以外的服務,如健康檢查,而醫院也沒辦法確定現在所蒐集的病歷資料,未來是否會有醫療以外的資料利用,因此他建議,在一開始病人資料進入醫院時,醫院就應該讓病人簽署一份資料蒐集同意書,為醫院多一層保護。
而這份同意書的製作,每個醫院並沒有通則可以套用,因為各醫院所提供的服務不同,其規模和詳細服務作法也不同。因此,林鴻文表示,醫院可以先自己擬定一份同意書,再洽詢專業的律師,來確認是不是有漏寫的法條或未考慮進去的業務範圍。「必須依個案來作修正」,他說。
除了病人的資料蒐集要有一套規範,醫院的委外業務,如基因檢驗,也涉及個資的利用過程,因此,醫院也必須跟委外機關簽訂契約。林鴻文表示,醫院必須和委外機關訂定合約,來規範委外機關對個人資料的處理過程是否遵照個資法,保護個資不外洩。此外,除了正式合約,醫院也該跟委外機關說明醫院作業的規定,讓他們了解醫院的程序,盡到告知的責任。並且過程中也必須隨時檢查,來盡到督導的責任。
建立一套確切制度後,林鴻文認為,這樣對醫院內部及外部人員都各有好處。對外,他說,當民眾提出訴訟時,醫院此時就能向法院舉出確切的證據,來表示醫院有做到一套符合法令的標準流程;而對內,醫師與護理人員也能有一套指導綱領及規範,讓他們做事有一套準則可依循。
個資不能單靠IT,院內每個部門都必須參與
除了修正醫院院內的作業流程,以符合法令規定,顏志展表示,各項法規遵循作法的資訊化也相當重要,醫院訂定作業流程後,必須靠資訊系統來完成個資的防護措施。
例如,臺北醫學大學附設醫院不只要求員工不能外洩病人個資,還導入DLP資料外洩防護系統,透過側錄院內員工對外往來的檔案紀錄與線上交談,如MSN,來管制員工不得洩漏院內資料。
顏志展認為,流程制定為醫院的首要目標,當醫院的個資盤點完成後,先調整作業流程,接著再依據流程來修改院內資訊系統,如此才能完整因應個資保護。
舉例來說,企業健康檢查常與醫院合作進行,但過去為了省下郵寄費用,報告只寄給人事部門,但國泰醫院汐止分院則調整了新的作業方式,改為個別寄交給企業的員工,並且在外加註「私人信件請勿拆封」的字樣。
又或是以前親友查詢住院名單時,醫院並不會特別要求確認對方身分,但長庚醫院設立新制度,要求親友必須明確講明病患的姓名及科別,才能查詢病房位置,不再提供全部的名單給予查詢。
顏志展認為,個資的防護應該從流程的角度來落實個資防護,將與流程相關的部門都納入。院內各部門必須要共同參與討論,實際模擬作業流程,找出每個流程需要的配合文件,而這份文件又會用到哪些病患個資,從中發現需要修改的地方,以及找出需要增加病人簽署的項目。這當中可能是醫生的流程需要修改,也可能是護理人員的作業需要改變,並不只是資訊部門需要負責的事。「資訊系統不難,制度要落實反而比較困難」他說。
資訊部門在個資保護的實踐上的確扮演重要的一個角色,顏志展說,但是他也認為,個資不能單靠IT,資訊系統必須和流程互相搭配,才能將整體防護措施建立好。顏志展建議:「每個部門都要派人參與,一起用整個流程的角度來看事情,才不會有疏漏」。
HL7成立個資服務團輔導醫院因應個資
為輔導醫院因應個資法,顏志展表示,HL7也成立了醫療院所個資服務團。這個服務團就像各醫院在其中能溝通與交流的平臺,各醫院能分享自己所遇到的案例,其他醫院也可以對此提出疑問,HL7在其中扮演的角色,就是蒐集這些案例與問題,並幫助解答,讓醫院有了案例後,更了解該如何調整院內的個資處理辦法。
此外,HL7的個資服務團也會提供各醫院不同的教育訓練,包含ISO 29100、法務、IT建設與標準稽核等課程,也會蒐集一些個資輔導顧問、資訊廠商個資防護產品等資訊,在這個平臺上分享。
顏志展表示,HL7希望透過這樣的服務平臺,來推廣個資防護的正確觀念,並幫助醫院進行實務輔導,同時給醫院建議與評估,醫院才不會手忙腳亂地不知如何進行個資防護。
雖然每個醫院要因應的個資,都有不同,但是HL7也提供了一套制式的個資保護作法,供醫院參考。包含凝聚跨部門的共識來訂定個資保護政策、盤點院內各項個資與其應用流程、定義個資的適法程度及權限、釐清個資的所有權與法律上的權責、評估個資管理風險、選取適當的個資防護工具、記錄並保存每筆個資的流向、重新檢視委外的合約以及檢視其他醫院個資防護的訴訟以其公關策略。
顏志展建議,雖然沒有一個因應個資的標準答案,但醫院一定要擁有院內人員對個資的認知與共識,再者也要透過輔導顧問或法律顧問等專家,來盤點,或是依ISO或衛生署所訂定的參考規範來建立個資應變機制。此外,他也提到,醫院可以多蒐集個資的案例,並互相分享,共同建立醫療業因應個資的參考範例。
醫療業個資法因應作法
1.凝聚院長、主管及跨部門共識,制訂個資保護政策
2. 盤點院內各項個人資料及應用流程
3. 分析可能的個資衝擊
4. 定義個資適法程度及權限、流向控管
5. 釐清個資權責和所有權
6. 評估個資管理風險
7. 選用合適個資保護與監控工具
8. 記錄與保存個資流向和軌跡
9. 重新檢視委外合約
10. 檢視個資防護訴訟與公關策略
相關報導請參考「戰勝個資法第一步:成立個資因應小組」
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03