https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

【從法規面解讀 7大產業如何遵循個資法】系列~~醫療業:病歷存取與保管要謹慎

2013 / 06 / 07
朱瑞陽
【從法規面解讀 7大產業如何遵循個資法】系列~~醫療業:病歷存取與保管要謹慎

院驚傳病歷丟置地下停車場

近來醫院病歷個資外洩層出不窮,○○醫院離職員工爆料,院方將最重要的病歷違法擱置在地下停車場,且有兩年之久,對此,○○醫院解釋,因空間不足才暫時堆放該處,地下停車場只有醫師才能申請使用,且都有警衛巡視,故不會有個資外洩問題,但已立即移置這些病歷資料。台灣醫療改革基金會建議衛生主管機關,在4年一次的醫院評鑑制度中應有不定期抽查機制,最好還能明確規範病歷存放的空間大小、管理方式,讓醫療機構有所依循。(資料來源:蘋果日報 2011/12/21)。


 

由上述案例看來,停車場顯非醫療機構指定保管病歷之適當場所,且未配置人員管理,實已違反醫療法第70條規定而有受行政罰鍰之虞。再者,醫療機構將病歷置放在地下停車場,不但容易使紙本資料受潮、遺失,,對於取得病歷之權限控管亦明顯不足,倘若因此造成資料外洩,按醫療法規定將處5萬元以上,25萬元以下罰鍰,其行為人亦同受處罰,若觸犯刑事法律者並移送司法機關辦理,而病人亦可依新版個資法向業者請求損害賠償。

依照醫療法規定,醫療機構及其人員因業務而知悉或持有病人病情或健康資訊,不得無故洩漏,違反者將處新臺幣5元以上,25萬元以下罰鍰。新版個資法施行後,除將違法洩露個資之民事賠償金額設定為最高額新臺幣2億元,更明定損害賠償之舉證責任及範圍,私立醫療機構之責任標準為推定過失,而若為公立醫療機關,其責任標準更提高為無過失責任。

因此,醫療機構應按個資法施行細則對於安全維護措施之要求,建立個資管理機制及配置適當人員保管病歷、定期進行資料安全稽核、並加強員工的認知宣導及教育訓練。

尤其是紙本病歷保存的問題,之前曾有過不少相關新聞(如:將病歷置放在地下停車場),值得注意的是,醫院若因為保存不當導致病歷被竊取、竄改、毀損、滅失或洩漏,病人得依個資法規定集體請求最高額新臺幣2億元之損害賠償;且由於缺乏適當之安全管理措施,無法對接觸近用病歷之人員、時間、及內容予以完整記錄,在事故發生後,醫療機構亦難以追究第三人不法行為之終局責任。

再者,醫療業因為業務特殊,所保有之病患個人資料多涉及身體隱私,如:病歷、基因、及健檢結果等,在新版個資法中屬於高度敏感性之特種個資,相對在法規遵循上也必須特別謹慎,按新版個資法第6款規定,非依法律明文規定、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施等事由以外,不得蒐集、處理、或利用;該條文一旦實施對醫療產業之衝擊甚鉅,故已暫緩施行並研擬修正,然醫療業者仍應隨時注意本條文將來施行之日期及內容,以做好完善之規劃及準備。

醫療業法規遵循小體檢

醫療業者在遵循新版個資法前,應先注意既有醫療法規有無相關規範,舉例來說,醫療法規定病歷至少要保存7年,倘若病患依個資法請求刪除時,醫療業者需先確認該病歷是否已保存7年,倘若未達7年便不能刪除。建議醫療業者可依表1進行系統性盤點,確實掌控個資之範圍與流動情形,進而落實新版個資法課予之各項義務。

 

1新版個資法 VS 醫療業特殊規定之體檢表

新版個資法體檢項目

醫療業應注意之法令或函釋

體檢重點

個人資料範圍之界定:任何直接或間接可得識別特定個人之資料,均屬個人資料

1. 病歷:(1)醫師依醫師法執行業務所製作之病歷。(2)各項檢查、檢驗報告資料。(3)其他各類醫事人員執行業務所製作之紀錄(醫療法第67條第2項)。 

2.  醫療:指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。

3. 基因指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。

4. 健康檢查指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。

(2. 3. 4. 請參見個人資料保護法施行細則第4)

界定為個人資料者,均有新版個資法適用,確認是否已包含:

l 病人之基本資料(姓名、出生日期、身分證字號、住址、健保卡號、及聯絡方式等)

l 病歷、醫療、基因、及健康檢查之個人資料。

l 其他保有該資料之醫療機構以其他資料對照、組合、連結等,而能識別該特定之個人資料,例如病歷號碼、門診掛號資訊、住院病房位置等。

告知義務:除有免為告知事由外,首次直接蒐集當事人個資時須以適當方式向當事人告知法定應告知之事項;間接蒐集當事人個資時,須以適當方式於首次處理利用時,告知法定應告知之事項

l 醫院、診所診治病人時,得依需要,並經病人或其法定代理人、配偶、親屬或關係人之同意,商洽病人原診治之醫院、診所,提供病歷複製本或病歷摘要及各種檢查報告資料。原診治之醫院、診所不得拒絕;其所需費用,由病人負擔。

 (醫療法第74)

 

l 首次蒐集病人相關病歷、醫療、基因、或健康檢查個資,是否已加註告知條款,或以適當方式個別向當事人進行告知?

l 是否揭露個資利用對象範圍,已讓當事人知悉個資流向?

l 醫療機構依法律規定間接蒐集轉診病人之病歷及檢查報告,並經病人之同意,按個資法規定得免為履行告知義務。

l 考量到爭議處理時之舉證需求,是否保有已履行告知義務之書面或其他以多媒體方式留存之紀錄?

特定目的外利用:應符合新版個資法第20條其一事由

l 醫院、診所於接受轉診病人後,應於三日內將處理情形及建議事項,通知原診治之醫院、診所。轉診病人接受住院診治者,醫院應於其出院後二星期內,將病歷摘要,送原診治之醫院、診所。

(醫療法施行細則第51)

l 醫療機構提供新診治醫院、診所病人之病歷及檢查報告,或新診治醫療機構提供病歷摘要予原醫院、診所為法定義務,符合特定目的外之利用事由,毋須經過當事人書面同意。

 

其他體檢項目還包括:告知義務、當事人權利行使、適當安全維護義務、個資事故應變處理、銀行業務委外處理、維持資料之正確性,完整表格刊載於《深入7大產業 解讀個資法》專刊,如有興趣,請來信詢問:isnews@newera.messefrankfurt.com,謝謝。 


 

(本文作者現為國巨律師事務所律師)