就 貴報查詢有關某連鎖店推出「公立醫院取藥服務計劃」,香港個人資料私隱專員公署(私隱公署)現就《個人資料(私隱)條例》的相關內容回覆如下:
1. 公立醫院取藥服務計劃
答案
上述連鎖店的藥劑師可取覽電子健康紀錄互通系統(醫健通)上病人的特定類別的健康資料,做法是妥當的。至於藥劑師可取覽的資料,應按其專業範疇及工作需要,限於有需要知道的資料。
根據醫健通的規定,在病人的同意下,獲授權的醫護提供者的指明類別醫護專業人員可取覽病人的特定類別的健康資料。私隱公署留意到以下三點:(1) 從醫健通的公開資料可見,上述連鎖店屬獲授權的醫護提供者;(2) 藥劑師是指明類別的醫護專業人員;(3) 上述連鎖店的網頁說明,該店藥劑師需經病人同意及授權,才可在「公立醫院取藥服務計劃」下於醫健通查核病人服藥和藥物過敏紀錄,讓病人在該連鎖店取藥。現時的安排符合以上三點。
詳盡資料
2. 病人的資料保安措施
答案
上述取藥計劃所使用的醫健通,為病人的個人資料私隱及保安實施了保障措施,而私隱公署亦有制定指引,建議使用醫健通的醫護提供者如何保障病人的個人資料私隱。
詳盡資料
o 病人會透過短訊或電郵收到通知其電子健康紀錄被取覽;
o 醫健通會記錄所有登入活動,以偵測和追查不當的查閱資料活動;
o 當局設有技術設施,為醫健通提供所需保護(例如防毒軟件、入侵偵測/防禦、防火牆、數據加密、使用者認證、數碼證書等)。
o 確保獲授權的職員在登入醫健通時,電腦屏幕所顯示的電子健康紀錄不會被無關的第三者查看(例如考慮屏幕的方向或/及使用防窺濾片);
o 小心保存透過醫健通所下載或列印的電子健康紀錄資料(不論是紙張或電子形式);
o 採取適當的措施,確保醫護提供者本身的資料系統有足夠安全保障及運作正常,以避免進一步危及醫健通內健康資料的安全;
o 若醫護提供者遇上涉及醫健通內的個人資料外洩事故時,醫護提供者應盡快向電子健康紀錄專員及香港個人資料私隱專員作出通報。
3. 私隱公署給予病人及推行同類取藥服務的機構的建議
答案
私隱公署建議病人在向醫護機構給予互通同意前,應慎重考慮。病人亦應留意醫健通發出的取覽通知,如懷疑有未獲授權取覽的情況,請即通知當局。醫護人員則需按其專業範疇及工作需要,根據「有需要知道」原則,只取覽在醫健通系統中不超乎適度的病人資料。
詳盡資料
o 參與醫健通前,應細心閱讀《收集個人資料聲明》、《私隱政策聲明》等,了解清楚醫健通會儲存哪些個人資料、該些資料會被如何使用或轉移,經慎重考慮後才作出明示同意;
o 參與醫健通屬自願性質,病人可在任何時候退出醫健通,亦可隨時撤銷給予任何醫護提供者的互通同意;
o 給予互通同意後,醫健通會將互通同意的詳情發送給病人,病人應將訊息備存,以便日後有需要時參考;
o 如果病人懷疑其電子健康紀錄在未獲授權下被人取覽(如該取覽者並非曾給予互通同意的醫護提供者),請即通知電子健康紀錄專員,或向有關的醫護提供者查詢;
o 如病人就醫健通的事宜及/或當中的個人資料作出投訴,可以向私隱公署及/或電子健康紀錄專員提出,並提供相關資料證據,以便跟進。
o 醫護提供者作為資料使用者在處理醫健通的資料時,除遵守《電子健康紀錄互通系統條例》的規定外,亦必須依照《個人資料(私隱)條例》的規定行事。
o 健康紀錄屬敏感個人資料,醫護提供者應耐心及詳細地向病人解釋醫健通的運用,以確保病人了解互通健康紀錄可能對其個人資料私隱帶來的影響;
o 醫護提供者須採取合理步驟,應視乎醫護專業人員的不同專業範疇及工作需要,為個別人員設定足夠但不超乎適度的權限,以取覽互通系統內的資料,並將有關病人資料保密要求納入職員手冊或行為守則中;
o 使用醫健通內的電子健康紀錄作直接促銷屬《電子健康紀錄互通系統條例》下的刑事罪行;