【可靠电子签名专栏】电子病历新规出台后,如何做到电子签名的安全合规?
在9月初举行的2017 CHINC(中华医院信息网络大会)上,“电子病历分级评价标准培训与实践”分论坛始终爆棚、人气超高。一场分论坛受到如此之多关注,足可见,现阶段以电子病历为核心的信息化建设在医疗机构信息化从业者们心中的受重视程度。
2017年4月1日,《电子病历应用管理规范(试行)》(以下简称新《规范》)正式实施。新《规范》对医院无纸化提出更为全面的要求,涵盖了从电子病历产生、使用到存储、归档、共享的全流程无纸化要求。其中特别引人关注的是,新《规范》建议电子病历系统使用电子签名,并且赋予了可靠电子签名以法律效力。这说明:电子签名的安全合规问题已经成为了业内亟待解决的重点任务。
就在2017 CHINC期间,深耕医疗行业信息安全领域多年的北京数字认证股份有限公司(以下简称:数字认证)以“电子病历电子签名进入安全合规2.0时代”为主题,重点聚焦HIT行业的电子签名应用,并结合新《规范》要求,有的放矢地提出了包括医疗服务机构、区域卫生信息平台、公共卫生、互联网医疗领域在内的解决方案,希望以此推动可靠电子签名在HIT领域的深化应用。
新《规范》对电子签名和病历归档提出更高要求
在新《规范》中,电子病历电子签名以及电子病历归档作为本次修订的两个重要内容,受到了业内从业者的极大关注。
一方面是电子病历电子签名。在老版规范中,电子签名被视为电子病历必须具备的使用要求之一。但是,由于各地医疗机构发展不平衡,电子病历系统的完善程度也不尽相同,有的医疗机构采用了电子病历系统,但未使用电子签名;有的医疗机构采用了电子签名,但不是可靠的电子签名。
因此,为了可以使电子病历发展程度不同的医疗机构都能纳入统一管理,新《规范》做出了适当调整,第十条规定有条件的医疗机构电子病历系统可以使用电子签名进行身份认证,并明确区分“电子签名”和“可靠电子签名”,指出只有使用可靠的电子签名才具有与手写签名同等的法律地位。
另一方面是电子病历归档。在老版规范中,对电子病历归档形式的要求为:以电子数据的形式保存,必要时可打印纸质版本,非电子化资料可以数字化后纳入电子病历。这并非强制性的规定,因此在实际操作中,一些医疗机构将电子病历按电子数据方式保存,非电子化资料按原件来留存,这对保持病历的完整性以及病历查阅、复制、封存等均带来很多问题。更重要的是,对于不是可靠电子签名的电子病历,其法律效力也难以得到认定。
因此,新《规范》第十七条和第十八条等条款规定,电子病历应当设置归档状态,医疗机构应适时将电子病历转为归档状态,因存档等需要可以将电子病历打印后与非电子化的资料合并形成病案保存。业内专家认为,这更符合工作实际,同时也为电子病历程度不高的医疗机构在病历存档方面提供了法律支持。
电子签名应贯穿电子病历与电子病案全流程
新《规范》首次以行业规范的角度明确:“可靠的电子签名与手写签名或盖章具有同等的法律效力。”并在第17条中明确提出,电子病历应当设置归档状态,对病历归档的“电子版”做出了相关要求。
对此,数字认证认为,为确保电子病历的安全、合法与可管理,电子签名应覆盖医疗业务中的全流程、全角色以及全场景。具体来说,全流程包括电子病历相关内容的生成、修改、存储、封存,以及归档等,全角色包括医生、护士、患者或患者家属等医疗活动参与者,全场景包括医护工作站(PC端)、移动医护(PAD、PDA、手机等)等各类医疗场景。
针对全流程中的“归档”环节,“电子病案”正在引起业界关注。作为电子病历业务全流程的重要一环,电子病案与电子病历具有一致性与延续性的特点:已归档的电子病历称为电子病案,是由电子病历归档系统保存的、已转化为脱离临床信息系统、易阅读、具有同等效力的版式化电子文件。简单梳理两者间的关系,运行电子病历包含医护人员电子签名、时间戳,患者或患者家属电子签名、时间戳以及移动查房、护理记录电子签名,而归档电子病案则包括电子病历版式化转化,保留过程电子签名、时间戳以及归档电子病历电子签名、时间戳等。
电子病历与电子病案的内核一致,状态不同,两者之间是过程(运行)状态和归档状态的关系。所以,新《规范》中的应用管理要求,既适用于运行中的电子病历,同样也适用于归档后的电子病案。电子签名贯穿电子病历的全流程、全角色、全场景,也应当与电子病案进行有效衔接。
电子病历如何做到合法可信,数字认证“有的放矢”
现阶段,越来越多的医疗机构正在借助信息化手段进行运营管理的转变升级。新《规范》的出台,对于致力打造病历无纸化的医院来说,需要注意哪些关键点,以确保电子病历的合法可信?
数字认证通过梳理新《规范》,总结出了需要掌握并遵守的六个关键词,以解决新规时代医疗机构面临的实际难题。
一是安全入口“身份认证”。在新《规范》第9条、第15条等条款中,7次提到“身份标识”或“身份认证”,要求医务人员采用身份标识登录电子病历系统进行操作。对于此,基于第三方电子认证服务机构发放的“数字证书”,是解决身份问题的有效方法。“数字证书”是包含个人信息的身份凭证,而证书登录是高安全级别的身份认证登录方式。
二是责任认定“可追溯”。在新《规范》第14条、第24条等条款中,3次强调“可追溯”,要求电子病历系统实现操作留痕、责任可追溯。针对这一问题,基于第三方电子认证服务机构发放的数字证书进行“电子签名”,是实现可追溯的有效方法,电子签名是对操作行为留痕,实现可追溯和抗抵赖的技术手段。
三是时间认定“可追溯”。在新《规范》第11条、第16条等条款中,7次提及“时间”,要求电子病历系统采用权威可靠时间源,并标记准确的操作时间。对此,基于可信时间源的“时间戳”是最权威最可信的时间标识,这是因为时间戳可有效锁定医疗操作行为的发生时间,可留痕,可追溯。
四是显示签名“可视化”。在新《规范》第15条等条款中,要求显示医务人员姓名及完成时间。基于可靠电子签名的“电子签章”是实现可视化的有效手段,让电子签名更直观。
五是归档状态“电子版”。在新《规范》第17条、第21条等条款中,要求电子病历应当设置归档状态,并对归档状态的“电子版”提出了相关要求。实现“版式化”的“可信”归档,是实现电子病历电子版借阅、电子版复制、电子版封存的前提。
六是知情同意“电子化”。在新《规范》第18条中,明确具备条件的医疗机构可以对知情同意书、植入材料条形码等非电子化的资料进行数字化采集后,纳入电子病历系统管理。对于这一问题,可采用针对患者的“手写数字签名”直接解决知情同意类资料的“电子化”,而非“数字化”。
附《电子病历应用管理规范(试行)》
关于印发电子病历应用管理规范(试行)的通知
国卫办医发〔2017〕8号
各省、自治区、直辖市卫生计生委、中医药管理局,新疆生产建设兵团卫生局:
为贯彻落实全国卫生与健康大会精神及深化医药卫生体制改革有关要求,规范电子病历临床使用与管理,促进电子病历有效共享,推进医疗机构信息化建设,国家卫生计生委、国家中医药管理局组织制定了《电子病历应用管理规范(试行)》。现印发给你们(可从国家卫生计生委官方网站“医政医管”栏目下载),请遵照执行。国家卫生计生委办公厅
国家中医药管理局办公室
2017年2月15日
电子病历应用管理规范(试行)
第一章 总则
第一条 为规范医疗机构电子病历(含中医电子病历,下同)应用管理,满足临床工作需要,保障医疗质量和医疗安全,保证医患双方合法权益,根据《中华人民共和国执业医师法》、《中华人民共和国电子签名法》、《医疗机构管理条例》等法律法规,制定本规范。
第二条 实施电子病历的医疗机构,其电子病历的建立、记录、修改、使用、保存和管理等适用本规范。
第三条 电子病历是指医务人员在医疗活动过程中,使用信息系统生成的文字、符号、图表、图形、数字、影像等数字化信息,并能实现存储、管理、传输和重现的医疗记录,是病历的一种记录形式,包括门(急)诊病历和住院病历。
第四条 电子病历系统是指医疗机构内部支持电子病历信息的采集、存储、访问和在线帮助,并围绕提高医疗质量、保障医疗安全、提高医疗效率而提供信息处理和智能化服务功能的计算机信息系统。
第五条 国家卫生计生委和国家中医药管理局负责指导全国电子病历应用管理工作。地方各级卫生计生行政部门(含中医药管理部门)负责本行政区域内的电子病历应用监督管理工作。第二章 电子病历的基本要求
第六条 医疗机构应用电子病历应当具备以下条件:
(一)具有专门的技术支持部门和人员,负责电子病历相关信息系统建设、运行和维护等工作;具有专门的管理部门和人员,负责电子病历的业务监管等工作;
(二)建立、健全电子病历使用的相关制度和规程;
(三)具备电子病历的安全管理体系和安全保障机制;
(四)具备对电子病历创建、修改、归档等操作的追溯能力;
(五)其他有关法律、法规、规范性文件及省级卫生计生行政部门规定的条件。
第七条 《医疗机构病历管理规定(2013年版》、《病历书写基本规范》、《中医病历书写基本规范》适用于电子病历管理。
第八条 电子病历使用的术语、编码、模板和数据应当符合相关行业标准和规范的要求,在保障信息安全的前提下,促进电子病历信息有效共享。
第九条 电子病历系统应当为操作人员提供专有的身份标识和识别手段,并设置相应权限。操作人员对本人身份标识的使用负责。
第十条 有条件的医疗机构电子病历系统可以使用电子签名进行身份认证,可靠的电子签名与手写签名或盖章具有同等的法律效力。
第十一条 电子病历系统应当采用权威可靠时间源。第三章 电子病历的书写与存储
第十二条 医疗机构使用电子病历系统进行病历书写,应当遵循客观、真实、准确、及时、完整、规范的原则。
门(急)诊病历书写内容包括门(急)诊病历首页、病历记录、化验报告、医学影像检查资料等。
住院病历书写内容包括住院病案首页、入院记录、病程记录、手术同意书、麻醉同意书、输血治疗知情同意书、特殊检查(特殊治疗)同意书、病危(重)通知单、医嘱单、辅助检查报告单、体温单、医学影像检查报告、病理报告单等。
第十三条 医疗机构应当为患者电子病历赋予唯一患者身份标识,以确保患者基本信息及其医疗记录的真实性、一致性、连续性、完整性。
第十四条 电子病历系统应当对操作人员进行身份识别,并保存历次操作印痕,标记操作时间和操作人员信息,并保证历次操作印痕、标记操作时间和操作人员信息可查询、可追溯。
第十五条 医务人员采用身份标识登录电子病历系统完成书写、审阅、修改等操作并予以确认后,系统应当显示医务人员姓名及完成时间。
第十六条 电子病历系统应当设置医务人员书写、审阅、修改的权限和时限。实习医务人员、试用期医务人员记录的病历,应当由具有本医疗机构执业资格的上级医务人员审阅、修改并予确认。上级医务人员审阅、修改、确认电子病历内容时,电子病历系统应当进行身份识别、保存历次操作痕迹、标记准确的操作时间和操作人信息。
第十七条 电子病历应当设置归档状态,医疗机构应当按照病历管理相关规定,在患者门(急)诊就诊结束或出院后,适时将电子病历转为归档状态。电子病历归档后原则上不得修改,特殊情况下确需修改的,经医疗机构医务部门批准后进行修改并保留修改痕迹。
第十八条 医疗机构因存档等需要可以将电子病历打印后与非电子化的资料合并形成病案保存。具备条件的医疗机构可以对知情同意书、植入材料条形码等非电子化的资料进行数字化采集后纳入电子病历系统管理,原件另行妥善保存。
第十九条 门(急)诊电子病历由医疗机构保管的,保存时间自患者最后一次就诊之日起不少于15年;住院电子病历保存时间自患者最后一次出院之日起不少于30年。第四章 电子病历的使用
第二十条 电子病历系统应当设置病历查阅权限,并保证医务人员查阅病历的需要,能够及时提供并完整呈现该患者的电子病历资料。呈现的电子病历应当显示患者个人信息、诊疗记录、记录时间及记录人员、上级审核人员的姓名等。
第二十一条 医疗机构应当为申请人提供电子病历的复制服务。医疗机构可以提供电子版或打印版病历。复制的电子病历文档应当可供独立读取,打印的电子病历纸质版应当加盖医疗机构病历管理专用章。
第二十二条 有条件的医疗机构可以为患者提供医学影像检查图像、手术录像、介入操作录像等电子资料复制服务。第五章 电子病历的封存
第二十三条 依法需要封存电子病历时,应当在医疗机构或者其委托代理人、患者或者其代理人双方共同在场的情况下,对电子病历共同进行确认,并进行复制后封存。封存的电子病历复制件可以是电子版;也可以对打印的纸质版进行复印,并加盖病案管理章后进行封存。
第二十四条 封存的电子病历复制件应当满足以下技术条件及要求:
(一)储存于独立可靠的存储介质,并由医患双方或双方代理人共同签封;
(二)可在原系统内读取,但不可修改;
(三)操作痕迹、操作时间、操作人员信息可查询、可追溯;
(四)其他有关法律、法规、规范性文件和省级卫生计生行政部门规定的条件及要求。
第二十五条 封存后电子病历的原件可以继续使用。电子病历尚未完成,需要封存时,可以对已完成的电子病历先行封存,当医务人员按照规定完成后,再对新完成部分进行封存。第六章 附则
第二十六条 本规范所称的电子签名,是指《电子签名法》第二条规定的数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。“可靠的电子签名”是指符合《电子签名法》第十三条有关条件的电子签名。
第二十七条 本规范所称电子病历操作人员包括使用电子病历系统的医务人员,维护、管理电子病历信息系统的技术人员和实施电子病历质量监管的行政管理人员。
第二十八条 本规范所称电子病历书写是指医务人员使用电子病历系统,对通过问诊、查体、辅助检查、诊断、治疗、护理等医疗活动获得的有关资料进行归纳、分析、整理形成医疗活动记录的行为。
第二十九条 省级卫生计生行政部门可根据本规范制定实施细则。
第三十条 《电子病历基本规范(试行)》(卫医政发〔2010〕24号)、《中医电子病历基本规范(试行)》(国中医药发〔2010〕18号)同时废止。
第三十一条 本规范自2017年4月1日起施行。
HIT专家网∣最新鲜的医疗信息化资讯,不一样的专家视角
微信:HIT180com
投稿: public@hit180.com
商务合作:(010)82373062