李國麟博士 立法會議員(衛生服務界)
月前醫管局再有數宗遺失病人資料事件發生。最近為了針對有關問題,醫管局宣佈與個人私隱專員公署合辦有關保障個人資料的講座,以提高醫院員工保障病人資料的文化及意識,杜絕病人資料外洩問題。
醫管局於上月就建議耗資二千萬購買加密「手指」,供一萬五千名員工使用。不過,花了二千萬又是否能解決問題的核心,實在值得商榷。我們認為醫管局只是試圖從技術層面上解決有關問題,根本未有針對問題的核心。
究竟醫管局對員工存取病人資料所持的立場是什麼?是容許員工將資料取走?還是在必要的情況下容許員工取得有關資料?再者,是否有員工未能在工作時間內完成工作,而需要存取有關資料,是局方所接受嗎?這些最根本的問題還未解決,便貿然花二千萬購買一萬五千支「手指」實在不能接受。
我相信醫管局理應就病人資料的存取定下原則及指引,如果醫管局的立場是不容許員工透過電子儲存媒體儲存病人資料並帶離辦公室,那麼新建議根本是本末倒置,浪費資源。反之,應讓員工清楚明白局方的立場,訂立懲處機制,提高員工的認知及處理病人的個人資料的警覺性,強化內部系統,這才是解決問題的核心。
遺失資料並非技術問題
倘若員工在必要或特定的情況下有需要存取有關資料帶離辦公室,那麼醫管局便應從內部系統著手,投放資源進行科研,探討在存取有關資料時將重要的個人資料刪除或將相片模糊化的可行性,而非購買加密手指,這只會變相鼓勵員工使用手指存取資料。其實醫院會為每位病人分配一個電腦編碼,這個電腦編碼能辨識病人的病歷資料,足以應付於日常工作需要,至於其他方面如培訓、講學,病人身份證號碼及姓名等個人資料都是非必要的。建議的方法既可保護病人資料,亦不依賴人為操作,減少遺失資料的風險。
另一方面,如員工基於工作繁重,有必要存取病人資料至電子儲存媒體帶離辦公室,那醫管局更應先解決問題的核心,增加資源、人手,檢視員工的工作量及工作分配。如我們沒有從問題的核心去解決問題,只改善配套設施,是「斬腳趾避沙蟲」,完全不能杜絕問題發生。而且,這亦衍生了另一問題,究竟是否所有員工都可透過臨床資訊系統閱覽或獲取病人資料?有關當局是否應按各職系或職級需要,訂立存取病人資料權限?而非購買多達一萬五千支加密「手指」?我相信每個職系或職級的員工在閱覽病人資料上都有不同需要,亦非所有員工都需要存取病人的所有個人資料,故此,在內部電腦保安系統上應設有一定的規範,以保障病人資料安全。
最後,遺失病人資料除了是因為病人私隱的重要性外,更牽涉法律責任及賠償問題,當然提高員工的認知及處理個人資料的警覺性、完善的系統配套是十分重要,但歸根究底,醫管局若不認真地處理病人資料的原則問題,就算舉辦再多講座,以及有更先進的技術配套亦不能杜絕病人資料外洩問題的發生。
|