1. 私隱專員(下稱「專員」)吳斌今日發表根據《個人資料(私隱)條例》(下稱「條例」)第36條對醫院管理局(下稱「醫管局」)個人資料系統進行視察(下稱 「視察」)後的報告。
背景
2. 最近醫管局轄下個別醫院發生多宗遺失載有病人資料的活動式電子儲存裝置,例如USB記憶體,令專員非常關注醫管局的資料保安系統在保障病人資料方面(尤其 是以電子形式持有的病人資料)是否足夠。為了促進醫管局遵從條例的規定(特別是保障資料第4原則)及作出實用建議,專員對醫管局的個人資料系統進行視察。
3. 律敦治及鄧肇堅醫院(下稱「有關醫院」)被揀選作為實例,以評估醫管局病人資料系統的實施情況。選擇有關醫院的原因包括它並非專員正進行調查的對象。
視察小組及其工作
4. 專員除了調配公署的職員外,還邀請了四位來自私隱、法律、醫療及資訊科技界別的顧問提供協助。他們分別是白景崇教授、陳爵先生、何仲平醫生及譚偉豪博士。 專員亦委任穆士賢先生為視察小組的秘書。
5. 專員帶領小組在2008年5月9日到訪醫管局總辦事處,並於2008年5月16、23及26日和6月12日到訪有關醫院。
6.視察的進行包括:
(i)審閱醫管局有關政策、手冊及指引;
(ii)會見負責人員及隨機選出約100名員工,請他們填寫特別為是次視察而設計的問卷;及
(iii)巡視有關醫院的不同部門,巡視實際運作。小組還多次與醫管局及有關醫院高層舉行會議。
視察小組觀察所得
7. 從醫管局提供的詳細書面政策及措施看來,它確已制定相當不錯的政策及措施,以保障病人的資料。不過,在沒有整體性的統籌下,大量的政策及措施令工作繁重的 醫護人員難以遵從。專員建議對這些政策及措施進行整合、更新及有系統的檢討,協助員工遵從。
8. 為令員工有效遵從保障資料原則及措施的規定,醫管局應對所有醫院採取一套有原則、有系統的私隱審核方法,以便及早發現任何洩漏資料或違反規條例規定的癥 兆。
9. 醫管局亦迫切需要提供更多培訓及教育,以提高員工的私隱意識,促使他們遵守條例的規定,以及減低日後再發生人為錯誤導致的違規事故。
建議
10.專員向醫管局提出了37項建議,目標如下:
建議的全文載於該報告的第六章。
11. 吳斌表示:「在視察過程中,我認同醫院的首要職責是醫治病人,這是公眾的主要關注。我清楚知道人為錯誤是無法完全杜絕的,而保障資料第4原則亦沒有要求資 料使用者有絕對責任保證個人資料的安全。因此,我向醫管局提出的建議都是合理地切實可行的。我很高興醫管局對我的建議採取正面的態度及同意建立資訊保安及 私隱的文化。我相信香港市民期望醫管局很快會參照我的建議改善病人資料的保安系統。」
12. 吳斌續稱:「我當然希望巡視更多公立醫院,但礙於資源及經費所限,我不能這樣做。進行一次視察需要動員大量人手,今次我已調配了公署過半數的人員。我希望 是次視察是個好的開始,因為繼續進行視察不同機構的個人資料系統是合乎公眾利益的。政府必須決定是否調配資源,讓專員更有效地執行條例第36條;缺乏足夠 人力資源,專員實在無能為力,不能進行下一次視察。」
註:報告可以從公署網站(http: //www.pcpd.org.hk/chinese/publications/invest_report.html) 下載。