病案遠程調閱在商業保險的安全性

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了病案遠程調閱在商業保險的安全性范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要為了提高理賠效率，某醫院與某商業保險公司改變傳統商業保險的病案勘察模式，在數字化病案基礎上，開展病案遠程調閱項目，但其安全性是值得關注的重點。本文就該項目中涉及到的法律法規、數據保護措施和信息安全保障進行了探討。數字化病案和證明材料圖片與原件的一致性和原件的可獲得性是病案遠程調閱的法律安全基礎，符合法律法規的要求；簽訂安全協議及保密條款、明確勘察權限保護了醫院、保險公司、患者3方的合法權益；在信息系統安全保護等級為第三級的前提下，虛擬專用網的應用、前置機的數據轉化和認證、數據的3DES對稱加密、操作可追溯、用戶端的安全保護等措施，保證了數據及網絡傳輸的安全性。將病案遠程調閱應用到商業保險中是安全可行的。

關鍵詞病案遠程調閱；商業保險；安全性

1病案遠程調閱及其應用現狀

在病案遠程調閱的發展過程中，曾有醫院將原始病案的影像存于U盤介質，審核人員可通過電腦異地查閱，提高了病案利用的質量和效率，杜絕了紙質病案的丟失或毀損，減輕了病案搬運的工作強度[6]，但這種利用U盤介質異地查閱模式，未實現真正意義上的病案遠程調閱，數據管理存在安全隱患，病案數據可能泄露。真正意義上的病案遠程調閱是依據國家病案管理規范制定電子病案數據規范，對電子病案進行集成和標準化交換，通過醫療數據集成系統，借助計算機技術，在互聯網的模式下，實現遠程音視頻的傳輸和臨床信息數據共享，安全傳輸數字化病案，從而實現異地查閱，已經廣泛用于遠程醫療，包括遠程診斷、會診、臨床教學及遠程教育等方面[7-8]。也有學者認為遠程病案復印可有效解決異地病案調閱和復印問題，是一種成本不高但效率高、方便客戶異地調閱和復印病案的新模式，但認為這種新型病案復印模式勢必帶來病案信息安全的潛在風險[9]。目前尚未見病案遠程調閱應用于商業保險的報道，某醫院聯合商業保險公司推行線上病案遠程調閱的勘察模式。首先商業保險公司調查任務，勘察員上傳5項證明材料至調查平臺，路由器分配到接入平臺；然后醫院病案管理人員審核證明材料，通過數字化病案管理系統檢索病案并模塊上傳到接入平臺；最后商業保險公司通過調查平臺接收數據。

2相關的法律法規

依據《醫療機構病歷管理規定(2013年版)》第二十條的規定，公安、司法、人力資源社會保障、保險以及負責醫療事故技術鑒定的部門，因辦理案件、依法實施專業技術鑒定、醫療保險審核或仲裁、商業保險審核等需要，提出審核、查閱或者復制病歷資料要求的，經辦人員提供保險公司介紹信、身份證、工作證、商業保險合同、患者身份證5項證明材料后，醫療機構可以根據需要提供患者部分或全部病歷。某醫院病案管理員通過數字化病案管理系統的圖片分類功能，開放對某商業保險公司特有模塊(病案首頁、出院記錄、入院記錄、檢查結果、醫囑單、護理記錄單等客觀病案資料)權限，對滿足勘察條件的病案資料，系統自動傳輸。根據《中華人民共和國民事訴訟法》第七十條的規定：書證應當提交原件。物證應當提交原物。提交原件或者原物確有困難的，可以提交復制品、照片、副本、節錄本。某醫院與商業保險公司簽訂病案遠程調閱協議，規定勘察人員提供的5項證明材料圖片須與原件一致，且原件可獲得。根據《醫療機構病歷管理規定(2013年版)》《醫療事故處理條例》《中華人民共和國侵權責任法》等法律法規的規定，醫療機構不得偽造、篡改或者銷毀病歷資料。某醫院嚴格遵照各項法律法規的規定，制定并落實各項病案管理制度，確保數字化病案與紙質病案完全一致，并將紙質病案妥善保管。數字化病案符合民事訴訟的證據要求，具有法律效力。根據上述法律法規的規定，商業保險公司進行病案勘察時將5項證明材料的圖片傳送到安全信息系統，病案管理人員核對無誤，將客觀需要的數字化病案資料回傳給保險公司，實現了病案遠程調閱。此模式下，證明材料和數字化病案與原件一致，且原件可獲得。將商業保險公司線下勘察移至線上是可行的，符合法律法規的規定，是病案管理現代化的體現。

3數據安全

3.1協議及流程

某醫院和商業保險公司簽訂了安全協議和信息保密條款，明確雙方的法律責任和義務，確保數據不做他用。制定了標準化操作流程并定期評審和更新。通過組織全員培訓，熟悉操作流程，學習相關法律法規，樹立良好的法律意識及自我保護意識。

3.2數據格式及加密

某醫院數字化病案是對原始紙質病案的高清、無遺漏、無損翻拍，實現全部歷史病案數字化和在架病案的實時數字化；某商業保險公司將勘察所需的5項證明材料高清翻拍。數據格式均為圖片格式(.jpg)。在接入平臺之前，前置機對數據進行轉換和認證。數據的各個字段采用3DES(又稱TripleDES)對稱加密，符合信息安全標準(ISO8372:1987、ISO/IEC9797:1993)，較數據加密標準(DES)更為安全。

3.3身份驗證及權限設置

病案管理員和保險勘察員通過單獨的賬號密碼及系統發送到該用戶備案手機號的動態密碼進行身份驗證。遵循最小權限原則，嚴格控制系統權限，科學設置保險勘察員和病案管理員的職責權限，不容許任何人員單獨進行整個業務的操作。

3.4日志追蹤和網絡安全體系

所有系統操作都完整地記錄在日志中，并能追蹤操作過程，可確認及追究責任人。日志記錄的信息包括用戶ID、日期時間、終端身份和位置、行為(登入、登出、創建、刪除、修改等)、主要標識(客戶號碼等)、行動記錄(事前及事后的數據傳變)。日志保存按照相關法律及監管要求，至少保存1年。禁止非授權用戶訪問日志設備和日志信息；禁止編輯或刪除日志文件；任何對日志文件的訪問(如讀、寫、刪除)嘗試都會被記錄；將項目系統的關鍵數據進行備份并定期測試。用戶端應用防火墻，對網絡、外設接口、存儲介質和打印機等4種泄密途徑采取事前、事中、事后全面防護，確保用戶端數據安全，與防病毒、外部安全產品一起構成完整的網絡安全體系。屏蔽向外拷貝功能，防止文件從存儲介質外泄。僅具有打印權限的員工賬號才可進行打印操作。

4信息安全保障

4.1信息系統安全保護等級

依據《信息安全等級保護管理辦法》第七條的規定，信息系統的安全保護等級分為五級，第三級為信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。由于該項目涉及患者的隱私且覆蓋面廣，信息系統受到破壞后會造成廣大群眾的隱私及醫療數據的泄露，對公共秩序和公共利益造成危害，項目的信息系統安全保護等級為第三級。

4.2通訊安全

數據傳輸采用虛擬專用網(VPN)，其是在公用網絡上建立的安全、穩定專用通道，其組網成本低、安全性高、易于擴展[10]。虛擬專用網能夠防止非法用戶從非法途徑進入網絡，盜用數據資源。某醫院聯合商業保險公司推動商業保險勘察模式的改革，數字化病案和證明材料圖片與原件的一致性和原件的可獲得性是病案遠程調閱的法律安全基礎，符合現行法律法規的要求，可避免法律糾紛；醫院與保險公司簽訂安全協議及保密條款、明確數字化病案的勘察權限，保護了醫院、保險公司、患者3方的合法權益；在該項目信息系統安全保護等級為第三級的前提下，虛擬專用網(VPN)的應用、前置機的數據轉化和認證、數據的3DES對稱加密、操作可追溯、用戶端的安全保護等措施和辦法，保證了數據及網絡傳輸的安全性。現階段，利用數字化病案管理系統的優勢，通過系列措施保證數據安全的前提下，將病案遠程調閱應用到商業保險中是可行的，改變了傳統商業保險勘察模式，提高了保險理賠效率，是醫院、保險公司和患者3方的共同需要。

參考文獻

[1]朱細海,雷紅力.淺析病案的價值與利用[J].醫學與法學,2017,9(6):19-21.

[2]劉建花,欒紅.病案數字化的應用效果[J].中國病案,2014,15(10):8-9.

[3]高峰,石建,董曉建.數字化病案管理系統的研究現狀與發展趨勢[J].中華醫學圖書情報雜志,2011,20(12):62-65.

[4]陳金雄.我國電子病歷的發展與展望[J].中國醫療器械信息,2009,15(2):1-4,7.

作者：謝輝 裴圣廣 陳晶 陳曦 吳麗娜 單位：華中科技大學同濟醫學院