Page 429 - JCI 7th edition - BPK9 hospital
P. 429
มาตรฐานการรับรอง JCI สำหรับโรงพยาบาล ฉบับที่ 7 429
คำสั่งของผู้ป่วย ผู้ที่ได้รับอนุญาตเข้าถึงข้อมูลผู้ป่วยที่มีการรักษาความปลอดภัยสูงสุด ผู้ได้รับอนุญาตเข้าถึงข้อมูลการ
พัฒนาคุณภาพ และอื่น ๆ
ระดับการเข้าถึงข้อมูลและสารสนเทศของแต่ละบุคคลที่ได้รับอนุญาตขึ้นอยู่กับความต้องการและกำหนดโดยหน้าที่
และความรับผิดชอบของบุคคลนั้น นักเรียน นักศึกษาฝึกงาน เจ้าหน้าที่ธุรการและอื่นๆ ตามที่โรงพยาบาลกำหนด (ดู
MOI.9 ร่วมด้วย) กระบวนการที่มีประสิทธิภาพกำหนดสิ่งต่อไปนี้
รพ.บางปะกอก 9 อินเตอร์เนชั่นแนล
• ผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลและสารสนเทศรวมถึงเวชระเบียนผู้ป่วย
• สารสนเทศที่ผู้ที่ได้รับอนุญาตแต่ละบุคคลสามารถเข้าถึงได้ (ระดับการเข้าถึง)
• กระบวนการในการให้สิทธิ์การเข้าถึงแก่บุคคลที่ได้รับอนุญาต
• ข้อผูกพันของแต่ละบุคคลในการรักษาความลับและความปลอดภัยของสารสนเทศ
• กระบวนการรักษาไว้ซึ่งข้อมูล (ความถูกต้องแม่นยำ ความสอดคล้อง และความสมบูรณ์)
• กระบวนการจัดการเมื่อมีการละเมิดและการรุกรานการรักษาความลับ รักษาความปลอดภัย และความมั่นคง
ของข้อมูล ใช้อบรมภายใน
ห้ามจำหน่าย
สำหรับโรงพยาบาลที่มีระบบข้อมูลอิเล็กทรอนิกส์ การติดตามการเข้าถึงข้อมูลและสารสนเทศของผู้ป่วย ผ่านการ
ติดตามการรักษาความปลอดภัยจากบันทึกการเข้าถึง (access logs) สามารถช่วยปกป้องความลับและการรักษา
ความปลอดภัยของข้อมูล โรงพยาบาลใช้กระบวนเชิงรุกในการติดตามบันทึกการเข้าถึง การติดตามการรักษาความ
ปลอดภัยอย่างสม่ำเสมอ สามารถระบุช่องโหว่ของระบบเพิ่มเติมจากการละเมิดนโยบายการรักษาความลับและความ
ปลอดภัย ตัวอย่างเช่น ในฐานะที่เป็นส่วนหนึ่งของกระบวนการ โรงพยาบาลควรกำหนดผู้ใช้ระบบที่สามารถ
เปลี่ยนแปลง แก้ไขหรือลบข้อมูลและสามารถติดตามการเปลี่ยนแปลงที่เกิดขึ้นกับเวชระเบียนอิเล็กทรอนิกส์ ผลลัพธ์
จากกระบวนการติดตามนี้สามารถนำไปใช้ตรวจสอบว่าสิทธิ์ของผู้ใช้ถูกกำหนดอย่างเหมาะสม การดำเนินการติดตาม
การรักษาความปลอดภัยจะมีประสิทธิภาพในการระบุช่องโหว่ของการรักษาความปลอดภัย เช่น การเข้าถึงของผู้ใช้
และการอนุญาตนั้นจำเป็นต้องมีการปรับปรุงหรือลบออกเมื่อมีการเปลี่ยนแปลงหรือการหมุนเวียนของบุคลากร
เมื่อมีผู้ช่วยด้านเอกสาร หรือเจ้าหน้าที่คัดลอกช่วยเหลือผู้ประกอบวิชาชีพด้านดูแลสุขภาพทำเอกสาร โรงพยาบาลมี
กระบวนการเพื่อให้แน่ใจว่ามีการปกป้องข้อมูลและสารสนเทศของผู้ป่วย โรงพยาบาลจะต้องกำหนดคุณสมบัติ การฝึก
อบรม และทักษะความสามารถที่จำเป็นสำหรับเจ้าหน้าที่คัดลอกตามความรับผิดชอบในงานของพวกเขา รวมถึง
ขอบเขตของงานบันทึกเอกสารที่เจ้าหน้าที่คัดลอกสามารถดำเนินการได้ เช่นเดียวกับทุกคนที่สามารถเข้าถึงเวช
ระเบียนผู้ป่วย เจ้าหน้าที่คัดลอกจะต้องได้รับอนุญาตให้เข้าถึงและทำรายการในเวชระเบียน และถูกกำหนดระดับการ
เข้าถึง เมื่อมีการใช้เวชระเบียนอิเล็กทรอนิกส์ มาตรการรักษาความปลอดภัยเพิ่มเติมใด ๆ สำหรับการติดตามเข้าสู่
ระบบจะต้องถูกกำหนดและนำไปใช้ ตัวอย่างเช่น โรงพยาบาลมีกระบวนการเพื่อให้แน่ใจว่าบุคคลที่เข้าไปใช้ระบบ
และเข้าถึงระบบใช้การบ่งชี้ประจำตัวที่แตกต่างกันสำหรับพวกเขาเพียงคนเดียว และข้อมูลประจำตัวไม่นำมาใช้ร่วม
กัน
