医生在线预约服务日益普及,但服务提供商和医疗实践的合规边界亟待明确。柏林数据保护官Maike Kamp领导的德国数据保护会议(DSK)近日发布《医疗实践预约管理中的数据保护》指南文件,明确要求医疗实践在使用第三方预约系统时需严格遵循数据最小化原则。
文件指出,预约系统服务商不应提前获取患者全部基础数据,仅允许收集预约必需信息(如姓名、出生日期、主治医生、预约类型及联系方式)。当患者通过线上渠道自主预约时,相关信息应由患者自行输入或由诊所工作人员在电话/现场预约时录入。若需发送预约提醒,必须取得患者明示同意并留存证明记录。
针对服务提供商的数据处理,DSK强调三大原则:一是禁止将预约数据用于其他目的;二是需确保服务商实施数据保护措施(如客户端隔离、系统安全互联、及时删除数据);三是医疗实践需承担监督责任。当前常见问题包括患者意外收到他人预约提醒,暴露了责任划分不清的隐患。
文件特别提及AI系统的数据合规要求:当医疗数据用于AI训练时,必须获得患者明确同意;若未涉及健康数据,则可基于"合法利益"处理。DSK同步发布《AI系统技术与组织措施指南》,强调AI系统在个人数据处理中的高风险属性,要求从设计阶段即纳入数据保护考量。
在隐私政策更新中,医疗预约平台Doctolib披露将使用患者数据进行AI模型训练。该文件的发布为医疗数字化转型提供了明确的合规框架,平衡了技术创新与隐私保护的关系。
【全文结束】
