贵机构是否已制定并发布了专门的《客户隐私保护政策》?
是,且已向客户明确告知
是,但未主动告知客户
正在制定中
尚未制定
在处理客户健康信息前,贵机构通常如何获取客户的同意?
通过书面或电子形式的单独、明确同意
在服务协议中包含概括性同意条款
默认客户接受服务即表示同意
未获取明确同意
贵机构采取了以下哪些技术措施来保护存储的客户电子健康信息?(可多选)
数据加密存储(如数据库加密)
访问控制与身份认证(如密码、双因素认证)
定期进行安全漏洞扫描与修复
数据备份与灾难恢复机制
未采取任何专门技术措施
请列出贵机构对内部员工进行客户信息安全与隐私保护培训的频率(例如:每年一次、每季度一次、入职时培训等)。
当客户提出查询、复制、更正或删除其个人健康信息的请求时,贵机构通常如何处理?
有标准流程,并在法定时限内响应
可以处理,但无固定流程和时限
视情况处理,难以保证
通常不予处理
贵机构是否建立了客户信息安全事件(如数据泄露)的应急预案?
是,且定期演练
是,但未演练
正在制定中
尚未建立
在与第三方(如IT服务商、合作医疗机构)共享客户信息时,贵机构会采取哪些保障措施?(可多选)
签订包含严格保密和数据保护条款的合同
评估第三方的安全能力与资质
仅共享实现目的所必需的最少信息
对共享过程进行监督
未采取特别措施
贵机构的纸质客户健康档案是如何保管和销毁的?
存放于上锁柜中,销毁时使用碎纸机或专业销毁服务
有专门区域存放,但销毁方式随意
随意存放和处置
不清楚
贵机构是否任命了专人负责个人信息保护工作(如个人信息保护负责人)?
是,有明确的负责人和联系方式
有相关职能但未明确指定专人
由其他岗位人员兼任,无明确职责
无
贵机构通过哪些渠道收集客户健康信息?(可多选)
面对面问询与体检
客户填写的纸质或电子表格
可穿戴设备等物联网设备
从其他医疗机构转诊或共享获得
公开渠道或向第三方购买
贵机构是否定期(如每年)对隐私保护措施的有效性进行审计或评估?
是,定期进行内部或外部审计
偶尔进行自查
仅在发生问题时检查
从未进行
请简述贵机构如何确保离职员工不再能够访问机构的客户信息系统?
对于匿名化或去标识化处理的健康数据(无法识别特定个人),贵机构在利用时是否仍会考虑其潜在风险?
是,会评估重标识风险并采取管控措施
认为已匿名化,无需额外考虑
不清楚何为匿名化
未进行过匿名化处理
您认为当前健康管理服务机构在客户信息安全方面面临的主要挑战有哪些?(可多选)
员工安全意识薄弱
网络安全技术投入不足
法律法规复杂且更新快
第三方合作带来的风险
客户自身对信息保护不重视
如果发现客户健康信息可能已经泄露,除了启动应急预案,贵机构是否会依法向监管部门和受影响的客户进行报告?
总体而言,您如何评价贵机构当前客户隐私保护与信息安全管理体系的完善程度?
非常完善,体系化运作
比较完善,有主要措施
一般,有基本措施但存在漏洞
不完善,亟待加强