12月2016

呼叫增援部队
Selena Chavis著
郑重声明
第二十八卷第十二页

随着数据泄露事件的增加，医疗保健组织必须准备好响应团队。

尽管数据泄露事件持续激增，但许多医疗机构仍然缺乏财务和人力资源，无法有效管理网络危机、可预防的错误和其他问题带来的影响。正如波耐蒙研究所(Ponemon Institute)关于医疗数据隐私与安全的第六次年度基准研究所详述的那样，这些缺点表明，整个医疗行业的数据泄露响应仍有很大的改进空间。

MRO总法律顾问萨拉•戈尔茨坦(Sara Goldstein)法学博士表示，这种情况可能会持续下去，并补充称，如今的威胁因勒索软件和更复杂的黑客策略而变得更加复杂。她说:“(医疗机构)可能有一个非常可靠的漏洞预防、漏洞响应和事件响应团队，在过去是有效和高效的。”她同时指出，要跟上今天的威胁水平是很困难的。“一个项目应该不断更新，以确保它与世界上正在发生的事情保持一致。”

好消息是，根据波耐蒙的研究，医疗保健组织正在取得进展——71%的组织拥有利用IT、信息安全和合规性的流程，而2015年这一比例为69%。beplay最新备用网站此外，超过一半的受访者表示，他们拥有应对数据泄露的内部专业知识。然而，这些组织中的大多数认为他们需要更多的资金和资源才能使应对措施有效。

在业务伙伴(BA)方面，部署防泄露工具的情况有所增加，尽管增幅没有医疗机构那么大。虽然64%的人表示他们的组织有一个基于IT、信息安全和合规性的流程，但只有46%的人拥有内部专业知识来有效应对。beplay最新备用网站

的确，这方面正在取得进展，但许多行业专家指出，有效和无效的数据泄露响应之间仍然存在显著差距。此外，Day Pitney高级法律顾问兼合规风险服务总监吉姆·鲍尔斯(Jim Bowers)法学博士表示，很少有组织能够立即发现并应对数据泄露。beplay最新备用网站

他说:“健康行业遭受了大量的数据泄露，但这在大多数行业都很常见。”“现在的黑客技术非常复杂，可能需要几个月甚至几年的时间才能发现有人侵入了你的信息。这是一个技术正在努力跟上的领域……但公司并没有把它归结为一门他们可以立即知道的科学。”

Day Pitney医疗保健业务的法律顾问埃里克·费德(Eric Fader)法学博士补充说，一旦组织发现了违规行为，调查就不会立即进行。他解释说:“首先，你必须掌握信息的去向、流向以及是否有可能进一步传播。”“在某些情况下，经过调查，你可以阻止最初被认为是违规的信息进一步泄露。或者，也许没有迹象表明它以一种具有潜在破坏性的方式传播。”

这是一个复杂的问题，在可预见的未来，医疗机构可能会继续努力解决这个问题。戈尔茨坦说，在国家层面加强审查提高了有效应对战略的赌注。“因此，当涉及到HIPAA时，涉及超过500名患者的违规行为通常会受到所有关注，事实上，几乎所有与民权办公室(OCR)达成的解决协议和民事罚款都涉及大规模违规行为，”她说，并补充说，OCR今年早些时候宣布，它正在共同努力调查和公布涉及不到500名患者的违规行为。“未来，我们可能会看到与10或20名患者医疗记录泄露有关的解决协议。小事也很重要。”

违规回应及通知
MA、RHIA、CHPS、SSGB、MRO隐私、合规和HIM政策副总裁Rita Bowen表示，在启动违规响应活动之前，组织必须完成内部调查，以确定信息是否遭到泄露。beplay最新备用网站她说:“他们想要验证这些信息，然后应用风险评估来确定这是低风险、中风险还是高风险，然后他们会通知病人——或者他们应该通知病人。”

Julie a . Roth, MHSA, JD, RHIA，律师事务所Lathrop & Gage的合伙人表示，只要以HIPAA隐私标准不允许的方式获取，访问，使用或披露受保护的健康信息(PHI)，除非受保护实体能够证明PHI已被泄露的可能性很低，否则推定为违规。证据必须以风险评估的形式提供，以确定以下事项:

•所涉及PHI的性质和范围，包括标识符的类型和标识的可能性;

•使用PHI的人或被披露的人;

•PHI是否被获取或查看;和

•对PHI的风险已减轻到何种程度。

罗斯说:“如果发生了违规行为，受保机构有责任在发现违规行为后不迟于60个日历日以书面形式通知患者违规行为，不得无故拖延。”“书面通知必须包括各种信息，例如对违规行为的描述和所涉及的PHI类型，个人可以做些什么来保护自己，受保实体正在做些什么来保护个人并防止未来发生，以及个人询问问题的联系程序。”

在涉及超过500人的案件中，受保护实体还必须将违规行为通知媒体。此外，所有违规行为都必须通知OCR。

罗斯补充说:“受保护实体的义务不会因通知而终止。”“受保护实体应采取措施减轻对个人的伤害，重新培训员工，并解决导致违规行为发生的任何弱点。”

高级网络安全顾问弗兰克•西普曼(Frank Siepmann)解释说，违规响应包括安全、法律和商业事件。有效的回应需要管理公众认知的策略，并从监管和合同的角度确定广管局协议的法律要求。此外，他建议安全部门必须与利益相关者合作，以确保调查的演变与所有相关方保持一致。

医疗保健组织还必须意识到，不要忽视可能比HIPAA中更为繁重的州通知要求。戈尔茨坦说:“我认为，对于企业来说，理解他们在适用的联邦和州法律下关于违规通知的义务可能会让人感到困惑。”“所以，除了HIPAA之外，各州还有违反通知法，这些法律有不同的要求，必须在不同的时间内完成。他们对违约的定义也不同，所以根据HIPAA可能不构成违约的行为可能构成违反州法律的行为。”

识别不良的违规管理措施
Siepmann指出，缺乏沟通是导致违规反应失败的主要原因。他表示:“糟糕的违规管理通常可以通过糟糕的沟通来识别，通常会导致错过最后期限、销毁证据或其他新手犯的错误。”“信息泄露后，沟通是关键。”

Bowen指出，保险公司永远不希望在游戏后期或从病人那里得知违规行为。例如，如果组织从BA收到关于几个月前发生的事件的通知，这是一个主要的危险信号。她说:“在我看来，这表明英国航空管理局在理解、确认和向我提供信息方面的流程很糟糕。”

Goldstein补充说，数据库管理员必须知道他们的数据在哪里以及如何被使用。她说:“如果患者是第一个通知保险机构而不是商业伙伴的人，这是一个非常糟糕的迹象。”

鲍尔斯表示，行业数据表明，英航参与了30%的医疗保健违规行为。出于这个原因，他强调了密切管理和监控这些关系的重要性。此外，他表示，大多数违规行为都与恶意活动或员工疏忽有关，这为外部诉讼打开了大门。

鲍尔斯指出:“你必须能够非常迅速地评估是否发生了违规行为，发出通知，并填补漏洞。”他补充说，及时的监督和管理使组织能够很好地应对可能来自外部的打击。此外，他还指出，需要外部专家以“法医”的方式收集信息。“我们看到过一些公司试图堵住漏洞却毁了证据的情况。鲍尔斯说:“你要确保在纠正泄露问题时不会破坏可能对以后的诉讼至关重要的证据。”

费德对此表示赞同，并补充说，原告可能会先提起诉讼，然后再提出问题。虽然HIPAA没有私人诉讼权利，但他解释说，受保护的实体可以因普通法或国家承认的疏忽或故意造成情绪困扰等行为原因而被起诉。费德说:“如果你不能迅速采取行动，就会有其他外部压力和人们把水搅浑，这很容易分散你对核心任务的注意力。”

在BA管理方面，Goldstein建议在合同中设置违约通知参数。她说:“通常情况下，合理的时间表是5个工作日，但我见过需要40个小时和72个小时的情况。”她补充说，随着时间的推移，审计这些活动可以发现需要解决的问题。“与英国航空管理局合作，确保他们遵守他们在英国航空管理局协议中达成的协议。有很多供应商提供了一个程序，可以根据他们对某些问题的回答来评估他们的合规性。”beplay最新备用网站

实施违约管理
Siepmann说，漏洞管理计划应该经过测试，就像它们在业务连续性和灾难恢复方面的对应方案一样。“有不同的练习方法。最简单的可能是桌面练习。然而，桌面练习不会显示出太多不足。”

Bowen对此表示同意，并补充说，医疗机构应该有一个安全事件响应小组或数据保护委员会，作为最佳实践。这些小组负责识别潜在的风险，因为它们与现实世界的事件有关，以及在组织中发生相同事件的“假设”。她说:“如果你有一个隐私安全事件响应团队，基本上你就可以处理任何异常事件，并进行全面的根本原因分析，以确定你没有错过任何事情。”她补充说:“医疗机构不能再假设同样的情况不会发生在他们身上。”

它会结束吗?
虽然可能存在响应和通知程序基于法律建议而结束的定义点，但大多数专家都认为违规管理是一个持续的过程。Siepmann说:“法律或公共关系活动可能远远超出最初的违规反应。”

Goldstein承认，适用的法律法规为受保实体提供了通知、信息收集和报告要求的清单。一旦这些任务完成，事件就成为相关组织学习的机会。她说:“任何类型的事故，即使是死里逃生……都应该纳入对员工的培训。”她补充说，企业需要探索如何将未来的风险降到最低。“你要专注于你必须做的事情，但就最佳实践而言，这真的应该是一个教训。”

Bowen建议进行根本原因分析，以找到事件的真正原因，并通过提出以下问题来分解它:

•是否需要修改与运营和政策相关的问题?
•是缺乏资源吗?
•是培训吗?

罗斯表示，违规管理是一个持续的过程，不会以通知结束。她表示:“受保护的实体必须从任何数据泄露事件中吸取教训，并采取措施防止未来发生类似事件。”“这些步骤可能包括改进信息安全系统，提供额外的HIPAA培训，以及实施新的政策和程序。”

- Selena Chavis是佛罗里达州的一名自由撰稿人，她的文章经常出现在各种贸易和消费者出版物上，内容涵盖从企业和管理到医疗保健和旅游的所有主题。

违约管理:五个基本步骤
Debi Primeau, MA, RHIA, FAHIMA, Primeau咨询集团总裁表示，任何医疗机构都可以采用以下措施来有效管理数据泄露:准备、识别、响应、恢复和后续行动。

•准备阶段是建立涉及安全事件管理和响应的政策、流程、程序和协议的过程，例如确定级别和响应的指导方针、审计和记录、报告指导方针、解决方案和后续行动。

•识别阶段是检测和报告潜在安全事件的过程。

•下一步是对事件和响应进行分类。医疗保健组织必须确定泄露的信息类型和事件类型，以便对事件进行分类并设计适当的响应。

•在恢复阶段，系统和业务流程完全恢复正常运行。操作包括恢复和验证系统，决定何时恢复操作，以及监视系统以验证正常操作，而不会进一步危及系统或数据。

•后续阶段包括在最终事件报告中充分记录文件，并根据既定政策将报告分发给适当实体;从事件处理过程中吸取经验教训，包括成功和不成功的事件处理措施;并制定建议，以防止未来的事件和改进企业安全实现。

在发生重大事件后，响应团队应该召开经验教训会议，这有助于改进安全措施和事件处理流程本身。会议不应局限于高管或现场事件响应人员——最有价值的经验教训是由系统管理员和/或用户应用的。

- - - - - - SC