1月
2014
高风险业务
迈克·巴塞特著
郑重声明
第二十六卷第一页
卫生保健组织是否足够重视适当的HIPAA风险分析?否则,代价可能会高昂。
去年夏天,总部位于纽约的管理式医疗计划公司Affinity Health Plan同意向美国民权办公室(Office of Civil Rights, OCR)支付120万美元,以了结一起HIPAA数据泄露案。
虽然数据泄露可能并不罕见,但这起案件是独一无二的。这起事件发生在2010年,导致超过30万人的数据被泄露,这些数据被保存在Affinity租用并归还的复印机的硬盘上。根据OCR的说法,这是第一次涉及复印机的HIPAA和解。
专门从事HIPAA合规研究的Semel Consulting公司的首席执行官兼创始人迈克•塞梅尔(Mike Semel)表示,问题的关键在于,这起泄露事件不仅让Affinity付出了巨大的代价(以及由此带来的负面宣传),还显示出企业在隐私和安全问题上的暴露程度。beplay最新备用网站“有多少人知道复印机有硬盘驱动器?”他指出,Affinity泄露事件表明,当组织需要执行HIPAA风险分析或评估时,必须彻底。
根据HIPAA安全和隐私规则,医疗保健组织等受保护实体必须进行风险分析,以彻底评估“受保护实体持有的电子保护健康信息的机密性、完整性和可用性的潜在风险和漏洞”。
对于组织来说,这是形成HIPAA合规计划的一个至关重要的步骤。beplay最新备用网站然而,Clearwater Compliance公司创始人兼首席执行官鲍勃•查普特(Bob Chaput)表示,问题在于,企业在进行风险分析方面做得并不好——如果他们根本没有进行风险分析的话。他指出,2012年,OCR审计的115家实体中,有68%的实体在风险分析方面发现了不利的结果。beplay最新备用网站“也就是说,他们要么没有做(风险分析),要么做错了,”他表示。“当涉及到医疗服务提供者时,80%的人有不利的发现。”
查普特还指出,自2009年OCR开始加强隐私和安全规则的执行以来,每一项导致某种纠正行动计划的调查都被认为是被调查组织没有进行完整的风险分析。
塞梅尔说:“当你看到民权办公室正在进行的罚款、处罚和调查时,大多数都回到了风险分析。””,它会说,原因有一个违反当医生失去了他的笔记本电脑旅行时或者当一名技术人员失去了硬盘虽然从一个办公室到另一个组织没有一个适当的风险分析识别数据,以及它如何移动,,和在组织内,如果一个好工作已经完成了风险分析首先,组织可以识别和管理风险。”
但为什么如此重要的事情做得如此糟糕——如果有的话?似乎有几个因素在起作用。根据查普特的说法,尽管HIPAA隐私和安全规则已经生效了大约十年,但“很少或根本没有执行。因此,尽管法规早就要求这样做了,但组织根本没有这样做,因为没有产生任何不良后果。”
Dunkiel, Saunders, Elliott, Raubvogel & Hand律师事务所的合伙人、法学博士艾琳·埃利奥特(Eileen Elliott)就HIPAA隐私和保密问题向医疗服务提供者提供咨询。她说,医疗服务提供者没有在风险分析上投入必要的精力,因为风险分析很复杂,违背了提供医疗服务的主要使命。她说:“大多数供应商进入这个行业是因为他们想参与医疗保健,根本没有考虑到技术给他们的职业带来的风险。”“安全部分有时几乎是压倒性的。”
咨询公司n - integrity Solutions Group的联合创始人莱斯利•伯克海泽(Lesley Berkeyheiser)认为,HIPAA的复杂性和医疗机构面临的众多项目最后期限相结合,可能是对风险分析表现出漫不经心态度的原因。她说:“我说的主要是医疗机构,很多问题不一定是他们的错。”“他们忙着照顾病人,更不用说满足小企业的所有要求和规定了。然后,最重要的是,他们受到有意义的使用和(采用)电子病历的打击。所有这些令人难以置信的变化都在同时发生,其中很多变化都优先于能够思考和记录如何保护各种形式的医疗保健信息。”
Chaput认为这个问题更为根本,他质疑组织是否理解风险分析的基础知识和风险的定义。他表示:“他们认为(风险)是一种你可以在房间里走来走去寻找并找到的东西。”“这不是。这是一个衍生值,可能不需要微积分知识,但至少需要一点代数知识。”
进行适当的风险分析
塞梅尔曾在红十字会的救灾服务部门工作过,他认为自己是一个能够走进困境并识别其他人可能看不到的风险的人。例如,他曾与一家诊所合作,该诊所最近改用在线云服务来备份服务器,此前该诊所是通过磁带备份服务器的。塞梅尔说:“医疗数据有保留规则,但他们不再使用那些磁带。”“事实上,他们不再有可以读取这些磁带的磁带驱动器,也不再有用于实际创建备份的软件,所以磁带是无用的。”
原来,旧磁带被存放在服务器室的盒子里,其余的存放在一个存储设施里。塞梅尔表示,这是一种充满风险的设置。“首先,让他们坐以待毙是一种风险,”他指出。“如果有人决定清理服务器机房,结果把磁带扔进了垃圾箱,会发生什么?”这是数据泄露。”
无论问题是一堆无用的磁带还是带硬盘的复印机,很明显,健康数据源可以出现在任何地方。Chaput说,为了避免这种可能性,有必要完成一份资产信息清单。他说:“我们正在寻找任何创造、接收、维护或传输受保护的健康信息的东西。”
查普特说,追踪这些过多的数据可能是一项费力、耗时、人工驱动的任务。“别管电子健康记录了,”他说。“想想所有这些信息都存在于哪里。它可以存在于纸质记录、语音邮件、传真机中。很多时候,当组织遭遇入侵时,它来自一个他们甚至没有意识到包含信息的来源。”
Clearwater beplay最新备用网站Compliance使用资产清单流程,Chaput将其描述为受保护健康信息可能位置的“详尽模板”。这个想法是为了帮助“激发人们的思考”,让人们知道一个组织的所有医疗保健数据都藏在哪里。他说:“这在很大程度上是一个手工过程,但就像生活中的其他事情一样,你可以给它安排一些秩序和纪律。”
塞梅尔说,在寻找数据时,“你必须打破所有数据都在患者护理记录或电子病历中的先入为主的观念。”他指出,从这个意义上讲,Affinity复印机的案例是一个有用的提醒:数据可能存在于最意想不到的地方。
Semel咨询公司的一个客户,一家集中手术中心,最近发出了一份备忘录,指示在未经授权的情况下,任何数据都不能通过便携式设备离开该机构。塞梅尔说:“他们立即收到护士的电子邮件,说医生们都带着u盘来,下载手术记录,然后输入到他们自己的系统中,而我们不知道发生了什么。”“这已经成为风险分析的一部分,现在他们正试图想出一种更安全的方法(让医生能够传递这些信息)。”
查普特说,一旦资产被识别出来,企业就必须确定可能的威胁,比如笔记本电脑丢失或被盗,以及资产的脆弱性,比如笔记本电脑没有加密。他说:“当所有这些东西——资产、威胁和漏洞——都存在时,你就需要分析风险。”
这种风险可以通过安全问题发生的概率及其对组织的潜在影响来度量。如果一个组织把一台未加密的笔记本电脑锁在一个没有互联网接入的安全地点,这是没有风险的。但是,如果医生把同样的笔记本电脑从办公室带回家,就会有风险。“但大多数组织不明白这是一个详细的过程,”查普特说。“他们认为他们可以简单地观察到一些东西,然后宣布存在风险,但他们真的不明白什么是风险,什么不是风险。”
谁执行分析?
Berkeyheiser建议从网络上获取有关隐私和安全法规的信息,无论是从国家卫生信息技术协调办公室(ONC)还是从OCR。对于从头开始创建风险分析的组织来说尤其如此。
至于谁是处理风险分析任务的理想人选,Berkeyheiser表示,应该优先考虑一个方面。“专注于违约。“违约是过去几年发生的最重要的事情,它继续引起公众的广泛关注,”她指出。
自2009年以来,OCR一直在其网站上记录和发布有关大规模健康数据泄露的信息。Berkeyheiser建议风险分析人员仔细研究这些事件,以确定是否有任何可能适用于他们的组织。
Elliott还建议企业,尤其是小型供应商,访问联邦网站,获取有关管理安全和物理和技术保障等问题的隐私和安全信息。她说:“但(进行风险分析)仍然是一项艰巨的任务,特别是当你进入电子健康记录领域时。”她补充说,大型组织可能有自己的隐私和安全官员,如果有必要,应该能够聘请外部公司进行HIPAA分析。
ONC在其网站上列出了安全风险分析的十大误区,其中之一就是供应商必须将该功能外包。它指出,“小型实践可以使用自助工具自己进行风险分析。然而,要进行彻底而专业的风险分析,经得起合规审查,将需要专业知识,而这些知识可以通过经验丰富的外部专业人士的服务获得。”beplay最新备用网站
尽管它建议小型供应商可以执行自己的风险分析,但Semel认为,这揭示了ONC强调任何分析都必须能够经得起合规审查。beplay最新备用网站“这些人向申请有意义用途资金的人发出审计信,所以我们知道存在审查。所以我认为他们真正想说的是,因为他们在做审计,有这种审查,它(风险分析)真的应该外包给专业人士,因为我们正在检查这些事情。”
Berkeyheiser说,分析beplay最新备用网站HIPAA合规风险“不是一劳永逸”的事情,特别是考虑到与电子病历实施和有意义的使用相关的变化,同时指出选择合适的时间进行分析很重要。她说:“你应该寻找处理数据方式的重大变化,无论是组织变革还是技术变革,然后进行风险分析。”
例如,n - integrity Solutions Group最近制定了一项纠正行动计划,该计划涉及对在线应用程序进行配置更改的客户端。Berkeyheiser说:“(该组织)忽视了检查这是否成功,结果就发生了违规行为。”“关键是,在你的组织中,任何时候你做出改变,你都应该推迟并测试,从隐私和安全的角度来看是否存在问题,这一点应该根深蒂固。”
Mike Bassett是马萨诸塞州Holliston的自由撰稿人。
