2012年1月30日

玩数据泄露责任游戏
Selena Chavis著
郑重声明
第二十四卷第二页

HIPAA的“信任链”将责任推给了受保护的实体，要求它们对商业伙伴协议采取强有力的措施。

去年9月，科学应用国际公司(SAIC)造成了数据泄露，影响了490万军事诊所和医院患者的受保护健康信息(PHI)。此次入侵涉及军队卫生系统电子病历的备份磁带，据信包括社会安全号码、地址、电话号码以及临床记录、实验室测试和处方中的个人健康信息。

虽然事故的责任似乎在上汽，但责任并不止于此。作为与组织签订合同的受保实体(CE)， TRICARE管理活动最终负责遵守HIPAA和HITECH法案中概述的违规通知法律。

而这仅仅是个开始。

由于此次泄露事件，TRICARE遭到集体诉讼，要求赔偿49亿美元的损失，原因是泄露的机密信息。TRICARE还将出现在卫生与公众服务部(HHS)指定的网站上，许多行业专业人士将该网站称为“耻辱之墙”，这是HITECH法案的一项规定，要求保留一份公开名单，列出所有经历过数据泄露的消费电子产品。

确保个人健康信息隐私的风险很高，TRICARE并不是唯一面临挑战的公司。Clearwater Compliance, LLC首席执行官兼创始人、HIPAA和HITECH监管合规专家鲍勃•查普特(Bbeplay最新备用网站ob Chaput)表示，HHS网站上列出了370多家ce，其中80多家是由于商业伙伴(BA)造成的数据泄露而登陆的。事实上，五个最大的数据泄露都是由ba造成的。

他说:“政府最初所做的是建立一个‘信任链’，因为它涉及到组织之间的关系以及他们如何处理它们之间的健康信息。”他指出，HITECH法案扩展了这条链的重点，把更多的责任放在了英国医疗管理局身上。虽然这在某种程度上公平竞争，但现实情况是，首席执行官是最终出现在“耻辱之墙”上的实体，并获得了最多的关注和宣传。

“最终，在患者和媒体眼中，他们只看到了医院，”德克萨斯州哈里斯县医院区(HCHD)依从性分析主任、医学博士卡罗琳·琼斯(Carolyn Jones)说。beplay最新备用网站“这是对医院的反映。”

这是法律
华盛顿Squire Sanders国际律师事务所合伙人Scott Edelstein JD表示，根据HIPAA制定BA协议是为了“确保PHI隐私的连续性”。根据定义，BA是向CE(包括以电子形式传输任何健康信息的健康计划、健康信息交换中心和医疗保健提供者)提供功能或服务的个人或实体，代表该组织行事，或为该组织提供法律、精算、会计、咨询、数据汇总、管理、行政、认证或财务能力方面的服务。

根据Chaput的说法，HITECH法案最近扩大了BA在信任链方面的责任。“当违规行为发生时，英国航空管理局现在也有责任向上游调查。作为一名BA，我有责任纠正这种情况，并向卫生与公众服务部报告。”

埃德尔斯坦回应了这一说法，并补充说，“监管链上的任何人都有责任。如果行政长官或广管局不遵守违规要求，他们可能会受到处罚。”

在最基本的形式中，广管局协议应该处理以下方面:

•HIPAA合beplay最新备用网站规:合同应概述个人健康信息的适当使用和披露。

•保障措施:BAs必须同意实施具体的政策和协议，包括物理、管理和技术保障措施，以根据HIPAA隐私和安全法律保护PHI。他们必须制定行动计划，以评估、监测、预防和减轻安全威胁，从而保护个人健康信息不被滥用。应该建立一个系统，在违规发生时识别违规行为，并制定正式的应对计划。

•培训:BA负责培训所有员工HIPAA和协议中列出的BA要求。培训必须侧重于对医疗数据的最强有力的保护。

•通知:如果发生违规行为，BAs必须同意遵守通知要求。如果信息泄露或丢失，这需要通知CE，可能还包括患者。

•分包商的扩展:医疗机构必须将相同的协议条款扩展到有权访问个人健康数据的分包商。

违反通知要求认为，医疗保健提供者和其他hipaa覆盖的ce必须在60天内及时通知HHS部长和受影响的个人，不得无故拖延。当数据泄露影响超过500个人时，也必须通知媒体。法规要求BAs在违规行为发生时立即通知CE。

Chaput说，应该认真对待延迟通知的后果，如果不满足要求，可能会被处以巨额罚款。康涅狄格的健康网因未能保护PHI免受第三方滥用而向州政府支付了37.5万美元的罚款。具体来说，罚款源于2009年磁盘驱动器丢失的不及时通知，导致涉及约500,000名会员的PHI泄露。

Jones表示，虽然遵守违规通知是行政长官、广管局和beplay最新备用网站其他分包实体的共同责任，但大部分负担落在行政长官身上，因为行政长官是信息的主要保管人。毕竟，“违规通知信是用医院的信笺发出的，”她说，这可能会对医院的声誉造成长期损害。

出于这个原因，许多ce，如HCHD，都超出了BA协议的基本要求，以尽量减少他们的责任。“每个人都在装模作样地掩盖自己的屁股，”查普特说。

提高赌注
尽管它的立场受到了一些阻力，但HCHD已经做出了战略决定，对英航错误可能导致的隐私泄露采取积极的措施。琼斯指出:“我们已经超越了HIPAA。”他补充说，如果发生违规行为，该组织的BA协议明确规定了BA的行政和财务责任。“我们的立场是，如果过错完全在于广管局，那么广管局应该对损害承担全部责任。”

具体而言，协议内容如下:

赔偿。卖方同意在法律允许的范围内，就下列事项引起的或与之相关的任何及所有损失、责任、判决、处罚、裁决和费用(包括调查费用、法律费用和开支)，向区域及其董事会、管理人员、员工和代理(单独或统称为“受赔偿方”)作出赔偿并使其免受损害:

供应商违反与隐私和安全要求有关的本BAA(业务伙伴协议);或

供应商或其员工、董事、高级管理人员、分包商或代理与隐私与安全要求有关的任何疏忽或不法行为或不作为，包括未能履行其在隐私与安全要求下的义务。

HCHD是一个由三家医院、三家社区卫生中心、学校诊所和家庭服务组成的全面整合的医疗保健系统，目前在其数据库中有140万患者。它与大约300个BAs签订合同，为超出组织范围的PHI暴露的更多机会打开了大门。

为了恰当地管理合同，任何服务协议都必须经过合规部门，以确定这种关系是否需要BA协议。beplay最新备用网站基本上有一个合同谈判和起草协议的中央储存库。

Jones指出，HCHD试图保持所有与PHI相关的BA活动集中，以便正确管理信息。根据HITECH, ce和ba必须能够为任何访问电子健康信息的人提供PHI披露的账目，包括使用和披露，无论目的如何。该规则将负担扩大到医疗机构，并包括自此类请求起三年内的治疗、支付和医疗保健操作的披露。

HCHD的BA合同要求，任何直接向BA提出的会计披露要求，都必须反馈给医院。条例亦规定广管局须在个人提出要求的三天内以书面通知。

琼斯说:“它回到了我们所在地的信息披露的集中核算。”

降低风险
波耐蒙研究所(Ponemon Institute)最近进行的一项基准研究发现，自2010年以来，医疗机构数据泄露的频率增加了32%。据估计，这些违规行为每年造成的损失在42亿至81亿美元之间。该研究还发现，涉及超过100万条记录的违规行为中，有50%是由BA造成的，而在30,000至999,999条记录的违规行为中，有44.8%被认为是由BA造成的。

Chaput指出，风险是真实存在的，医疗机构需要尽职调查，以尽量减少潜在的后果。他表示:“归根结底，这关乎企业风险管理。”“一些医疗机构比其他机构更好地保护这些信息。”

Chaput是医疗保健机构的顾问，也是HIPAA和HITECH合规方面的首席执行官，他说有四种方法可以防止数据泄露。beplay最新备用网站首先，企业可以接受风险，而不采取任何措施来减轻风险。其次，他们可以通过消除增加违规可能性的业务因素来避免风险，例如使用移动设备和笔记本电脑。

由于后者在当今的医疗保健环境中并不现实，Chaput指出，大多数医疗保健组织都在采取降低风险的方法，尽管在不同的层面上。为正面解决资料外泄问题，资讯科技总监可采用策略，包括使用保安技术、推行政策和程序，以及定期培训员工和资讯科技总监。

查普特认为，加密软件和工具应该处于任何战略的最前沿。在BA合同中，HCHD要求与PHI合作的第三方在信息存储和传输中使用加密软件。该组织还要求使用最新的防病毒软件，采用数据备份和灾难恢复的应急计划，并实施强大的访问控制，包括物理锁、防火墙和强密码。

医疗保健组织应对与数据泄露相关风险的最后一种方法是“转移”数据。在这种情况下，Chaput建议将网络保险作为更广泛的风险管理计划的重要组成部分。

琼斯指出，作为一个自我保险的实体，HCHD没有网络保险，但她会向其他供应商推荐这个选择。她说:“任何你能保证的风险……都是有好处的。”

- Selena Chavis是佛罗里达州的一名自由撰稿人，她的文章经常出现在各种贸易和消费者出版物上，内容涵盖从企业和管理到医疗保健和旅行的所有主题。

BA/CE难题
如果没有业务伙伴(BA)关系，在当今预算精简和外包的医疗保健环境中运营的能力几乎是不可能的。这一现实使医院和其他受保实体(ce)在寻求保护个人健康信息方面的努力复杂化。

TRICARE Management Activity目前正面临49亿美元的集体诉讼，原因是该公司的一个BAs造成了安全漏洞。然而，TRICARE当然不是个例。考虑以下最近的数据泄露事件和由此产生的行政长官责任:

•去年9月，斯坦福医院和诊所(Stanford Hospital & Clinics)因安全漏洞暴露了2万名患者的个人数据，遭到了2000万美元的诉讼。该组织披露，一份由第三方计费承包商Multi Specialties Collection Services处理的电子表格不知何故被发布在了“财富学生”(Student of Fortune)网站上，该网站允许学生收费寻求家庭作业帮助。

•堪萨斯州劳伦斯纪念医院(Lawrence Memorial Hospital) 8000多名患者的个人信息被曝光，原因是该医院的在线账单支付服务出现了错误，该服务由Mid Continent Credit Services提供，托管在Brick Wire的网站上。这起事件发生在去年11月，可能导致该医院面临联邦调查和罚款。

•2010年，民权办公室(Office for Civil Rights)负责HIPAA隐私和安全合规的审计机构毕马威(KPMG)发现了一起违规行为，影响了4500多份患beplay最新备用网站者记录。此次泄露涉及新泽西州两家医疗中心的个人健康信息:利文斯顿圣巴纳巴斯医疗中心的3630名患者和纽瓦克贝斯以色列医疗中心的956名患者。

- - - - - - SC