2011年1月31日

有效违约管理的关键
Lisa A. Eramo著
郑重声明
第二十三卷第二页

在制定一项政策时，彻底是首要任务，该政策可以消除对信息披露管理的猜测。

问题不在于你是否会有漏洞，而是什么时候。当你这样做的时候，你的组织最好有一个适当的计划来处理它。

ecfirst, Inc .的首席执行官、信息安全顾问、CSCS Ali Pabrai说:“每个组织都会遇到数据泄露。”ecfirst, Inc .专门为医疗保健和金融行业提供IT服务。“当你遇到漏洞时，那不是发现你的程序不起作用的时候。你不会想要手忙脚乱地想要做什么。你只是没有时间去经历这些。”

hiech法案下的通知过程可能是非常劳动密集型和昂贵的，Harry B. Rhodes, MBA, RHIA, CHPS, CPHIMS, FAHIMA, AHIMA的实践领导主任说。“违规通知需要大量支出。要做出回应需要大量资金。”

根据波耐蒙研究所(Ponemon Institute)在2010年1月进行的一项研究，数据泄露的平均成本是每份泄露的客户或患者记录204美元。波耐蒙研究所对隐私、数据保护和信息安全进行了独立研究。这包括144美元的间接成本和60美元的直接成本。涉及笔记本电脑或其他移动设备的每条数据泄露记录的成本为225美元。

从长远来看，可能更具破坏性的事实是，违规行为可能会损害组织的声誉。罗兹表示，执行不力或令人困惑的数据泄露应对措施可能会导致其他负面后果，比如患者到其他地方寻求治疗。

他说:“站出来说你有违规行为真的很有害。”他补充说，即使在小社区，关心其健康信息隐私和安全的患者也可以避免向遇到违规行为的提供者寻求治疗，而只是驱车前往另一家在健康信息安全方面声誉更好的提供者。

在2008年4月由波耐蒙研究所(Ponemon Institute)进行的一项研究中，63%的受访者表示，他们收到的通知信没有告诉他们应该采取哪些步骤来保护自己的个人信息。因此，31%的人表示他们终止了与组织的关系，57%的人表示他们对组织失去了信任和信心。

承认违约
弗吉尼亚州亚历山大市出版和咨询公司Melamedia的总裁丹尼斯•梅拉米德说，当考虑到数据泄露——尤其是那些涉及未安全保护的健康信息(PHI)的数据泄露——第一步就是简单地承认数据泄露。你不能忽视它，”他说。

罗兹说，身份窃贼行动非常迅速，要么使用PHI，要么出售它。这就是为什么组织必须认真对待每一个威胁，迅速作出反应，并确定漏洞的来源。

他说:“有一件事总是让我感到惊讶，那就是企业似乎毫无防备。”罗兹说，企业不应该坐等数据泄露发生，然后设计一个处理流程，而应该建立一个能够识别数据泄露并立即触发响应的团队。该团队应包括HIM、隐私官、信息系统、IT安全、风险管理/法律、物理安全、住院人员、护士审核员、合规、临床医生和行政人员。beplay最新备用网站

罗兹说，企业可能还想任命一名内部漏洞调查员，他可以从一开始就管理漏洞调查过程。他或她可以领导事件响应团队，并可以成为组织的唯一外部发言人。他或她负责监督风险评估的完成情况，并管理所有违规通知文件。”

进行风险评估
在确定违规行为后，组织必须执行彻底的风险评估，以确定违规行为是否会对受影响的个人造成伤害。如果违规行为涉及未安全的个人信息安全，且所涉实体(CE)或业务伙伴(BA)认为违规行为有害，则CE或业务伙伴有义务遵循HITECH的违规通知要求。民权办公室(OCR)在其临时最终规则中定义了违规行为(可在http://edocket.access.gpo.gov/2009/pdf/E9-20169.pdf)作为“对个人造成重大财务、声誉或其他损害风险”的事件。
“这是有争议的，”梅拉米德说。“临时规定中的一些参考资料表明，你几乎总是会受到伤害。如果死亡人数超过500人，就会被推定为受到了伤害。”

然而，患者的数量并不是唯一需要考虑的因素，Melamed补充道。“同样重要的是要记住，安全顾问通常有责任纠正和减轻未达到500名患者阈值的漏洞。事实上，这是你将在日常生活中面对这些问题的地方，”他说。

OCR规定，ce和BAs在确定危害时应考虑以下因素:

•谁被允许使用PHI或向谁被允许披露PHI ?例如，如果数据被不允许地披露给受HIPAA管辖的另一个实体，则受影响的个人受到伤害的风险可能较小。如果数据被披露给不需要遵守HIPAA的实体或个人，则可能存在更大的风险。

•PHI是否在不允许的情况下披露，但在出于不正当目的访问之前返回?例如，如果一台笔记本电脑被盗，然后被找回，并且法医分析显示其信息没有被打开、更改、转移或以其他方式泄露，那么这种破坏可能不会造成重大风险。然而，OCR表示:“我们认为，基于计算机将被恢复的希望而延迟泄露通知是不合理的。”

不允许使用或披露的PHI的类型和数量是什么?OCR指出，“如果受保护的健康信息的性质不会对财务、声誉或其他损害构成重大风险，那么违规行为就不是违规行为。”例如，如果行政长官不恰当地披露了个人的姓名以及他或她从医院接受服务的事实，这不是违规行为。然而，如果信息包括服务类型(例如，肿瘤服务)，特定类型的设施(例如，药物滥用治疗设施)或其他有价值的信息(例如，社会安全号码，账号，娘家姓)，那么受影响的个人可能会面临很大的风险。

通知的责任
梅拉米德表示，OCR希望组织在发现可能造成伤害的漏洞后迅速做出反应。“OCR明确表示，当泄露事件发生在他们的公共网站上时，这应该是任何人听到的最后一个地方。他们希望受保实体在报告时能够很好地纠正这一点，”他补充道。
从法律角度来看，这对组织意味着什么?根据OCR临时最终规则，ce必须在发现违规之日起不迟于60个日历天内“不合理延迟”通知受影响的患者。无论受泄露影响的个人数量如何，此要求都是强制性的。

但是，影响500人或500人以上的违规行为需要通知卫生与公众服务部(HHS)部长和为州或辖区服务的主要媒体(例如，在整个州每天发行的主要大众利益报纸)。影响少于500人的违规行为需要在每个日历年结束后60天向卫生与公众服务部部长发出年度通知。

Pabrai说，企业应该注意到，尽管HITECH规定了60个日历日的时间表，但一些州的规定要严格得多。例如，在加州，企业必须在5天内通知州政府机构。国家法规在通知门槛和执行方面也可能更加严格。帕布拉伊补充说:“无论数据泄露影响的是5个人还是500个人，你都必须通知州政府机构。”
OCR表示，向个人发出的违约通知应包括以下内容:

•对所发生事件的简要描述，包括违约日期和发现日期(如果已知);

•对涉及违规的无担保PHI类型的描述(例如，姓名、出生日期、地址)(ce不应包括实际被泄露的PHI);

•个人应采取的任何措施，以保护自己免受泄露造成的潜在伤害;

•简要说明行政长官在调查违规行为、减轻损害和防止未来违规行为方面所做的工作;和

•与谁联系有问题或获取更多信息。

Pabrai说，当一个组织不能确定哪些具体信息被泄露，但对数据类型有强烈的怀疑时，最好对患者公开和诚实地告知可能被泄露的信息。他补充说，考虑向患者提供你发送给OCR的违规通知表单的摘要是个好主意。

OCR临时最终规则还规定了通知方法，包括当组织没有足够的联系信息时，当信息过期时，以及当受影响的个人死亡时该怎么办。

AHIMA提供了一个模型违约信，其中包含了OCR临时最终规则中概述的所有要求http://library.ahima.org/xpedio/groups/public/documents/ahima/bok1_045987.pdf。

梅拉米德说，不要忘记BAs以及他们在违规通知过程中可能扮演的角色。首席执行官需要知道广管局是否以及何时负责违规通知。他说，这将取决于违规的具体情况，以及行政长官与广管局之间存在的合同。

梅拉米德指出:“尽管假定受保护的实体对发生的违规行为负有主要责任，但在我看来，我认为OCR并不关心[哪个实体实际上通知了个人]，只要个人及时被告知，并且[ce或ba]采取行动减轻、纠正和通知即可。”“医疗高管们的问题是，谁将为此负责。”

减轻
Pabrai说，组织必须清楚地说明他们正在采取哪些措施来保护员工的声誉，并防止负面的经济后果。这通常包括向受影响的个人提供免费的信用监控服务。

根据OCR，组织越早通知个人个人信息泄露，个人就越容易减轻因暴露敏感医疗信息而造成的尴尬。

修订的政策和程序草案
Pabrai说，组织应该制定一个包含这些步骤的违规管理政策，并进一步建立全面的事件响应计划。HIM专业人员应与IT部门密切合作，确保所有与违规管理相关的政策和程序都反映HITECH的要求。

Pabrai表示，有效的数据泄露管理政策应包括以下三个要素:

1.发现:组织将如何识别已发生的违规行为?组织是否采取主动措施来检测漏洞?是否部署了安全控制以提醒人们丢失笔记本电脑或设备?

底线是，组织必须能够尽快确定何时发生违规行为。帕布拉伊说:“如果在泄露日期和发现泄露日期之间有很大的差距，这对联邦和州当局来说是一个信号，表明该组织不具备及时确定泄露发生的能力。”“重要的是，发现过程要考虑到组织可能已经实施的安全控制类型，以便及时发现漏洞。”

例如，组织可以运行周报来识别5到7个工作日未访问的笔记本电脑。Pabrai说:“警报会被触发，然后部门会对设备的状态进行验证，看看它是否丢失或被盗。”

2.报告:组织将如何收集有关入侵的信息?Pabrai说:“OCR期望组织可能遇到的违规行为有很多具体信息。”“这是一个组织应该管理的报告能力类型，无论他们是否必须向OCR报告事件。”

3.通知:Pabrai说，提前确定哪些实体(如患者、媒体、州或联邦机构)在某些情况下需要通知，并确定这些通知的时间表。还要确定每个实体的联系信息，以便在发生违规时轻松引用这些信息。

专注于便携媒体
组织应该把重点放在便携式媒体上，因为它有导致违规的倾向。

“最简单的一件事就是保护你的笔记本电脑并对它们进行加密，”梅拉米德说。“持有PHI的人需要知道他们需要照顾它，这样别人就不会偷走或丢失它。您需要采取更严肃的方法来处理数据丢失。这实际上是在物理上保护数据。”
然而，在组织进行加密之前，它必须完成一份资产清单，Pabrai说。

创建资产清单可能是一项挑战，而且许多医院没有对其便携式设备进行准确统计，包括现有设备的数量、设备的位置(在哪些部门)以及设备的所有者(由谁来决定存储哪些信息以及如何使用这些信息)。

Pabrai说，重要的是在每个部门确定一个人，他可以指定使用的所有便携式设备，并确保它们被包括在清单中。

他说:“没有这个(清单)，就不可能完成一个包罗万象的加密过程。”“你可能会错过某些设备，然后，如果这些设备丢失或被盗，这将增加组织的风险。”

Pabrai说，也不要忘记员工拥有的设备。组织应该建立由CEO或总裁批准的政策，禁止员工在他们的个人设备上存储PHI。他补充说，将这一政策发布在公司内网，并每周提供提醒，这样员工就能知道公司在使用便携式设备方面的立场。

罗兹说，一些医院选择禁用USB接口，以阻止员工下载和上传PHI。

介入
专家表示，信息管理专业人员阻止违规行为的最佳方式就是继续参与违规管理过程。考虑以下方法，您可以为您的组织的合规性做出贡献:beplay最新备用网站

•为患者提供资源:如果病人怀疑他或她可能是医疗身份盗窃的受害者，倾听他或她的担忧，提供资源，并调查是否发生了导致盗窃的违规行为，Rhodes说。

同样，如果审计跟踪发现患者账户上有可疑活动，请毫不犹豫地给他或她打电话。“很多人都不敢给病人打电话，但在这个时代，你不能不这样做，”罗兹说。“如果工厂怀疑有什么，可以打电话给消费者，询问潜在的可疑活动。这给了你一个直接与消费者打交道的机会，表明你在关注他们。”

•提倡更好的访问级别控制:罗兹说，员工应该只获得完成工作所需的信息。他补充说，要认识到那些被提升或调到新部门的人，因为他们的访问级别可能需要改变。

罗兹说，对于新员工来说，要花时间仔细考虑他们需要访问的具体信息，而不是对他们所在的部门一概而论。当有人离开组织时，立即终止访问。

•倡导更新的安全保障措施:他说:“很多五年前甚至三年前还很好的安全保障措施，现在可能已经不够了。有新的威胁，所以你需要回顾你的威胁和弱点是什么，”罗兹说。“医院需要更强有力的保障措施，以便他们知道确切的时间和日期;他们知道有多少信息被窃取了。他们应该能够知道是内部人员还是外部人员所为。”

•聘请数据完整性专家:Rhodes表示，虽然许多人最初在EHR推出期间被雇用，以确保供应商和其他人准确输入数据并避免重复记录，但他们现在越来越多地关注记录中的异常数据活动。

•审核日志:组织应该定期审查审计日志，以查找任何可疑行为或异常数量的数据活动，并在怀疑存在违规行为时立即审查日志，Melamed说。请密切注意以下事项:

-打破玻璃“数据访问。定期审核这些信息，以确定谁访问了数据以及为什么访问。

—多次访问设备失败。Pabrai说，禁用符合这些标准的帐户，并要求工作人员联系IT帮助台重新激活设备。

-电子病历生成的危险信号，一些供应商可以提供。

•制定健全的培训计划:确保员工明白他们为什么要保护患者数据。“患者数据就像金钱。你不会把它放在外面或无人看管;你来处理吧。当你这样想时，你会非常仔细地跟踪PHI，”梅拉米德说。

Pabrai建议采用主动审计策略，随机审计5名患者和5名员工的访问信息。这应至少每季度进行一次，以确保政策、程序和教育的有效性。

Lisa a . Eramo是罗德岛Cranston的自由撰稿人和编辑，专门研究医疗监管主题、HIM和医疗编码。