2月2017

优先考虑患者隐私
苏珊·查普曼
郑重声明
第二十九卷第二页

创建问责制和正确性的文化可以帮助组织保护受保护的健康信息。

随着医疗保健组织改变其隐私文化，他们必须找到方法在整个企业中推广新的隐私标准，并鼓励员工共享保护患者数据的共同目标。

提高认识
侵犯隐私的行为可能以各种方式发生。例如，员工可以出于患者护理以外的目的访问医疗记录，或者在公共场合讨论患者。对员工进行教育有助于保护隐私，遏制此类事件。

“当我谈到隐私和安全意识时，我希望一个组织内的所有团队都能相互交流，因为这是共同的责任，”MBA、CHPS、CISA、BizWit负责人罗伯特·布热津斯基(Robert Brzezinski)说。“我们必须保证隐私、安全和合规。beplay最新备用网站我们认为人们理解病人隐私意味着什么，但他们的理解可能非常肤浅。我们必须使用讨论、海报和其他提醒来教育人们，促进良好的隐私和安全行为，我们需要一些技术来监控行为。”

Haystack Informatics的首席执行官Adrian Talapan表示，企业已经越来越意识到隐私问题。他说:“我们所看到的是，医院和其他医疗机构在隐私方面似乎有所改善。”他们在电梯和走廊上张贴告示，提醒员工不要在公共场所讨论病人的信息，以此来强化这在员工心中的重要性。我们正在帮助他们创造一种文化，将病人的隐私内化为日常生活的一种方式。员工必须清楚地了解这是什么。”

Talapan建议公司采取五个步骤来解决隐私问题。“发现、调查、报告、教育和预防。我们(Haystack Informatics)在前三个阶段帮助医疗机构，这样他们就有了教育员工的诀窍，并最终防止更多隐私侵犯的发生，”他说。

严重的后果
布热津斯基建议组织采取基本的隐私教育方法。他说:“我告诉员工要考虑自己的家庭环境，因为70%到80%的基本隐私和安全意识培训内容适用于家庭环境和个人生活。”“作为房主和家庭成员，你必须保护你的家庭网络、你的孩子或父母免受网络诈骗。我认为将隐私和安全信息与个人生活联系起来可以让人们更好地理解在工作中缺乏隐私或安全的含义。所以，最终，他们会改变自己不安全或不服从的行为。”

布热津斯基认为，重要的是要让人们明白，侵犯隐私可能会产生深远的影响。“有一些公司无法在财务上应对数据泄露，不得不关门大吉。安全事故会影响就业。”“有时人们会故意做坏事，从窃取患者信息中获利。司法部有很多HIPAA强制执行的例子人们因此入狱。不是吓唬人，但这就是事实。如果你违反了这些重要的规章制度，你将承担个人责任。”

Talapan同意，“在基本层面上，你会被OCR(民权办公室)对不遵守规定的人征收罚款。beplay最新备用网站除此之外，您还面临民事诉讼的风险，并有可能为因信息泄露而受到身份盗窃影响的患者支付保护计划的费用。然后，如果患者只是听说发生了违规行为，他们就会在其他地方接受治疗，从而导致收入损失。如果患者有能力在多个医疗服务提供者中进行选择，他们就会把自己的健康需求带到一个没有违约的负面耻辱的地方。

“财务影响非常大，”他继续说。“最重要的是，这关系到卫生系统的声誉。如果你考虑一下建立一个品牌所需要的时间和营销资金，那么违背信任可能对商誉造成的损害是巨大的。”

技术的作用
布热津斯基认为，医疗信息技术的普及使维护患者隐私的努力复杂化了。“组织始终采用不同类型的技术。我们必须让终端用户了解技术，以及它如何影响安全和隐私，”他表示。“人们看到了新技术的功能和便利性，但不了解便利性解决方案的一些含义。”

以云存储为例。员工可能会使用Google Drive或Dropbox等主流技术来存储文档。“我们都有过这样的经历。有时你必须完成一个项目，并与你正在合作的人分享文件，”布热津斯基解释说。“但如果员工使用的是消费级解决方案，而这些解决方案没有必要的安全保障，那么他们就不知道还有谁在登录该驱动器并使用该解决方案。

“从更技术性的角度来看，一些消费级解决方案不提供针对恶意软件的保护，而且消费级解决方案没有内置的版本控制。因此，如果计算机被勒索软件感染，文件会自动与云存储同步，云中的这些文件也会被加密，最终丢失。”

布热津斯基表示，企业云解决方案和消费者云解决方案之间存在显著差异。“用户并不总是理解消费级工具的陷阱，也不知道哪些是被认可的解决方案。他们可能会在没有事先与安全官员核实的情况下就直接采取解决方案。这就产生了一个问题。”“然而，云解决方案可以是安全和兼容的;一些云供应商将签署业务合作协议，或将业务合作协议纳入许可协议。”

此外，联邦风险和授权管理计划(FEDRAMP)批准了许多云解决方案供应商，供联邦、州和地方政府使用。而且，像微软和谷歌这样的大公司一样，fedramp批准的供应商利用签署BA协议和满足HIPAA标准的能力作为竞争优势。

Talapan说，随着众多医疗设备连接到网络，这为不法行为创造了成熟的环境。“一切都在朝着更加自动化和电脑化的方向发展。谁会在意这些信息?”他问道。“谁能确保只有合适的人才能访问数据?”医疗保健行业与金融行业不同，后者有严格的访问控制。你期望并希望医院允许急诊科医生与抽血医生合作。你希望这些员工只访问必要的信息。”

内幕违反
根据布热津斯基的说法，发生在组织内部的违规行为分为以下两类:

•意外事件;当员工没有完全理解或没有注意到安全和隐私问题时，就会发生这种情况-例如，将电子邮件或传真发送给错误的收件人。

•恶意事件;旨在通过披露信息造成伤害或创造经济利益。税收、保险和处方欺诈属于恶意意图的范畴。

塔拉潘解释说:“内部入侵可能只是一个护士想看看他的邻居有什么问题，然后开始查找相关信息。”“或者一位在儿童医院工作的母亲正在查看她十几岁女儿的医疗记录，以了解更多细节。”

布热津斯基说:“人们有时根本没有意识到他们的行为违反了隐私规则。“他们不明白，在没有必要的情况下，他们不应该查看记录，这就是第一类内部入侵可能发生的原因。然而，第二种类型的违约是不同的。例如，有一个IT管理员持有数据勒索赎金的例子，或者有访问保险信息的个人使用它来提交虚假的纳税申报表，以从中获利。”

虽然一般公众倾向于听到大型组织中的违规行为，但仍有许多未公开的小事件可能只影响一位患者。布热津斯基说:“例如，在新泽西州，一名医院员工透露了一名青少年企图自杀的信息，这导致了欺凌。”“还有一个事件是，一名员工在Facebook上发布了一名女性的HPV诊断结果，帖子下的评论都在骂这名女性。这种破坏给当事人和他们所爱的人带来了很多情感上的痛苦。在很多情况下，这些行为的目的是伤害其他人，这是不应该发生的。”

“员工接受的培训是只查看他们需要照顾的病人的信息。他们应该没有理由去看那些他们不提供照顾的人，”塔拉潘说。“这就成了一个问题，尤其是当贵宾入场时。医院通常会给那个人起一个新名字，甚至是一个诱饵病人。”

虽然内部漏洞的普遍程度不容易衡量，但有一些工具可以帮助组织更好地了解。布热津斯基说:“我使用的是每年4月发布的Verizon数据泄露调查报告。“各组织向威瑞森报告了他们全年的数据泄露事件。这是一个备受尊重的资源。在2016年的报告中，约77%的违规行为可归因于内部人员或特权滥用类别。医疗保健是受这类违规行为影响最大的行业之一。”

布热津斯基说，OCR的“耻辱之墙”列出了影响500多人的攻击行为，但没有详细说明攻击是内部的还是外部的。他说:“OCR并没有内部人员入侵的分类，但我研究了被描述为‘未经授权的访问和披露’的事件，目前这一比例约为22.7%，这些事件通常与内部人员有关。”“我研究了‘损失’和‘处置不当’类别的事件，这两类事件分别占所有报告事件的8.5%和3.7%。这些也可能是内部人士造成的。如果你把这些类别加起来，它们相当于内部人员造成的违规行为的35%左右。这是一个重要的数字。”

防止内部入侵
对员工进行培训是减少内部攻击的最有效方法之一。布热津斯基说:“就像洗手和清洁针头成为安全医疗环境的普遍做法一样，在保护数据方面，对用户进行身份验证也是如此。”“知道谁在访问健康信息对病人和企业都有好处。大多数时候，这只是一个不明白什么是对的，什么是错的问题，这就是为什么教育是如此重要。

布热津斯基继续说:“我们还必须运用最低限度的必要规则。“在医疗保健领域，你不需要获得所有的信息，只需要获得完成工作所必需的信息。人们需要知道有人在监视。这与不信任无关。它是关于检查组织的行为和实践。我们有监控工具来提供报告和总结日志或行为数据，但我们也必须理解数据代表什么。如果我们得到错误的数据或报告，或者如果它们被错误地解释，我们可能会危及某人的工作。因此，我们也必须监视监视者。”

有效的密码
布热津斯基说，密码是一个持续存在的问题，几乎没有得到补救的迹象。他说:“我们需要技术解决方案来确保密码具有所需的强度，但我们也必须为用户提供工具和技术来维护他们可以使用和使用的密码。”“我们必须让用户选择使用密码管理器。然后，他们只需要使用三到四个他们需要记住的密码。有些密码是随机的，所以我们会把它们保存在密码管理器或密码库中。当你意识到你只需要记住几个密码时，就会容易得多，比如你的设备密码、密码管理器密码，或许还有银行密码。”

布热津斯基建议医疗机构采取措施确保密码的强度。“一些公司的政策要求密码长度为12到14个字符。我建议使用一个密码短语，而不仅仅是一个密码，并使用密码填充。”“你可以结合这两种技术，轻松满足几乎所有密码要求。填充基本上是通过在密码短语中添加相同的字符来扩展密码长度。例如，在短语的中间或末尾加上三个感叹号将使您能够使用一个简短且令人难忘的密码短语，并以易于回忆的组合满足密码长度和复杂性要求，例如Robert777777。”

塔拉潘和布热津斯基都认为，采用生物识别技术——如指纹识别器和面部识别技术——来取代只有密码的设备，可以加强安全工作。“扫描指纹可以使[安全]变得容易，”布热津斯基说。“一些组织拥有这项技术，但没有花时间配置设备。面部识别也让它变得容易。两者都提供了强大的安全性和便利性。”

塔拉潘补充说:“这个话题已经分析了15到20年。我看到一些机构使用两步或三步流程的信用卡。如果员工离开电脑几分钟，他们就可以用一张卡登录，而不用密码。

“而且，我同意，生物识别或面部识别都更好，”塔拉潘继续说道。“技术将会出手相救，但可能不会马上出手。”
创建过于严格的密码规则的组织可能会无意中造成另一个问题。限制性安全策略可能会导致用户沮丧，从而导致有风险的解决方案。例如，登录系统非常困难，以至于用户在不应该登录的时候仍然登录。“因为密码还会在这里存在一段时间，我认为密码必须是员工能记住的东西。我们不希望人们把东西写下来，然后把它们放在电脑附近或电脑上，因为它们太复杂了，”塔拉潘说。

“所有这一切的最终目标是保护病人的隐私，”他继续说。“这是关于做正确的事，创造一种问责和正确的文化。”

-苏珊·查普曼是洛杉矶的自由撰稿人。