2010年6月7日

负面的曝光
爱丽丝·谢泼德
郑重声明
第22卷第11页

工作人员和其他人可能使用手机摄像头，这迫使医院把重点放在如何最好地保护病人的隐私上。

“每当医护人员为病人拍照时，他或她总是应该使用机构拥有的设备，因为这样照片属于机构，而不是医护人员。”

2009年2月，位于威斯康星州日内瓦湖的Mercy Walworth医疗中心。据悉，两名护士用手机摄像头拍摄了一名病人的x光照片，并将其上传到互联网上。今年2月，佛罗里达州马丁纪念医疗系统公司(Martin Memorial Health Systems)的几名员工和其他人涉嫌在急诊科用手机相机拍摄了一名鲨鱼袭击受害者的伤口，该受害者后来死亡。在对可能违反HIPAA的行为进行调查后，医院将其归咎于判断失误，而不是恶意。纪律处分的范围从书面警告和停职到降职和对护理专业学生的学术留校察看。没有人被解雇。

这两起事件处理方式的不同，引发了人们对手机摄像头使用的严重质疑。HIPAA有什么规定?没有具体;这些规定似乎没有区分不同类型的电子设备。然而，照相手机很可能被包括在电子媒体的广义定义之下:“电子存储媒体，包括计算机中的存储设备，(硬盘驱动器)和任何可移动/可移动的数字存储媒体，如磁带或磁盘，光盘或数字存储卡;用于交换已在电子存储介质中的信息的传输介质。传输媒体包括，例如，因特网(开放的)、外联网(使用因特网技术将企业与只有合作各方才能访问的信息连接起来)、租用线路、拨号线路、专用网络和可移动/可运输电子存储媒体的物理移动。某些传输，包括通过传真的纸质传输和通过电话的语音传输，不被认为是通过电子媒体传输，因为在传输之前，所交换的信息并不以电子形式存在。”HIPAA关于披露受保护的健康信息的部分列出了许多必须删除的项目，其中包括“全脸照片和任何可比图像”，以使个人健康信息无法识别。

综上所述，我们可以肯定地认为，用手机相机拍摄病人和健康记录违反了HIPAA的隐私。那么，医疗机构及其员工可以做些什么来避免损害其声誉的事件呢?

从明确的政策开始
“随着手机摄像头和录音机等设备的普及，侵犯隐私和随之而来的伤害的风险大大增加，因为从手机上上传图片和音频文件很容易，”帕特里夏·马库斯(Patricia Markus)说，他是东南律师事务所史密斯·摩尔·莱瑟伍德律师事务所的律师。“当照片或记录的硬拷贝被交给未经授权的人查看时，隐私风险可能会降低，因为可能只有一个未经授权的人接触到这些信息。”

安全公司Accuvant风险与合规管理业务总监道格•兰多尔表示:“随着新威胁和新技术的出现，受保护的实体需要不断完善其整体隐私和安全计划。”beplay最新备用网站“具体来说，四个步骤应该已经到位，并且应该更新以包含新的发展:政策、培训、正式观察和控制测试。”

医疗工作者可以轻松携带的便携设备的优势应该迫使医院管理层重新审查其员工章程。

“每个机构的高管、隐私和风险管理人员以及法律顾问都需要审查他们的政策，包括哪些内容，以及如何执行，”移动健康倡议公司(mHealth Initiative, Inc)总裁、《移动设备健康信息管理与安全》(Management and Security of Health Information on Mobile Devices)一书的作者克劳迪娅·特西尔(Claudia Tessier)说。“有些情况下，出于临床合理的原因，拍照(比如病变)是必要的，治疗过程有时会被录下来。问题在于，手机摄像头已经无处不在，一名员工可能会不假思索地拍下另一名员工的照片，而没有意识到背景中有病人。当然，也有可能是员工故意为名人或他们在社区认识的人拍照。重要的是要有一个明确的政策，区分什么类型的照片是允许的，什么类型的照片是不允许的，并在各级沟通政策。”

如果要改变行为，任何政策都必须组织良好，易于理解。它还应该是灵活的，因为绝对的政策很难执行。Tessier指出:“无论出于何种原因禁止使用手机，这种下意识的反应都不会导致强制性的政策。”她建议，比起禁止使用手机，更有效的方法是确保患者的隐私不因拍照而受到侵犯。一旦真正的问题被弄清楚，就有可能制定有意义的政策、程序、执行、制裁、教育计划和管理计划。

Landoll建议禁止未经授权使用照相手机，允许灵活地使用经过批准的应用程序妥善保护医院拥有的相机。此外，如果在某些地区允许拍照，而在其他地区不允许，则应清楚地张贴限制条件，这就需要在执行政策时加倍努力。

马库斯说:“人们对手机照片的部分担忧在于谁拥有或控制这些照片。”“每当医护人员为病人拍照时，他或她总是应该使用机构拥有的设备，因为这样照片属于组织，而不是工作人员。即使是在病人授权下拍摄的合法工作照片，工作人员也不应该使用个人手机，因为那样的话，拥有并控制照片分发的是工作人员。除非工厂能确保照片从工作人员的手机中删除，否则照片仍有可能被不恰当地发布给没有权限看到它的人。拥有摄像机或视频或音频设备的设施应确保一旦照片或录音被放置在适当的患者记录中，就从设备中删除。医院的摄像头通常没有内置电子邮件传输设备，因此使用这些摄像头带来的隐私风险较小，但有些医院出于正当理由允许加密传输用医院自带摄像头拍摄的照片。”

不要让访问者感到沮丧
来访者给病人拍照怎么办?“政策在这方面各不相同，”Tessier说。“据我所知，病人的家人不在医院的管辖范围内，但这并不意味着医院不能有禁止他们拍照的政策。但再一次，执行起来可能很困难。当然，来访者应该被提醒，只给来访者拍照——即使是这样，也要礼貌地询问他们。”

马库斯说，防止游客拍照的后勤工作可能会变得难以监控。她指出:“你需要在每个房间都安装摄像机，禁止新爸爸给妈妈和孩子拍照。”“然而，医院应该考虑是否以及在什么情况下允许使用拍照手机，制定明确的使用拍照手机的政策，并将这些政策清楚地传达给每个来医院的人，包括病人和家属。”虽然完全禁止使用手机可能无法强制执行，但在决定是否允许使用一些照相手机时，医院应考虑到有人可能想要拍照以记录病人没有得到适当照顾的可能性。为了让患者了解手机使用规定，许多机构在登记时提供表格，并在机构的公共区域张贴标志或声明，概述相关规定。”

兰多尔说:“如果来访者在得到允许的情况下只能为自己的家人拍照，医院的责任可能会少一些。”“但游客们也可能会忍不住在急诊室里给名人或有‘有趣’伤口或情况的人拍照。显然，这是不应该被允许的。再次强调，明确允许和不允许的行为是必要的。”

谁负责制定政策?
Landoll说，在网上发布政策模板从来都不是一个好的做法，因为通用的、千篇一律的政策是软弱的，不会被认真对待。相反，策略应该与业务使命保持一致，为组织量身定制，并针对特定的工作进行解释，以便人们确切地知道它如何适用于他们。“政策总是要从高层开始。如果它从底层开始，没有管理层的支持，它很快就会成为束之高阁。”“即使隐私官或独立顾问撰写了政策，也必须经过医院管理部门的审查。多设施系统可能需要一个适用于所有地点的常见问题的基线政策，以及针对特定环境或独特地点相关问题的附加或更具体的政策。”

有时候，组织会聘请顾问来制定政策，但Markus认为，医院应该制定自己的标准，因为他们知道在自己的文化中什么是有效的，什么是无效的，也知道每天都有哪些人在医院。她建议，任何涉及隐私法等合规问题的政策都应由熟悉相关问题的律师进行审查，以确保没beplay最新备用网站有任何遗漏，并且措辞允许设施有效执行政策。

用训练来支持它
如果医院员工被问及是否允许给病人拍照，大多数人可能会说不允许。问题是，用手机拍照已经成为很多人的第二天性，他们可能不假思索就这么做了。这就是培训可以帮助提高意识的地方。

Tessier说:“在制定政策时不提供理由和教育，即使不是徒劳的，也是令人沮丧的。”“政策必须得到培训的支持，以确保所有员工、承包商和机构内的其他工作人员都明白，从临床角度来看，拍摄不合法的照片是违反HIPAA的。这个问题可以通过HIPAA项目、关于病人关系的研讨会或员工培训来解决。偶尔提醒一下，比如通过时事通讯，也无妨。教育不会完全消除这个问题，但至少能解决这个问题。”

马库斯说，组织不仅需要教育自己的员工，还需要教育其他在医院工作的人，包括住院医生、志愿者、紧急服务人员、物理工厂承包商、律师、会计师，以及每天进出医院和可以进入病人护理区的任何人员。机构可以为志愿者和现场供应商员工设置培训，并与医学院安排培训，以教育居民。供应商也可以被要求签署一份保密协议，其中包括该设施关于拍照手机使用的政策。

Landoll提醒各组织更新他们的安全意识培训，以解决手机摄像头、录音机和视频设备的问题。他还建议通过社会工程提高安全意识培训。他说:“当培训呈现的是人们以前听过的枯燥信息时，效果并不好。”为了让它更有趣，在上课前两周做一个社会工程实验。尽量找出泄露病人信息的地方。例如，打电话给行政办公室说:“我没有收到你要发的传真。”这是我的电话号码。在发送传真之前，看看员工是否遵循了正确的流程。如果你在意识训练中讨论这些实验的结果，人们就会开始关注并提高他们的勤奋程度。”

培训的数量和频率取决于组织的复杂性、其政策以及接触患者或个人健康信息的人员的角色。兰多尔说:“HIPAA要求员工每年进行一次培训，但想要改善企业文化的组织可能需要更频繁地进行培训。”“在低端，组织要求员工每年登录一次20分钟的电脑模块。甚至在最后做个小测验也能稍微改善一下。现场培训要有效得多，尤其是在最近的社会工程实验支持下。”

“教育应该得到书面政策的支持，”马库斯说。“为了保护隐私免受侵犯，应该有关于手机摄像头使用的政策，人们可以阅读、理解并同意遵守，作为他们受雇或与医院合作的条件。”

观察、测试、执行
Landoll建议通过正式观察员工行为来进一步加强政策和培训。他说:“每个月或每季度一次，安全或隐私官应该在大楼里巡视一次，让自己置身于特定的环境中，在这些环境中，他们可能会无意中听到电梯里的谈话，看到放着的传真，或者目睹拍摄或分享照片。”“另一个重要步骤是对控制的实际测试。例如，如果你设计了一项控制措施，禁止某人携带手机进入病人护理区，那就试着带一部手机进去，看看你是否会被询问。”

当有人违反HIPAA而没有后果时，会发生什么?兰多尔说:“如果一个组织不对侵犯隐私的行为进行纠正和制裁，政策就会越来越被忽视。”“如果尽管有强有力的政策，不当行为仍未得到遏制，那么未经授权披露患者信息就会变得更加迫在眉睫。”人们寻找界限;如果你不给他们设限，他们的行为就会慢慢滑落，信息披露的问题就会变得越来越大。这对保护PHI(个人健康信息)是非常危险的。另一方面，如果你采取迅速而有力的制裁，你的企业文化就会得到改善。”

坚持下去
无论制定什么政策，领导层都必须有骨气和权威，使之值得实施。马库斯说:“如果你制定了一项政策，要确保其条款清晰，并且你可以执行它。然后采取积极的措施来执行这项政策，向你的员工和访客证明你是认真的。每个设施都有责任确保他们能够接受这项政策，既不太严格也不太宽松，并且可以始终如一地执行。”

Tessier补充说:“任何政策都必须明确、适当、可执行，并始终如一地执行。”“后果和制裁应该提前确定。”

兰多尔说:“有时候政策和程序会受到批评。“我听到有人说，‘这只是政策;它阻止不了任何事情。“然而，我相信绝大多数员工都想做正确的事，如果你制定了有效的政策并对他们进行了培训，他们就会正确地执行。”如果您不制定明确的政策，不更新政策，或者不认真对待培训，就会导致有问题的实践。Mercy Walworth医疗中心解雇那些据称在网上发布x光照片的护士是正确的，但Martin Memorial[健康系统]对那些拍摄鲨鱼袭击受害者照片的人的反应很弱。我坚信要从政策开始。告诉人们你想让他们做什么，这就成功了一半。”

爱丽丝·谢泼德是南加州的一名企业对企业记者，专门报道医疗保健话题。