2009年6月22日

医疗身份盗窃:真正的无名氏会站起来吗?
安妮·马西奥斯
郑重声明
第21卷第13页

近年来越来越普遍的犯罪行为在金钱和声誉方面可能会付出相当大的代价。

在当今的医疗保健环境中,医疗身份盗窃已经成为一个从各个角度打击医疗服务提供者的问题——内部、外部以及两者之间的任何地方。企业必须比以往任何时候都更加警惕识别和防止身份泄露,此外,还必须知道一旦发生泄露如何应对。

AHIMA的实践领导主任Harry B. Rhodes, MBA, RHIA, CHPS, CPHIMS, FAHIMA参加了由卫生信息技术国家协调员办公室(ONC)和联邦贸易委员会(FTC)主办的市政厅会议,讨论了医疗身份盗窃,其流行程度以及检测和预防的解决方案。

罗兹指出,在此之前,监管机构并没有花太多精力追踪医疗身份盗窃的发生率。然而,来自市政厅会议的信息表明,每23名身份盗窃受害者中就有一人是医疗身份盗窃的受害者。然而,联邦贸易委员会报告说,它在1992年至2006年期间仅收到19,482起医疗身份盗窃投诉。

罗兹说:“大多数人都不会想到给联邦贸易委员会打电话投诉。据估计,2005年报告的8300万身份盗窃受害者中,有3%是医疗身份盗窃。“这是增长最快的犯罪。大量与毒品有关的犯罪正在转向医疗身份盗窃,”罗兹说。

监测服务公司HealthCare Insight的总裁巴里•约翰逊(Barry Johnson)援引的统计数据显示,病例数从2005年的25万例上升到2007年的36.3万例。他说:“毫无疑问,这是一个日益严重的问题,因为比以往任何时候都有更多的人可以获得更多的信息。”

违法者的类型
罗兹指出了四种类型的医疗身份盗窃:一次性、内部人士、有组织犯罪和寻求毒品的行为。

一次性盗窃通常涉及一个人允许亲戚或朋友使用他们的保险卡。它也可能导致彻底的盗窃卡或出售或租用卡。罗兹提到了一起事件,一名不会说英语的墨西哥男子向一家机构自称为约翰·奥马利(John O 'Malley),这有力地表明身份证是借来的。“通常情况下,人们不会举报一次性盗窃,因为他们同情那些被迫采取极端手段获得医疗服务的病人。但人们对此的态度开始发生变化。”

当医院员工被外部人员接触以窃取健康保险信息时,就会发生内部盗窃。犯罪分子经常瞄准那些急需用钱的员工,比如需要偿还赌债的员工。如果足够绝望,员工会提供医疗身份以换取现金。

据美国联邦贸易委员会称,一张社会保障卡在街上价值1美元,而被盗的医疗身份证每张价值25至50美元。罗兹说:“它们更有价值,因为窃取你的医疗身份信息并对你的保险范围提出虚假索赔要容易得多。”“一般的保险卡通常非常简单,上面只有你的名字——没有照片,没有信用卡那样的电脑芯片——所以与信用卡盗窃相比,它更容易被盗取和提交虚假索赔。”

经济效益也更加丰厚。“现在信用卡限额通常是2万美元,甚至更少。但保险的终身福利是数百万美元。医疗身份盗窃的受害者往往意识到,他们的医疗身份被盗时,他们的福利被拒绝,因为他们已经达到了极限,”罗兹说。

有组织犯罪在医疗身份盗窃诈骗中变得更加突出。在一个案例中,一个犯罪团伙训练年轻女孩当接待员,教她们如何寻找合适的目标病人。那些年老体弱、患有痴呆症、没有监护人的人是理想的棋子。一旦受害者的身份被盗取,犯罪分子就会提出保险索赔——通常索赔金额不到1万美元,这个金额不会被美国国税局(Internal Revenue Services)发现。罗兹说:“这些人不断地移动,为了避免被发现,他们在诊所里只呆90天左右。”

司法部和卫生与公众服务部最近在迈阿密破获了一个医疗身份盗窃团伙,该团伙设立虚假的医疗服务提供者,或向个人支付费用,让他们建立虚假的业务,犯罪分子从这些业务中提交虚假的索赔。

小偷偷盗保险卡的另一个动机是,他们可以在街上买到毒品,然后变现。这种行动的一个副作用是,许多受害者后来在合法用途使用保险卡时被错误逮捕。罗兹说:“犯罪分子一旦获得了这些信息,他们就会一次又一次地出售。”

造成的损害
医疗身份盗窃给医疗机构造成的损失存在于多个层面。医疗欺诈每年造成的经济损失在700亿至2550亿美元之间,占美国医疗支出总额的3%至10%。即便如此,约翰逊认为这些数字低估了问题。

罗兹说,医疗身份盗窃也为打击虚假索赔增加了新的开销。他说:“从财务和时间上来说,联邦贸易委员会表示,每次事件发生后,清理记录需要5到20个小时,每条记录的成本为182美元。”

此外,医疗机构也开始聘请医疗身份盗窃专家。许多公司正在创建数据完整性专家的职位,这些人不仅通过纠正电子健康记录中的错误信息来确保数据完整性,而且还监视医疗身份盗窃的迹象。

负面的客户关系也是医疗身份盗窃的副产品。消费者对医疗保健提供者的要求很高,他们不希望自己的信息和身份被泄露。

滥用的线索
为了防止和检测医疗身份盗窃,医疗保健实体必须进行风险评估。ONC政策和研究办公室主任乔迪·丹尼尔说:“这是一个重要的初步步骤,在医学身份盗窃研究和由ONC推动的市政厅中不断出现。”“每个实体可能有不同的方法来成功降低这种风险,但它可能包括管理政策、技术能力、物理保障和技术。”

罗兹说,医疗服务提供者可以采取许多预防措施,包括制定一个有组织的计划来解决医疗身份盗窃问题。此外,他们必须对其他来源的线索保持警惕。他表示:“他们必须向对账单有疑问的消费者敞开大门,并有一套流程,让消费者很容易就可能的违规问题来找你。”

罗兹还建议医疗服务提供者注意那些与患者病史不一致的记录,即所谓的重叠记录。也要警惕那些没有保险卡就知道自己保险号的病人。

罗兹提到了一个例子,在努力保护身份方面,一个机构使用数字扫描仪扫描驾驶执照和身份证。然而,它没有在扫描仪上设置适当的安全控制,小偷能够潜逃其中的内容。

不寻常的账单模式是医疗身份盗窃的另一个迹象。罗兹说:“编码人员会很好地跟踪drg(与诊断相关的群体),但如果他们开始看到异常大量的病例,他们就应该对此提出质疑。”关键是要迅速展开调查,因为小偷逗留的时间通常不会超过90天。

预防措施
医疗身份盗窃是一个隐私和安全问题,在回应违规行为时,罗兹谈到了“闭环”来帮助解决这个问题。这个过程包括加密文件、执行文件审计,甚至采用指纹扫描等措施来正确识别患者。

“首先做一个风险评估,以确保你知道你的系统中有什么,”罗兹说,呼应丹尼尔的建议。他建议,如果出现违规行为,应该有适当的触发机制,包括一个安全响应团队。

实施指纹扫描,随着技术价格的下降,指纹扫描越来越受欢迎,手掌静脉扫描是其他身份盗窃威慑手段。然而,罗兹指出,这些机构仍然必须保持警惕,保护这些数据库,否则这些技术就毫无用处。

访问管理——谁有权访问哪些信息——是阻止潜在窃贼的另一个关键组成部分。当员工被解雇时,授权通常会立即取消。然而,罗兹警告说,当员工自愿辞职时,企业也一定要停止使用密码和授权。在这些情况下,IT并不总是及时得到通知。

提出和接受索偿要求和存放支票的人员的职责分离也是一项有用的保障措施。此外,对员工的背景调查应该在他们的整个职业生涯中定期进行,因为个人情况在雇佣过程中经常发生变化。

Johnson说,作为致力于帮助医疗保健支付者(如保险公司、第三方管理人员、健康计划)识别虚假索赔的一部分,组织应该警惕那些与患者年龄和病史无关的索赔。他说:“身份共享远比我们愿意相信的要多。”特别是在医疗补助接受者中。

约翰逊建议医疗服务提供者遵循一些常识性原则,以帮助减少医疗身份盗窃的发生率。首先,在提供护理时,一定要向患者索要身份证,并将其与带照片的身份证进行比较。他还建议付款人采取更积极的措施,例如对数据处理程序进行背景调查,将患者的身份信息存储为电子健康记录的一部分,不使用以任何不必要的方式识别患者的医疗保健信息,并妥善销毁纸质和电子医疗记录。

Johnson说,从技术的角度来看,医疗保健组织必须按照HIPAA的规定使用多种保护措施。他说:“确保每30天更换一次密码,限制员工的权利和对患者个人健康信息的访问。”“所有付款人都必须有这些保障措施,这应该会限制个人健康信息的暴露。”

技术在维护安全方面发挥着重要作用。Daniel说:“我们相信,信息技术在医疗保健领域的使用增加,可以通过加强安全性来提高防止医疗身份盗窃的能力,并通过帮助实体识别异常活动(例如请求和提供的医疗服务不一致)来检测医疗身份盗窃。”她补充说,同样重要的是要认识到,入侵可能来自有权访问信息的“内部人士”。基于角色限制访问的策略和技术可以减少这类风险。

报告违规行为
如果发生违规,设施应如何应对?罗兹说,首先,确定并阻止源头。在这一点上,必须阻止罪犯使用这个身份。

接下来,收集有关违规行为的证据。44个州有违规报告法;然而,人们往往对报告违规行为感到焦虑。罗兹解释说:“如果你不知道你在保护什么——因为你没有做适当的风险评估——那么你就不知道什么被盗了。”“如果你没有良好的流程,没有做适当的清单,不能确定是否发生了违规行为,你可能会失去信誉。”

《美国复苏与再投资法案》的措辞表明,你必须“在60天内对违约做出回应”。罗兹说:“从你发现漏洞的那一刻起,时间就开始滴答作响了。”“如果没有明确的程序和明确的调查方式,很难在60天内完成调查。此外,如果超过500个人的身份被泄露,你必须向卫生与公众服务部发出通知,所以你最好没有错。”

在每次违规之后,设施必须执行安全响应评估,并采取措施改进安全实践。“很多人会说,‘我们的设施发生这种情况的几率有多大?’我告诉他们,‘当它发生在你身上时,它100%是发生在你身上的,’”罗兹说。

如果HealthCare Insight发现个人健康信息被泄露或发生了违规行为,则必须通知付款人,付款人必须通知联邦政府。“现在,还有一项要求是,信息被盗的患者必须得到通知。以前,病人必须询问,但法律最近改变了,”约翰逊说。

在市政厅会议上,罗兹惊讶地得知犯罪分子窃取信息和提交虚假声明是多么努力。“他们在寻找公司的弱点。如果犯罪分子发现了漏洞,他们就会卷土重来,再试一次。”

丹尼尔说,虽然犯罪分子坚定不移,但医疗机构必须以同样的热情迎接挑战。她说:“管理这种风险的最佳方法是防止数据泄露的发生,并提前制定政策,比如事件响应计划,以便在发生数据泄露时能够迅速做出反应。”

安妮·马西奥斯是宾夕法尼亚州多伊尔斯敦的自由撰稿人。