7月2016

@Risk-Filled常规
梅勒妮·皮塔
郑重声明
第二十八卷第七期,第24页

不小心通过电子邮件发送PHI会带来严重的后果。

医疗记录的处理和共享是一个关键而敏感的问题,每天都会影响数百万的提供者、患者和付款人。通过电子邮件发送患者记录已经变得司空见惯,但经常被忽视的是,未能加密受保护的健康信息(PHI)直接违反了HIPAA要求,使受保护的实体面临巨大的风险。

虽然不太可能,但在未加密的电子邮件正文中发送或附加的PHI有可能被预期接收方以外的各方截获并使用。通过电子邮件交换记录可能意味着将患者的个人信息和整个病史暴露给那些试图利用这些数据的黑客。因此,发生此类数据泄露的可能性可能会让许多合规官员夜不能寐。beplay最新备用网站

第三方供应商Keais Records Retrieval在获得患者许可的情况下,从医疗保健提供者处收集患者记录。该公司与保险公司/理算员和律师事务所合作,收集医疗、商业和其他类型的记录,以帮助评估保险索赔和诉讼。

Keais每月与全国95,000多名医疗记录保管员合作,索取患者记录。每天有成千上万的患者医疗记录、账单历史、诊断图像和其他相关信息通过邮寄、传真或电子邮件发送到其办公室。电子邮件是一种受欢迎的选择,因为它广泛可用,易于使用,并且具有“发送并忘记它”的吸引力。作为Keais的总法律顾问和首席合规官,我的部分职责是确保我们的员工接受强制性的年度HIPAA培训,并经常被提醒不要将患者记beplay最新备用网站录或其他包含PHI的通信发送到我们的加密环境之外。Keais在安全问题上的强硬立场影响了员工,他们经常指出,我们从记录保管人那里获得PHI信息,可能是在冒着风险通过电子邮件发送这些信息。

在过去的十年里,无论是从商业还是个人的角度来看,人们对电子邮件的依赖都显著增加。皮尤研究中心(Pew Research Center)的数据显示,智能手机比以往任何时候都方便,近70%的美国成年人拥有智能手机。电子邮件已经成为我们日常生活中如此正常的一部分,以至于我们往往会忘记它并不总是安全的。当医疗保健和HIPAA被引入其中时,这是一个特别重要的问题。

保护患者信息
随着医疗保健行业大力推进令人印象深刻的数据交换计划,网络安全仍然是人们谈论的主要话题。当涉及到病人的隐私时,再小心也不为过。虽然有时披露PHI是必要的,但信息通常是通过不安全的方式共享的,这可能会危及患者的个人隐私。当员工和相关供应商之间通过电子邮件发送PHI时,这是一个明显的问题。

医疗记录工作人员和医生在准备包含病人医疗信息的电子邮件时,在按下“发送”键之前,必须深思熟虑。问题在于数据加密,或者说缺乏加密。通过电子邮件传输的医疗记录通常是未加密的。这种情况不仅发生在传输过程中,而且发生在患者记录保存在电子邮件提供商的服务器上时。因此,敏感的医疗信息、社会安全号码和其他对黑客有吸引力的数据在任何时候都是易受攻击的。

医疗信息对黑客来说非常有价值,据波耐蒙研究所称,2009年至2013年间,黑客对美国医疗机构的网络攻击增加了20%。这一增长源于薄弱的机构安全以及健康记录的盈利能力。

与信用卡的欺诈使用可以很快被发现不同,患者和提供者可能需要数月或数年才能发现医疗信息被盗。在黑市上,健康信息的价值是信用卡号码的10到20倍,而且这个数字还在不断上升。事实上,根据咨询和税务公司EY的研究,一份医疗记录的黑市价值从2014年的50美元涨到了2015年的700美元。

在网络窃贼眼中,保险单号码、诊断代码和账单详细信息的保质期很长。如果这些信息落入坏人之手,后果的程度和影响是无法预测的。

HIPAA合beplay最新备用网站规
根据HIPAA,医疗保健提供者有责任确保患者记录的隐私和安全。根据卫生与公众服务部(HHS)的说法,HIPAA的安全规则并不禁止使用电子邮件发送电子PHI (e-PHI)。然而,它确实要求所覆盖的实体实施策略和程序来限制对e-PHI的访问,保护其完整性,并防止未经授权的访问。电子邮件必须经过加密才能符合HIPAA准则。

民权办公室将安全规则解释为适用于电子邮件通信。

根据HHS的说法,“安全规则没有明确禁止使用电子邮件发送e-PHI。然而,访问控制(45 CFR§164.312(a))、完整性(45 CFR§164.312(c)(1))和传输安全(45 CFR§164.312(e)(1))标准要求受保护实体实施政策和程序,以限制访问、保护完整性并防止未经授权访问e- phi。

传输安全标准(§164.312(e))还包括完整性控制和加密的可寻址规范。这意味着受保护实体必须评估其对开放网络的使用,确定在传输过程中保护e-PHI的可用和适当的方法,选择解决方案,并将决策记录下来。安全规则允许e-PHI通过电子开放网络发送,只要它得到充分保护。”

目前,该行业似乎正在与网络犯罪分子进行一场失败的战斗。IT安全公司Redspin报告称,2009年至2012年间,HIPAA数据泄露上升了138%,总共导致2930万份患者记录遭到泄露。更重要的是,这些数字只反映了受hipaa保护的实体实际报告的违规行为。

驻留在服务器上或在传输过程中被黑客攻击的未加密电子邮件可能导致医疗记录泄露,使医院和其他提供商组织面临首次违反HIPAA最高可达50,000美元的罚款的风险。然而,与此类事件往往带来的负面影响、患者信心的丧失和社区善意相比,这是一个很小的代价。

制定行动计划
我们强烈建议员工每年参加一次HIPAA培训课程,这是非常值得的。全年需要讨论和加强的电子邮件政策和程序主要项目如下:

禁止在内部或外部电子邮件中使用患者姓名。使用另一种识别患者的方法,另外,不要在任何电子邮件中包含诸如患者出生日期或个人医疗信息之类的识别信息。如果出于某种原因需要患者姓名,请将其放在电子邮件的正文中(而不是主题行),并确保电子邮件是加密的。

通过禁止在与多个接收者共享PHI时使用分发列表,减少PHI落入坏人之手的机会。PHI只会分发给那些有合法“需要知道”的人。根据这一标准,用于提供信息的分发列表不符合条件。

如果回复的电子邮件的主题行中包含PHI,或者PHI不是医疗记录号、账号或正文中的服务日期,则要求在发送回复之前删除PHI。

如有必要,在整个设施内放置标志或定期向员工发送电子邮件提醒。通过将信息放在前面,遵从的可能性更大。beplay最新备用网站一封提醒邮件可能包括以下内容:“请记住,通过电子邮件进行通信是不安全的。尽管不太可能,但你在电子邮件中包含的信息有可能被截获,并被收件人以外的其他人阅读。”

建议员工像保护自己的隐私一样保护病人的隐私。建议员工在撰写或回复电子邮件时,一定要问:“是否有意外泄露PHI的风险?”

帮助保护PHI的工具
当涉及到保护电子邮件时,医疗保健组织有几种可供选择的方法,包括:

考虑注册一个安全的、符合hipaa的电子邮件应用程序。如果必须使用电子邮件与第三方通信PHI,则安全电子邮件应用程序将通过使用安全通道发送这些电子邮件来保护通信。

使用符合hipaa的患者门户。下次第三方请求患者记录时,询问是否可以通过符合hipaa的门户发送信息。这种方法有几个优点,包括它和传统的电子邮件一样快捷方便;接收人可以立即查阅医疗记录;没有邮费,不需要复印,也不需要刻录cd(减少了时间和成本);而且它非常适合处理大量请求。

手动加密传输的文件。如果不能同时使用患者门户和符合hipaa的安全电子邮件应用程序,则必须加密并避免在电子邮件文本中提及PHI。虽然这个选项既耗时又容易出现人为错误,但它比什么都不做来保护患者文件要好得多。

即使可以选择加密电子邮件,最好的解决方案还是通过hipaa认证的门户,它提供了确保患者隐私所需的加密,同时提供了一种简化且高效的PHI交换方式。另外,它是负担得起的。

行业必备产品
在医疗保健行业,电子邮件的使用似乎不会很快减少。这是一种奇妙的交流方式,但就像任何工具一样,它必须受到尊重,因为它有泄露私人敏感信息的能力和潜力。诚然,在医疗保健中使用电子邮件比在其他行业中需要更多的努力和保护措施,但是加密、安全应用程序和患者门户使得与适当的各方方便地共享患者数据成为可能,同时最大限度地降低风险。

- Melanie Pita是Keais Records Service的总法律顾问和首beplay最新备用网站席合规官,在那里她还领导产品开发和战略。在加入Keais之前,她花了十多年的时间担任医疗事故辩护律师。