首页|订阅|资源|再版|作家的指导方针

9月2014

波士顿数据泄露引发质疑
大卫·耶格尔
郑重声明
第二十六卷第九页

医疗转录服务组织(mtso)每天都要处理敏感的医疗信息。一般来说,他们在维护数据隐私和安全方面做得很彻底。这就是今年早些时候波士顿医疗中心(Boston Medical Center)的数据泄露引起业内许多人关注的原因之一。

在该事件中,医生可以在MDF转录服务公司的网站上访问15,000份患者记录。根据波士顿环球报在美国,这些记录包含了患者的姓名、地址和医疗信息,包括他们正在服用的药物,但不包括社会安全号码或财务信息。

由于mtso处理的数据量很大,数据泄露没有更频繁地发生,这可能令人惊讶。至少,波士顿医疗中心的数据泄露事件提醒我们,数据安全需要时刻保持警惕。

Just Associates的顾问兼首席隐私官苏珊•卢奇(Susan Lucci)说:“如果这还不能给我们敲响警钟,我不知道还有什么可以。”

“转录公司,作为一个整体,访问医院和供应商的一些最敏感的数据。他们正在处理的PHI(受保护的健康信息)非常敏感,需要为商业伙伴提供隐私和安全规则所规定的所有保护。医疗保健消费者和受保护实体需要了解这些违规行为,以便他们在寻找转录供应商时进行尽职调查。”

Lucci表示,波士顿医疗中心的数据泄露事件,以及2013年8月M2ComSys和2011年3月至10月GMR转录服务公司的其他数据泄露事件,都突显了按照HIPAA的要求进行全面业务分析以正确评估风险的必要性。她说,识别威胁、漏洞和已经到位的保护措施可以让组织确定他们的风险水平。诚然,大型组织有更多的资源来部署安全协议——同时风险也更高——lucci说,当涉及到HIPAA时,规模并不重要。

她指出:“HIPAA从来没有想过要这么难,以至于每个人都必须遵守最高标准。“它是可扩展的,组织在努力遵守HIPAA时需要记住这一点。这可以归结为审视HIPAA的要求,并理解它的存在并不是为了制造管理负担;它的存在是为了保护PHI的安全。”

尽管风险永远不可能完全消除,但组织必须在其组织范围内最大程度地减少危险。Lucci说,对于mtso来说,充分安全的基本要求如下:有效的政策和程序;训练有素的隐私和安全官员;最新的商业伙伴协议;对业务系统、软件、硬件进行全面的安全风险分析;以及受过HIPAA合规培训的员工队伍。beplay最新备用网站虽然较小的公司不一定需要遵循Nuance-或M* modal类型的HIPAA合规计划,但他们仍然要对安全处理PHI负责。beplay最新备用网站

违规是如何发生的?
尽管将数据留在不安全的网站上似乎是最基本的错误,但医疗保健文件合规顾问、CMT、AHDI-F的布伦达·j·赫尔利(Brenda J. Hurley)表示,在电子病历环境中生活的相关需求可能是导致波士顿医疗中心数据泄露的原因。beplay最新备用网站

当纸质记录成为常态时,由转录员负责的项目很容易获得。今天,信息有时被期望从电子病历转移到患者记录。例如,患者初次接触的数据可以导入到后续访问的文件中,即使一些卫生保健组织不向转录员提供访问电子病历的权限。

“医生现在经常说,‘把上次就诊的医疗清单抄下来,放在这次就诊中。赫尔利说:“这些评论现在经常被口授。”“这意味着转录员需要访问这些旧信息。否则,他们怎么知道名单上有什么?因此,有时必须向转录员提供信息,以完成记录。”

在这种情况下,她说mtso有办法安全地获得所需的信息。由于有关波士顿医疗中心数据泄露的信息很少,因此很难确定其根本原因。根据Hurley的说法,该事件可能是由于软件更新或程序更改后未能重新安装防火墙造成的。她指出,也有可能单纯的粗心大意是罪魁祸首。

不管原因是什么,赫尔利说,数据泄露可能是一个小型MTSO的死亡。大多数医疗保健组织都有一种机制来补偿与数据泄露相关的成本,并将其写入MTSO合同中。如果15000名患者需要被告知数据泄露,这笔费用可能是无法弥补的。此外,民权办公室一直在对违反HIPAA的行为处以越来越大的罚款。因此,规模较小的中期保健服务组织可能无法履行其合同义务,或者保健提供者可能认为,限制其责任的唯一方法是切断与中期保健服务组织的联系。

尽管这一现实可能会引起一些转录提供商的担忧,其中一些人拒绝接受本文的采访,但Hurley认为这是一个机会。她说:“也许人们会觉得整个行业都受到了损害,但如果你是一家做得对的MTSO——你正在保护你的网站,你正在培训你的员工,你已经制定了书面政策和程序,你已经做了风险评估,你一直在警惕改进流程和更好地保护信息的方法——我认为他们会欢迎来自行业的这种审查。”

Angela Dinh Rose, MHA, RHIA, CHPS, AHIMA的HIM实践卓越主管,说积极主动的安全是很重要的。例如,她建议mtso雇佣一些人入侵企业网络,以便更好地了解漏洞在哪里。至少,所有的PHI都应该加密和密码保护。她说,最重要的是,任何处理PHI的人都需要把数据安全放在首位。

罗斯说:“这可以追溯到了解你的政策和程序,确保你的流程到位,确保你对它们进行检查,反复检查,反复检查。”“仅仅因为你执行了某些内容并不意味着6个月后它仍然有效。你必须回去看看它,确保它还在工作。”

——大卫·耶格尔,宾夕法尼亚罗伊斯福德的自由撰稿人和编辑。

beplay电竞
斯库尔基尔路3801号
宾州春城,1975年
版权所有©2023
的出版商郑重声明
版权所有。
联系
 关于我们
作家的指导方针
隐私政策
条款与条件