10月
2019
密切关注数据
萨拉·埃尔金斯
郑重声明
第三十一卷第九页
一项调查发现,虽然组织确信他们知道数据的位置,但他们松懈的监控实践表明情况并非如此。
2019年2月,Integris软件公司进行了一项调查,旨在了解美国大中型公司如何管理数据隐私。由此产生的研究,即4月份发布的Integris Software 2019年医疗保健数据隐私成熟度研究,是对隐私官员更好地了解他们的数据的响亮呼吁。
Integris Software的创始人兼首席执行官Kristina Bergman表示,坊间有一些关于这个话题的反馈,即业内许多人并不知道自己不知道什么。该调查希望了解所有行业的现状,而不仅仅是医疗保健行业。在258名受访者中,有46名来自卫生保健领域。结果是,与其他行业相比,医疗保健组织数据隐私实践的相对成熟度得到了全面的了解。
虽然对伯格曼来说,关键的结论并不特别令人惊讶,但许多医疗保健行业的人都应该好好审视一下自己的隐私做法,问问自己:“我们说的是在做的,实际上是在做的吗?”如果Integris的研究有什么启示的话,答案是“也许没有”。
在本文中,郑重声明请几个隐私领域的领导者对研究结果进行权衡,并对其更重要的发现发表评论。本文作者丽莎•华莱士是microsolve的技术总监。microsolve是一家信息安全公司,为金融、公用事业、工业控制、法律领域以及医疗保健领域的各种客户提供服务。Chris Bowen, CISSP, CCSP, CIPP/US, CIPT,首席隐私和安全官,ClearDATA的创始人,这是一家医疗保健云计算和信息安全服务提供商。
华莱士的客户横跨许多不同的行业,他说:“在有效的隐私保护方面,我认为医疗保健是中游或落后的。”对她来说,这项研究的结果并不令人惊讶。
Bowen指出了该领域面临的独特挑战。“数据蔓延在任何行业都很猖獗,尤其是在医疗保健行业。你有一个医疗保健交易,你的数据在100个不同的地方,”他说。
同样地,伯格曼说,“数据就像水一样流动。它们被设计成高度冗余的,有很多副本,而且无处不在。”而且,与洪水一样,数据可以积累,移动速度更快,收集的碎片比人们意识到的要多。Integris的研究警告说,这种情况正在许多医疗机构中发生,而这些机构的隐私官员却认为一切都在掌控之中。
更新数据清单
调查结果中最主要的是,70%的医疗保健受访者“非常”或“非常有信心”知道敏感数据在其组织内的位置。这似乎与50%的受访者仅每年或更少的频率更新个人数据清单的事实背道而驰,这表明隐私官员和管理人员普遍过度自信。
Wallace和Bowen都坚定地认为,每年更新一次甚至更少的数据清单会导致严重的隐私问题。
华莱士说:“如果他们一年更新数据模式的次数不超过一次,那么他们肯定过于自信了。”
鲍恩对此表示赞同,并补充道:“我非常怀疑这种库存的效率和有效性。”
这就提出了一个问题:数据清单应该多久更新一次?简短的回答是:视情况而定。主要变量是数据是静止的还是运动的。
伯格曼建议每月扫描一次,“看看数据是否有明显的变化。”例如,营销部门可能会购买一个引入新数据的营销列表。另一方面,运动中的数据应该持续评估,因为它们可能从任何地方流入组织。
Bergman提供了一个来自客户支持聊天表单的文本字符串的例子。在这个平台中,患者经常输入敏感数据,如信用卡信息或受保护的健康信息(PHI)。
伯格曼说,不管是否在运动,底线是“没有人可能知道数据集中有什么。”
“在最好的情况下,这种模式将是一个活生生的实体。它不应该是一个你每年检查一次的框,”华莱士说。
“如果你有能力实时更新你的库存,你就达到了我所说的隐私官方天堂,”鲍恩说。“为了做到这一点,你必须使用多种方法:结合电子发现工具的基本问卷,结合集成的api(应用程序编程接口),以帮助提供可操作的清单。”
简而言之,有效的数据评估不能手工完成。
比数据清单的不频繁更令人惊讶的是用于完成任务的工具。伯格曼表示:“更糟糕的是,更新数据地图最常用的工具是电子表格。
Bowen证实这种情况很常见。他说:“即使有一些很棒的工具,Excel电子表格仍然是首选方法。”他指出,对电子表格的普遍依赖与组织隐私平台的成熟度直接相关。
Bowen表示,医疗保健领域的一些垂直行业比其他行业发展得更快。他说:“我认为,付款人和制药公司可能与SAAS(软件即服务组织)一起处于最顶端。”
对于那些正在寻找加强数据库存策略的起点的组织,Wallace建议关注频率方面。“他们能做的最好的事情就是建立一个生命周期,而不是每年一次——如果他们从头开始,可能从每季度开始——整理这些数据源。看看有什么数据来了,看看他们要去哪里,看看他们是否真的需要去他们要去的地方,”她说。
谁负责?
随着将于2020年1月生效的《加州消费者隐私法》(CCPA)等立法的通过,隐私法规变得更加严格,保持合规性所需的技术解决方案也变得更加复杂。beplay最新备用网站因此,在这种不断变化的环境中,许多人都在想,谁在确保医疗保健组织中的隐私合规性?beplay最新备用网站
“我们发现,在大多数组织中,都有一个跨职能的法律顾问,负责处理GDPR(欧盟通用数据保护条例)、CCPA以及整体隐私和安全等问题。这些顾问通常包括首席技术官、首席信息安全官、首席隐私官、治理风险和合规主管,以及其他业务主管。”伯格曼说。beplay最新备用网站“我认为,公司的法律顾问在这方面做得很好,他们有不同的工作流程来处理与所有这些不同法规相关的合规的不同方面。beplay最新备用网站我们看到这些团队带着略微不同的观点一起工作,创造出一个整体的解决方案。”
伯格曼提到了在医疗保健合规方面经常听到的一句格言:你需要每个人都参与进来,才能把事情做好。beplay最新备用网站
华莱士回忆起与密歇根州一个大型卫生系统的高层领导的谈话,他说:“我不认为这是一个安全问题。我相信所有这些都是合规的,我们只关心它是否会影响患者的安全。”beplay最新备用网站
“我觉得这种观点有点可怕,”华莱士说。
鲍恩表示,数据隐私是隐私官员的工作,但“很多时候,你会看到隐私官员与安全功能、数据功能隔离开来,这确实需要加强。”在我们公司,我的头衔是首席隐私和安全官。两者你都需要。”
也许安全战线上最大的转变是对公司实体和个人官员的问责制。“我们现在正处于一个拐点,你不能再用政策和程序来解决隐私问题——有些人可能会说你永远也做不到,但这已经足够好了。我们现在所处的阶段是,公司要对自己拥有的数据负责。”伯格曼说。
鲍恩说:“把这项工作交给一个没有权力或责任的人是错误的做法。”换句话说,在CCPA之后各州出台的新法规浪潮下,把责任推给指挥系统是一种行不通的策略。
访问数据源
在Integris的研究中,超过一半的受访者表示需要访问50个或更多的数据源,“以获得敏感数据所在位置的可靠图片”。
Wallace进一步阐述了这一观点,他认为许多组织并没有意识到他们正在访问多少数据源。“即使是较小的组织,当你仔细观察他们的安全程序的具体细节时,他们可能会说他们只与五六家公司打交道”,而实际上这个数字要高得多。
鲍恩说,50个数据来源是保守估计。他指出:“我们发现,典型的承保实体使用大约900个应用程序。”
这些发现增加了一种可能性,即调查受访者可能不清楚他们应该评估多少数据源。
除此之外,还有“意外数据”从不知情的来源流入组织的问题。伯格曼讲述了Integris的一位客户收购了一家较小的公司后的一个特别令人沮丧的发现。对该组织数据集群的例行扫描发现了成人内容以及与个人性取向和行为指标相关的数据。
“首席技术官的下巴都垂下来了,”伯格曼回忆道。“他说,‘我们是一家B2B(企业对企业)公司。我们没有理由要有这样的数据。它是从哪里来的?“它最终来自于收购。这家公司有非常肮脏的数据。”
华莱士说明了无尽连接的数据源的内在复杂性。“这是一个有50个不同辐条组的齿轮。我的辐条可能非常安全,但与之交互的其他14条呢?他说。
意外数据可能从任何地方流入组织的数据湖。除了收购情况,伯格曼表示,其他罪魁祸首还包括“数据共享协议与传输的数据没有正确连接,(以及)人们购买数据集,并将这些数据集转储在组织内部(每个人都可以访问的地方)。”
在许多情况下,减少意外数据流是将库存集成到连接数据源的api中的问题。“这并不难,但很多人就是不这么做,”鲍恩说。
敏感什么?
更令人困惑的是,什么构成敏感数据的定义是一个不断变化的目标。GDPR和CCPA等新法规正在拓宽敏感数据的定义。确定它是什么需要一点推论。
“例如,我们的一个客户在他们的系统中存储了旅行档案,”伯格曼说。“当有人说,‘我更喜欢犹太食品或清真食品,嗯,这表明了宗教信仰。所以我们将其标记为宗教信息。”
同样,跟踪个人假期的人力资源系统也可以揭示宗教信仰。
根据CCPA和类似的法律,“家庭数据”被认为是敏感的。然而,家庭数据的定义尚未确定。伯格曼说:“在判例法证实之前,我们不会知道。”
目前,像华莱士这样的专家建议客户“看看CCPA是否与加州有业务往来,因为这是很多州都在考虑的标准”,并补充说,即将出台的法规“不应该比加州更繁琐”。
鲍恩一直在关注已经生效一年多的欧盟法律。“如果你已经为GDPR做好了准备,那么在遵守CCPA方面,你可能会走在前面。现在,尽管CCPA不会直接说,‘嘿,去创建你的数据清单吧,’但它肯定是其中的一部分。”
五种常见的数据源类型
只有17%的受访者能够访问五种常见数据源类型的敏感数据:结构化数据、非结构化数据、半结构化数据、基于云的应用程序和动态数据。访问数据,特别是非结构化数据,对于许多组织来说是一个挑战,因为该技术相对较新。
伯格曼说:“六年前,这种技术还不存在。
Bowen说:“研究表明,非结构化的数据很难追踪和理解。”“如果你能提取病人病历中的非结构化数据,并将其提取出来,然后在其周围自动添加一些人工智能,以显示哪些是PHI,哪些不是,那么你就能为人们提供实际帮助他们追踪PHI的工具。”
然而,尽管管理隐私的解决方案变得越来越复杂,黑客成功侵入组织的方法仍然相当初级。鲍恩指出,今年大多数黑客事件都是与电子邮件有关的访问和披露事件。
“我们看到很多PHI是通过电子邮件发送的,这很荒谬。我们看到开发人员仍然从GitHub上拉下不受信任的数据源或代码库,然后对基础设施发动某种攻击。我们仍然看到对网络钓鱼的反应,这是多产的,并击垮了最大的巨头,”他说。
华莱士提供了一个小小的安慰:在采取适当保护措施方面较慢的组织,在采用聊天机器人等功能方面也较慢,这些功能可以收集可能很快成为负担的非结构化数据。
建议
医疗机构如何更好地掌握他们的数据储备?“第一步就是知道你拥有什么。过去那种说‘我不知道,所以我不负责’的说法已经不适用了,”伯格曼说。
“beplay最新备用网站合规不是安全,”华莱士说,他呼吁在这两个概念之间建立一种更加共生的关系。
Bowen把隐私问题带回到原点:“最重要的是,记住我们考虑的是病人。我们不会过多考虑工作保障或季度目标。我们讨论的是如何保护病人。”
萨拉·埃尔金斯是西弗吉尼亚州的一名自由撰稿人。
