12月2014

坠入深渊
朱莉·克努森著
郑重声明
第二十六卷第十二页

遭受数据泄露的医疗保健组织将面临一系列残余影响,包括财务和声誉损害。

将近3000万。根据安全公司Redspin的一项研究,这是自2009年8月HITECH法案的临时最终泄露通知规则生效以来,因数据泄露而暴露并报告给卫生与公众服务部(HHS)的患者记录数量。根据2010年美国人口普查数据,这一数字略高于美国16个人口最多城市的人口总数。

暴露受保护的健康信息(PHI)曾经很少发生,但现在几乎每天都在发生。考虑到这一趋势,并考虑到被盗信息的巨大价值,医院了解入侵后组织生活的来龙去脉是很重要的。

调查,通知
2013年1月引入的HIPAA综合规则对早期的违规通知法规带来了重大变化。位于华盛顿特区的鲍尔斯派尔斯萨特和维尔维尔律师事务所(Powers, Pyles, Sutter and Verville)的负责人和联合创始人詹姆斯·派尔斯(James C. Pyles)说:“在此之前,《临时最终规则》规定,除非隐私信息已经被泄露,否则你不必通知别人。”即使发生了暴露,如果没有造成伤害,也不需要通知。包括派尔斯在内的一些业内人士认为,以前的危害标准是不协调的,因为“它实际上是让狐狸管理鸡舍。”

不难证明,假设没有造成伤害是医院的最大利益,因此减轻了通知责任。但这一切都变了。根据新规定,除非一个组织能够证明其违规行为属于三个狭窄的例外情况(也存在于临时最终规则中),或者证明没有造成损害,否则他们有义务遵守通知规定。派尔斯说:“今天的意思是,有一种假设认为,几乎任何未经授权的信息泄露都将构成违约。”现在轮到被入侵的医疗机构来证明PHI被入侵的可能性很低了。

确定已发生可报告的违规行为是通过对少数因素进行风险评估来完成的。在几乎每个医疗保健组织的信息系统中,PHI与被认为不受保护的数据共存。因此,必须考虑的因素是所涉及信息的性质和范围以及个人信息暴露的潜在风险。Catapult Consultants的首席执行官威廉·m·塞尼奇(William M. Senich)表示:“这包括泄露的信息类型、被盗的个人标识符以及重新识别个人身份的可能性。”“人们还必须考虑这些信息是否受到了加密等方法的保护,以减轻特定个人数据丢失的风险。”他补充说,是否存在加密或其他保护措施,可能会影响到是否需要报告违规行为和/或是否需要通知。

收集所有这些信息通常需要引入在违规方面经验丰富的第三方法医调查员。纽约瀚威律师事务所(Hunton & Williams)全球隐私和网络安全主管丽莎•索托(Lisa Sotto)表示:“我们强烈建议通过法律顾问聘请法医调查员,以寻求保护法律特权。”她说,在确定发生了什么以及如何发生之后,是时候评估该实体的法律义务了。

由于时间紧迫,索托建议医院在进行调查时就开始为应对和通报阶段做准备。可能需要患者通知信以及其他支持项目。“你可能需要网站材料和媒体材料,”她说。“如果你提供信用监控,你需要启动并运行这项服务。”医院还可能希望与呼叫中心合作,以解决患者的咨询问题,并与邮局或电子邮件服务提供商合作,以处理向受泄露影响的人员分发文件的问题。

对于通过审查过程并确定确实存在违规行为的医院,Clearwater Compliance首席执行官Bob Chaput (MA, CISSP, HCISPP, CRISC, CIPP/US)表示,在通知方面必须遵循三个具体要求。beplay最新备用网站首先,必须通知每个受影响的个人,并向其提供有关违规行为的信息。他解释说:“你必须告诉他们发生了什么,如何发生的,涉及到哪些受保护的健康信息,你采取了什么行动来减轻进一步的损失或伤害,他们应该采取什么行动来减轻损失或伤害,然后你将采取什么措施来永久性地解决问题。”

与第一个要求密切相关的第二个要求是,如果数据泄露涉及500人以上,则必须通知媒体。Chaput说:“你必须通知主要或著名的媒体——印刷、电视、广播。”这种广播方式的目的(通常可以通过发布新闻稿来实现)不是为了给组织造成进一步的尴尬。相反,它旨在通过尽可能迅速和广泛地传播信息来保护受影响的患者。

最后一步是向卫生与公众服务部提供通知和细节。根据违规通知规则,这些步骤必须在“不合理延迟”的情况下完成,且不迟于发现事件后的60天。查普特认为,遇到违规行为的医院最好尽快完成通知步骤。他说:“坏消息不会长久流传。”

当涉及到数据暴露时,预防是最好的方法。事实上,如果确实发生了泄露,预防策略也可以使响应速度更快。Redspin的总裁兼首席执行官Daniel W. Berger说,首要任务是进行HIPAA安全风险分析,重点是安全部分。

他表示:“企业倾向于将其视为一项合规法规,一项以政策为中心、以监管为中心的评估。beplay最新备用网站”“他们最终得到的是一种与HIPAA法规的差距分析,而不是他们的真正意图,即识别他们系统中可能导致受保护的健康信息泄露的潜在威胁和漏洞。”

他补充说,在进行风险分析的同时,还应该测试系统的潜在漏洞,以便在导致暴露之前识别和解决任何弱点。

影响
对于被入侵的医疗机构来说,由此带来的财务痛苦有多种形式。除了弥补安全漏洞可能需要的软硬件升级费用,以及为受影响的个人提供身份监控等支持性工具的相关费用外,医院还可能面临一项或多项罚款。医疗系统公司(Iatric Systems)患者隐私解决方案高级主管、CPHIMS、CHCIO、CISSP、HCISPP的罗伯•罗兹(Rob Rhodes)表示:“联邦政府和州政府可以对这些违规行为处以刑事和民事罚款,现在有了《综合规则》(Omnibus Rule),联邦政府每年对这些违规行为的罚款高达150万美元。”

成本可能会迅速增加,尤其是当受害方的诉讼开始堆积时。罗兹表示:“如今,如果你确实遭遇了数据泄露,似乎每个人都会不约而同地提起个人或集体诉讼。对于希望在处理任何诉讼问题之前完成违规调查的医院来说,还有更多的坏消息。在某些情况下,集体诉讼是在安全事件发生后一周内提起的,远远早于泄露的细节被收集和确认。

当涉及到数据泄露的整体影响时,财务损失只是一个开始。其他负面影响不太明显(也不太可衡量),但可能会持续更长时间。例如,对医院内部士气的影响可能令人不寒而栗。派尔斯解释说:“至少在一段时间内,这只会耗尽一个组织的所有精力。”“从管理层一直到董事会,都不能忽视正在发生的事情。”

当发生任何重大的数据泄露事件时,新闻报道可能会让这个问题成为患者、员工和商业伙伴关注的焦点,时间长达数月甚至数年。派尔斯说:“医疗机构原本要把所有精力投入到扩大和为患者创造新产品和服务上,但现在却被转移到处理违规行为上了。”例如,提供者必须通知患者,为执法收集信息,修改协议,并发布新的培训标准。换句话说,不是专注于前瞻性的战略计划,而是组织不得不将其资源集中在对违规行为的反应上。

长期来看,运营效率也会受到影响。伯杰说,没有一个精心设计的计划来应对违规行为的风险之一是“分散和转移其他关键职能的资源”。在领导层处理违规行为时,从实施EHR系统到执行定期安排的HIPAA风险分析,任何事情都可能受到影响。他说:“这是一项经常被忽视的费用,但它肯定会破坏重大项目。”他补充说,应对数据暴露所需的资产可能与监督技术改进和其他顶级计划所需的资产相同。

如果这还不够,塞尼奇说,随着合规要求的加强和更多法律的出台,其后果正变得越来越明显。beplay最新备用网站“这些强化的法规和HIPAA合规法规将在2015年真正执行,这将影响医疗保健行业的每beplay最新备用网站个部门,特别是第三方供应商和供应商,”塞尼奇说,他预计多个监管机构会进行额外的审查,媒体对违规行为的报道也会增加。

重获病人信任
声誉受损是一种下游效应,医院不应掉以轻心。无论违规反应进行得多么好,组织的声誉几乎肯定会受到公众的关注。这在一定程度上是因为响应要求是专门为传播事件而设计的,索托将其描述为“在屋顶上大喊大叫,你的系统已经受到了损害。”这将不可避免地导致声誉受损,而处理数据泄露的艺术在很大程度上是围绕着管理声誉风险展开的。”

耐心的信任——一开始就很难获得——要重建就更难了。平衡信息披露与医院正在尽其所能保护患者隐私的潜在信息可能是一个挑战。索托说:“组织需要非常努力地工作,在宣布数据泄露后立即保持患者的信任,并在信任受到损害的程度上重新获得信任。”

“这绝对是信任的问题,”查普特在谈到数据泄露形势时表示,尤其是在医疗保健系统方面。“这是每笔医疗交易的核心要素。”患者和护理人员之间的讨论被认为是最私人、最亲密的,涉及的信息恰恰是消费者不希望看到的。查普特说,作为一名病人,“我完全期望保密,未经我的允许,我的信息不会被泄露。”他指出,即使是无意中披露,患者仍可能感到沮丧,甚至愤怒。

尽管科技似乎融入了现代生活的方方面面,但医疗保健领域仍然以个人互动为基础。一旦患者和护理人员之间的信任被打破,塞尼奇认为补救措施只能帮助恢复这种信任。他表示:“为了赢回信任,你必须非常迅速地行动,非常有效地沟通。”

挑战开始于漏洞管理的第一个关键步骤。这可能很困难,因为医疗保健部门的成员,无论是提供护理,处理索赔还是担任其他角色,“有时缺乏快速反应的能力,或者他们没有事先计划好应对措施,”塞尼奇说,这就是为什么每个组织都必须制定并实施应对此类事件的综合战略。

Julie Knudson是西雅图的一名自由撰稿人。

监控工具的价值
医疗保健组织为数据泄露受害者提供的一个流行工具是信用监控,无论泄露的是健康信息还是财务信息。医疗系统公司(Iatric Systems)患者隐私解决方案高级主管、CPHIMS、CHCIO、CISSP、HCISPP的罗伯•罗兹(Rob Rhodes)表示,提供身份盗窃保护是明智的,但他警告称,财务支出可能会迅速上升。“人均成本并不高。当然,如果你有很多很多病人,这是一个很大的代价,但最终你会做正确的事情,”他说。

信用监控可以帮助证明医院并没有对这种情况掉以轻心。罗兹说:“这实际上是在向人们表明,该机构仍然关心患者,他们希望尽一切努力帮助保护这些患者。”他指出,信用监控可以是重建信任的长期、多方面方法的一个方面。

随着网络犯罪形势的发展,华盛顿特区鲍尔斯派尔斯萨特维尔律师事务所的负责人和联合创始人詹姆斯·c·派尔斯说,更好的补救办法可能是医疗身份盗窃监控,这种工具通常更昂贵,但“可能会更快地恢复公众的信任”。

健康保险账户可以包括在这类监测中,为违规行为受害者提供更高、更有针对性的保护。派尔斯解释说:“当有人在你的账户上提出索赔时,你会被告知你是否真的想提出索赔。”这不仅保护了身份盗窃受害者的利益,而且还有助于消除医疗记录被破坏的可能性。

——JK