6月/ 7月
2019
HIPAA的迷宫
伊丽莎白·s·高尔著
郑重声明
第三十一卷第六页
无论是网络钓鱼攻击还是在病房引入另一个“声音”,法律经常发现自己处于棘手的境地。
一般来说,遵守HIPAA对医疗保健组织来说是一项挑战。但有些方面比其他方面更复杂——技术进步正在迅速考验法律的极限。在某些情况下,HIPAA的细微差别给保护患者信息带来了遵从性挑战。beplay最新备用网站在其他情况下,这是由于越来越复杂的窃取信息的措施所带来的安全挑战,通常是通过欺骗员工打开电子邮件这样简单的事情。
后者可以从最近发表在《科学》杂志上的一项研究的结果中看出JAMA网络开放该研究发现,网络钓鱼是医院面临的主要网络安全风险,因为每7封模拟网络钓鱼电子邮件中就有1封被员工点击。
网络钓鱼攻击
医院越来越多地成为网络攻击的受害者,网络攻击的代价很高,不仅包括服务中断,还可能因违反HIPAA而被罚款。根据Proofpoint的数据,2017年针对医疗机构的电子邮件欺诈攻击增加了令人瞠目的473%,77%的组织有5名或更多员工受到电子邮件欺诈攻击。此外,2019年HIMSS网络安全调查发现,“疏忽的内部人员”是最大的威胁之一。
尤其是网络钓鱼诈骗的脆弱性日益增加,这促使研究人员对确定这些电子邮件攻击对行业的威胁有多大产生了兴趣。
“一段时间以来,我们已经认识到网络安全远比行政负担或幕后医院问题重要得多,我们越来越多地将网络安全视为实际临床护理交付的风险,”布莱根妇女医院普通内科和初级保健部门的首席研究员威廉·j·戈登(William J. Gordon)博士说。“我们专注于网络钓鱼,因为它是一种常见的攻击媒介。”
在这项回顾性研究中,6家美国医疗保健机构提供了通过101次模拟网络钓鱼活动获得的数据,这些活动涉及7年期间发送的近300万封电子邮件。总体而言,七分之一的员工点击了网络钓鱼电子邮件,在所有活动和组织中,整体媒体点击率接近17%。戈登指出,这些结果对医院来说是一个严重的网络安全风险。
他说:“我们有一些倾向,认为点击率会很高,但我认为我们对网络安全风险的严重性感到惊讶。”“总体而言,网络安全意识正在增强,但我们的研究表明,人们仍在点击网络钓鱼电子邮件。”
研究人员发现了一些导致高点击率的因素,包括医院内部的高员工流动率,这造成了持续不断的新员工流,这些员工可能没有接受过网络安全培训。由于连接到网络的大量IT设备(如员工智能手机)可能成为攻击目标,医院也容易受到严重的“端点复杂性”的攻击。
医院信息系统也是相互依存的。例如,电子病历依赖于需要网络连接到实验室分析系统来处理结果的实验室系统。这就造成了这样一种情况:攻击一个系统可能会影响所有其他下游系统。
最后,研究人员指出,由于用户网络庞大,锁定医院系统极其困难。只要其中一个用户点击一封网络钓鱼邮件,就可以摧毁整个组织。
然而,研究结果中也有一个亮点。回归模型显示,“重复的网络钓鱼活动与点击后续网络钓鱼电子邮件的几率降低有关,”戈登说。“一般来说,一家机构开展的活动越多,员工点击后续邮件的可能性就越小。”
研究中建议的预防或减轻网络钓鱼攻击后果的策略包括:首先通过使用过滤技术来防止电子邮件被接收,或者通过要求多因素身份验证或针对特定系统的特殊访问控制来最小化用户名和密码的价值。另一个建议是通过网络钓鱼模拟活动和海报、贴纸和培训的教育活动来提高员工的意识和培训。
“我们的研究表明,模拟网络钓鱼活动可以降低点击率。然而,网络钓鱼模拟只是一个更大的信息安全程序的一个组成部分。重要的是要保持警惕,并投资于信息安全程序,以尽量减少风险,”戈登说。
未成年人健康记录
属于“使HIPAA合规复杂化的细微差别”类别的是父母对孩子未成年医疗记录的访问权。beplay最新备用网站最近,有关未成年人及其健康信息的隐私法受到了全国的关注《新闻周刊》一位父亲被爱荷华大学医学中心告知,未经女儿同意,他将无法再查看她12岁的医疗记录。
虽然这听起来令人震惊,但这是在法律条文范围内的。HIPAA允许父母在不与州法律规定的同意年龄相冲突的情况下完全访问孩子的医疗记录。不幸的是,为了统一起见,当涉及到父母必须征得子女同意才能查看其医疗记录的年龄时,各州的法律各不相同。
爱荷华州没有规定年龄,由各个医院决定何时需要征得同意。在这种情况下,爱荷华大学医学中心将这个年龄定为12岁,尽管在几位家长抱怨这个年龄太小,无法独立做出医疗决定后,这个决定正在接受审查。
苏珊·m·卢奇(Susan M. Lucci, RHIA, CHPS, CHDS, AHDI-F)是two - security公司的高级隐私和安全顾问,也是the Record编辑顾问委员会的成员,她说:“当你考虑到必须遵循零碎的联邦法律和州法规来做出信息发布的决定时,情况会很复杂。”“除此之外,该机构还制定了自己的政策,关于有资格向父母隐瞒记录的年龄,这与加利福尼亚州和佛蒙特州的政策一致。”所有这些复杂性都让人毫不奇怪,当涉及到患者访问时,OCR(民权办公室)会特别感兴趣。”
更令人困惑的是,虽然未成年人长期以来被认为没有能力表示同意接受治疗,但现在大多数州都赋予他们在某些情况下这样做的权利。其中包括法院命令和/或情境解放,例如未成年人结婚或有自己的孩子。在包括加州和佛蒙特州在内的几个州,12岁以下的未成年人可以同意接受某些治疗,包括药物滥用、精神健康和节育治疗。
在爱荷华大学医学中心的案例中,该机构不顾父母的反对,在法律范围内将法定同意年龄定为12岁。然而,卫生系统和其他方面可以采取一些措施,以减少父母有理由感到不安,想要监督孩子的护理所带来的影响。
Lucci建议,关于隐私实践的通知可以更进一步,以确保法规得到理解。例如,虽然没有必要在登记时详细说明具体的隐私要求,但可以提供一份额外的表格供签字,说明关于药物滥用或精神健康的记录发布决策的年龄,因为它们与成年年龄有很大不同。
Lucci补充说:“另一件非常有帮助的事情是,确保前来接受治疗的人了解他们的权利,而不是隐私实践通知。”“例如,鼓励家长与隐私官交谈,了解成瘾与标准医疗入院的隐私有何不同。这也适用于其他类型的录取,他们的关注点,以及他们的期望。”
病房里的声音
随着技术的进步,与HIPAA遵从性相关的挑战也在增加。beplay最新备用网站最近的一个问题是在病房里使用Alexa和其他声控设备。
今年4月,亚马逊宣布Alexa技能工具包符合HIPAA标准,使选定的覆盖实体(ce)及其业务伙伴(ba)能够构建Alexa技能,以传输和接收受保护的健康信息(PHI),这是仅受邀请计划的一部分。该公司还宣布,六项新的Alexa医疗保健技能已经在其符合hipaa的环境中运行。
但CynergisTek战略创新执行副总裁大卫•芬恩(David Finn)表示,有意在病房部署声控设备的医院会发现,符合HIPAA标准并非一帆风顺。beplay最新备用网站
“我们听说过很多关于符合hipaa的Alexa。问题是亚马逊并没有这么说;亚马逊表示,他们将为选定的开发者提供‘符合HIPAA标准的环境’。”“亚马逊认识到,不存在‘符合HIPAA’这样的东西,只是设备可能具有以某种方式部署以满足HIPAA安全规则要求的技术能力。它总是取决于使用者和设备实施的过程,使你符合HIPAA。”
因此,当涉及到利用语音激活设备等最新技术时,当涉及到潜在的合规性陷阱可能是什么的问题时,任何人都可以给出的最佳答案是“这取决于情况”。beplay最新备用网站
芬恩表示:“这取决于设备的使用方式、捕获的数据、存储的位置以及谁有权访问这些数据。”
他指出,在某些情况下,其影响可能微不足道。例如,如果患者询问设备当天的午餐菜单是什么,这显然不是隐私问题。然而,如果医生进入同一个病人的房间,验证病人的身份,然后继续提供诊断、治疗和预后,“你会有一个非常不同的场景,特别是如果语音助手听到或认为它听到了一个触发词,现在它正在‘倾听’,”芬恩说。
“没有人明确地回答了有关数据收集、存储或共享的所有问题。这是改善患者体验的一个强大而重要的工具吗?当然,但我们不能超越隐私和安全问题,”他继续说道。“供应商应该尝试,但他们应该从简单的信息请求开始,他们应该在工作流程的每一步质疑数据。
“最后,但并非最不重要的是,这些是物联网设备——任何可以发送到互联网的东西也可以从互联网接收。当然,你需要知道你在发送什么,但同样重要的是,你需要知道是谁在“回应”你的私人助理。如果该设备在你的生产网络上,那么连接到该设备的任何人也都在。”
但英国航空公司协议提供的保护又如何呢?再一次,它是模糊的。虽然设备本身来自一家公司,如亚马逊和Alexa,但设备本身并不是问题所在,问题在于谁可以访问可能通过该设备捕获、传输、存储或使用的PHI。如果对所收集数据的访问仅限于CE,则不需要与设备制造商签订BA协议。
“但通常情况下,根据设计,这些设备会监听‘触发’词……然后开始捕捉声音,以数字格式将其传输到数字助理提供商的系统,由人类或应用程序访问数据。”电子商务公司应该了解这些数据是否被存储或有二次用途,”芬恩说。“数字助理的前提包括在‘始终在线’状态下运行,它们有能力监控和捕获临床环境中的所有通信,并且不会区分语音通信的来源或数据是否包含PHI。数字助理供应商正在监控设备,如果这些信息包括PHI,那么他们就是BA。”
在这些问题得到解决之前,Finn建议组织在采用最新、最好的技术来实现可能或将涉及PHI的目的时要慢慢行动。在考虑使用声控设备时,他提出了以下建议:
•定义实现的范围。你想为医生或病人解决什么问题?
•保持专注。明智地选择地点;不要从嘈杂或经常口头交流PHI的地方开始。
•涉及病人。在使用一种新的面向患者的技术时,让患者了解情况是很重要的——不仅在“确定范围”方面,而且在解释问题和理解他们的担忧方面。
“语音助手需要大量的培训,用户也是如此。许多使用数字助理的组织仍然不愿意通过这些设备与患者分享护理信息,”芬恩说。“专注于不涉及敏感信息但仍能增强患者体验的用例。这让用户和隐私和安全团队在学习使用这个重要的新工具时都感到舒适。”
小心行事
在HIPAA通过20多年后,遵守HIPAA并没有变得更容易。beplay最新备用网站技术不断进步,产生了新的问题。与此同时,社会也在不断发展,法律也在努力跟上新的期望和前景。
归根结底,合规的关键是了解数据是如何收集和使用的,以及由谁收集和使用beplay最新备用网站的,以及这对隐私的影响。
“患者是否同意访问哪些数据——如何访问以及由谁访问——存在许多问题。如今,这甚至不局限于数字助理,甚至电子病历本身。”芬恩说。“现在,我们已经在另一种技术上进行了分层,这种技术可以捕获和存储数据,并可用于访问相同的数据。这就是为什么我建议慢一点,简单一点。确保你了解事物是如何工作的,数据在哪里流动,如何存储、捕获和检索。”
——Elizabeth S. Goar是佛罗里达州坦帕市的自由撰稿人。
