冬天
2022
医疗保健的数字健康平衡法案
Selena Chavis著
郑重声明
第34卷第1页
专家们对通过第三方应用程序和聚合器共享患者数据的漏洞进行了权衡。
在推进信息共享方面,医疗保健行业正在进行一项微妙的平衡行动。虽然目前的趋势旨在让患者更好地控制和拥有自己的医疗保健数据,但该行业仍在努力确定访问和数据安全之间的平衡。
《21世纪治愈法案》是当前扩大患者获取个人医疗保健数据的运动的关键催化剂。今年1月,该法案为患者通过应用程序编程接口(api)与第三方共享数据打开了大门——一些专家认为,此举将给受保护的健康信息(PHI)带来新的漏洞。
“在机构之间和患者之间提供患者数据是一种推动力。我坚决支持这样做,”Graham Grieve说,他是HL7快速医疗互操作性资源(FHIR)的发明者和产品总监,该解决方案旨在通过api改善医疗系统与其他利益相关者之间的信息共享。“但当然,这意味着你必须做好安保工作。”
对于受保实体及其业务伙伴,HIPAA为提供充分的PHI保护提供了高风险框架。但现在的问题是:当患者选择分享信息时,对其他第三方应用程序的保护标准是什么?
考虑以下假设场景:
•大型雇主希望更好地了解员工的健康状况,以便为健康计划和健康计划谈判提供信息。为此,公司向雇主提供100美元,让他们将健康信息下载到公司的健康法案中,同时了解到,这些信息将被删除,用于分析目的。
•患者与提供针对特定疾病的健康监测应用程序的公司合作,并选择共享健康记录信息以优化分析。
•合同研究组织为患者提供参与研究的激励,该研究需要与该组织设计的移动应用程序共享信息。
WEDI负责联邦事务的副总裁罗伯特·坦南特(Robert Tennant)表示,假设有很多。虽然上述情况表面上看起来是良性的,但一些行业专家担心,这种扩大的访问将为敏感的PHI打开大门,使其落入坏人之手,并产生毁灭性的影响。
坦南特说:“我认为业界的每个人都同意这样一个理论,即患者能够访问他们的健康信息,能够利用他们的移动技术,无论是手机还是平板电脑,都是医疗保健领域的巨大飞跃。”“增加患者参与的机会,以及提供者和患者之间更加合作的关系,当然是政府推动这种以患者为中心的医疗保健方法的核心,当然,我们作为一个组织完全支持这一点。话虽如此,我认为如果我们要转向这个更加以患者为中心的医疗环境,还有一些固有的问题需要处理。”
深入挖掘API难题
格里夫指出,即使有了HIPAA,医疗保健行业的安全性仍然是一个好坏参半的大杂烩,因为人们对什么重要什么不重要的态度差异很大。他提供了HL7的FHIR Connectathons与会者差异的一个例子,该活动定期举行,以帮助行业专业人士确定围绕互操作性的最佳实践。
一组工程师可能会带着两台笔记本电脑来参加活动——一台与公司系统同步,另一台与公司系统隔离,用于测试——以优化安全性。与此形成鲜明对比的是,其他组织可能没有安全文化,在没有正确的安全框架的情况下,公开地从公司笔记本电脑访问网络,最终为坏人打开了大门。
现在,以患者为导向的共享也加入了进来,一些行业专业人士担心,这个已经很重要的挑战将变得更加复杂。新法规现在要求医疗服务提供者,包括医生和医院,以及健康计划,在不封锁数据的情况下,向患者选择的指定应用程序提供患者信息。
坦南特说:“我理解这个理论,即应该由患者来决定信息是否流向第三方应用程序,但医疗保健的现实是,患者可能没有像他们应该了解的那样,了解他们的健康信息可能会被不当披露。”他指出,PHI落入坏人之手与其他类型的数据泄露大不相同。“在医疗保健方面,你谈论的是我们作为个人拥有的一些最敏感的数据,无论是心理健康信息、药物滥用、癌症治疗还是生育问题。这些是我们作为个体的核心。如果你的信用卡被偷了,这很糟糕,但你会停止使用这张卡,去办一张新的。但如果你关于药物滥用的信息被不恰当地发布,那可能会对个人造成极大的伤害。”
虽然从根本上说,一旦与第三方共享患者信息的请求得到满足,医疗机构就不应该再对患者信息的处理负责,但格里夫指出,存在一些可能带来问题的灰色地带。为此,他提出了另一个假设:“如果该机构或代表该机构工作的供应商为患者提供方便的服务,将应用程序与他们的记录联系起来,那么该机构和/或供应商对应用程序的行为承担多少责任?这和它们的推荐程度有关系吗?从法律意义上讲,他们什么时候才会承担责任?”
坦南特从另一个角度提出了一个问题,他认为患者可能不会阅读与第三方应用程序相关的“细则”。如果提供特定应用程序的供应商在条款和条件中说,它保留使用和出售数据的权利,该怎么办?
“我们希望(供应商)能很好地管理患者数据,但如果没有强有力的联邦法规,我不认为这能得到保证,”坦南特说,并指出近年来与Facebook和谷歌等大数据公司有关的多次听证会。“我们知道与大数据相关的巨大风险。这里我们讨论的是我所说的微数据——个人的健康信息。”
坦南特指出,基本上,目前提供给受保护实体的指导方针是,他们可以教育和警告患者,但他们不能禁止信息的流动。
提供者如何保护自己?
根据Tennant的说法,对卫生保健机构的保护始于教育,他提出了以下建议:
•积极主动。例如,一个致力于癌症治疗的组织应该了解该专业患者可用的应用程序类型。这个过程可能包括了解哪些应用程序具有认证或遵循最佳安全和隐私指南。坦南特说:“医疗服务提供者可能会给你开一个处方,也许是一种药物,他们也可以给你开一个他们认为有效和安全的健康应用程序的处方。”
•对患者进行通识教育关于下载数据到应用程序的危险,以及在考虑使用时应该问的问题。
•记录所有提供的教育。坦南特说:“在表格上记下你在12月16日和罗伯特谈过的话,并提醒他这个或那个的潜在危险。”“如果这是政府的要求或建议,那么只有写下来才有效。”
格里夫说,更好地定义这一领域的法规将大大有助于保护提供者和患者。他说,首先要明确,当通过API共享的数据受到损害时,谁应该负责——这是监察长办公室(Office of Inspector General)的不足之处。
格里夫表示,围绕安全和隐私的监管也应该扩展到第三方应用程序供应商和数据聚合器,就像HIPAA适用于受保护实体一样。“(被覆盖的实体)正在关注患者方面的数据聚合器,并说,‘如果他们想做什么,他们就可以做什么。他指出:“如果他们从病人那里得到数据,然后在网上公布,他们就没有违法。”“他们可能违反了与患者的商业合同,如果他们有的话,但他们没有违反任何法律。这是蛮荒的西部——没有法律——向那些根据患者的选择收集患者数据的服务机构提供问责。”
坦南特认为,最近在监管方面发生了一些变化,他指出,美国联邦贸易委员会(FTC)在这一领域开始变得更加激进。2021年9月,美国联邦贸易委员会发布了一份政策声明,确认收集或使用消费者健康信息的健康应用程序和连接设备必须遵守健康违规通知规则。虽然这是良好的第一步,但坦南特说,这是一个复杂的前进之路,因为有多个联邦机构监督隐私和安全。
“你显然有联邦贸易委员会,你有医疗保险和医疗补助服务中心,你有OCR(民权办公室),你有所有的ONC(国家卫生信息技术协调办公室)。所以,至少,我认为我们必须有一个统一的联邦方法来保护数据,”他说。“我认为这是联邦政府可以采取行动的一个领域。”
坦南特说,这是一个问题,如果行业看到滥用与患者分享他们的数据与第三方应用程序。“我们知道,一份健康记录本身在黑市上价值数百美元,”他说。“我们知道有一个邪恶的信息市场,所以这会成为这些人的渠道吗?”一种解决方案是要求或允许承保实体、健康计划或提供商说,‘我们限制访问那些已被第三方认证机构认证或认可的应用程序。’”
- Selena Chavis是佛罗里达州的一位医疗保健作家。
熟悉免费的网络威胁防护服务
当涉及到与第三方应用程序共享信息时,受保护的实体可能无法控制患者的选择,但提供商可以通过恶意域拦截和报告(MDBR)服务更好地了解和保护自己。MDBR适用于多州信息共享与分析中心(MS-ISAC)和选举基础设施信息共享与分析中心(EI-ISAC)的州、地方、部落和领土政府成员,该中心与网络安全和基础设施安全局和Akamai合作。
MDBR技术可以防止IT系统连接到有害的web域,这有助于限制与已知恶意软件、勒索软件、网络钓鱼和其他网络威胁相关的感染。此功能可以通过阻止对勒索软件交付域的初始扩展来阻止大多数勒索软件感染。
一旦组织将其域名系统(DNS)请求指向Akamai的DNS服务器IP地址,每个DNS查找都会与已知和可疑恶意域的列表进行比较。尝试访问已知的恶意域,例如与恶意软件、网络钓鱼和勒索软件以及其他威胁相关的域,将被阻止并记录。然后,CIS提供报告,包括所有阻塞请求的日志信息,并在必要时协助补救。
该服务被认为易于实现,几乎不需要维护,因为CIS和DNS供应商完全维护提供该服务所需的系统。
如何注册
现有的MS-ISAC和EI-ISAC成员可以通过注册来注册免费的MDBRmdbr.cisecurity.org.申请人将被要求提供以下资料:
•联系方式;
•MDBR设置,故障排除和一般技术支持的技术联系人;
•接收MDBR服务报告的联系人;和
•您的组织的DNS查询发送的公共IP地址或无类域间路由网块。
如果您的组织还不是MS-ISAC或EI-ISAC成员,您将首先被要求加入。
更多信息请访问cisecurity.org.
- - - - - - SC
