2008年6月9日

注意隐私存储
伊丽莎白·s·鲁普著
郑重声明
第20卷第12页

医疗保健组织可以使用所有已知的安全工具来保护电子患者信息,但如果没有正确的“人员”策略,这一切都是徒劳的。

今年早些时候,对名人和政客医疗记录的未经授权的窥探引发了一场关于卫生系统在电子环境中维护患者信息隐私的能力的争论,对许多人来说,电子环境似乎与它们正在取代的纸质系统一样存在许多漏洞。

隐私威胁不仅仅是爱管闲事的员工、被盗的笔记本电脑和成为头条新闻的恶意系统攻击。通常情况下,这种破坏是无意的;无论电子健康记录(EHR)系统有多少先进的安全功能,发送到错误打印机的文件,无人看管的计算机显示器显示的患者记录,或者一个乐于助人的人为陌生人开门,都可能导致侵犯隐私。

在过去的三年里,隐私泄露已经影响了数百万患者,尽管很少有人登上头版。没有组织专门跟踪涉及受保护健康信息(PHI)的违规行为的数量,尽管隐私权信息交换所确实跟踪涉及敏感信息(如社会安全、帐户和驾驶执照号码)的违规行为。

自2005年1月以来,该信息交换所已经发现了涉及2.245亿条记录的安全漏洞。仅在2008年4月上半月,就有超过320万条记录遭到泄露。其中,超过220万份涉及医疗机构或付款人,其中包括迈阿密大学的210万份患者记录,当时一家私人异地存储公司使用的一辆货车上的电脑磁带被盗。

如此大规模的违规行为说明了PHI电子交换的难题。

“技术为我们提供了比纸张更私密、更安全的工具。另一方面,信息以电子方式更快、更大的量流动也放大了风险。然而,在过去,如果一盒纸质记录被放错了房间或垃圾箱旁边,那么当有人侵入系统时,被泄露的记录是50条,而不是10万条,”民主与技术中心健康隐私项目主任戴文·麦格劳说。

“你可以拥有世界上最好的安全(功能),但如果这些功能允许人们在掌握信息后不受限制地使用信息,那么你拥有很高的安全性就不会有太大区别。如果你有很多很棒的隐私政策,但缺乏安全性,那么你的情况就不完整。两者都需要,”她补充道。

远离头版
为了避免因侵犯隐私而成为头条新闻,设施必须密切关注其EHR安全功能以及指导人类行为的隐私政策和程序。

Apgar & Associates LLC是一家专注于医疗保健和金融服务的隐私和信息安全咨询公司,其总裁克里斯•阿普加(Chris Apgar)表示:“问题在于,如果没有安全保障,你就无法拥有隐私。”“大多数登上报纸头版的隐私泄露事件都是因为有人没有在后台做好自己的工作,这确实是一个安全漏洞。”

安全性将在很大程度上取决于电子病历的功能。为此,设施需要确保系统提供最小的功能集。医疗保健信息技术认证委员会(CCHIT)已经加强了与隐私和安全相关的要求,并正在为2009年增加更多标准,这是一个很好的起点。

认证标准是由一个行业专家志愿小组制定的,然后在最终确定之前经过多次公众评论期的审查。然而,重要的是要注意,CCHIT认证仅适用于应用程序的功能,而不适用于实现后的遵从性。beplay最新备用网站

“这里有隐私,也有安全。这两者不仅需要技术——硬件和软件——还需要涉及人民的政策和实践。CCHIT主席Mark Leavitt博士说:“如果没有正确的培训、政策和执法,仅靠技术是无法保护隐私的,如果人们没有足够的技术,他们也无法单独做到这一点。”“我们不会在实施后对医院或医生办公室进行认证。我们在他们购买之前对产品进行认证,以帮助他们选择好产品。”

为此,获得CCHIT认证意味着EHR产品必须成功完成许多场景,以展示应用程序的访问控制、审计和身份验证能力。

该流程还检查了提供配置和使用EHR安全控制指南的文档的可用性,以及支持通过互联网或其他已知的开放网络通过加密和开放协议传递的PHI保密性的技术服务。

“如果你愿意的话,在电子病历中,我们解决了文件完整性问题。另一方面是安全性,从跟踪的角度来看,它表明盒子——它的系统和结构——正在保持[完整性],”CCHIT隐私和合规战略小组负责人、MPA、RHIA、FAHIMA、FHIMSS的邦妮·卡西迪(Bonnie Cassidy)说。beplay最新备用网站“除非你有持续的监控,确保你在每次出现违规时都能识别出来,否则你就处于试图捍卫运营完整性的境地。你不能只说‘一旦我们看到了’。’它必须是你的趋势,你在系统中有标记,所以你知道发生了什么,可以采取行动。”

除了CCHIT认证外,Apgar还建议审查通过电子病历发送到互联网或其他外部目的地的信息流,以确保在整个交易过程中正确加密。他还指出,许多组织正在超越HIPAA要求,对静态数据进行加密——换句话说,在存储信息时对其进行加密。

他说,电子病历的安全性取决于组织的网络,以及它的管理和物理防护措施。电子病历存在于动态环境中,必须使用实现的适当安全控制对其进行检查。

最后,如果应用程序中没有正确实现特定的安全功能,那么这些功能的存在就没有任何意义。审计日志就是一个典型的例子。

“每个应用程序都有许多审计日志要打开。关键是回到我作为一个组织应该做什么。如果你打开审计日志,你最好看看它,写一份报告,并记录你看过它的事实,否则你会给自己带来非常具体的责任,”阿普加说。“我并不是主张关闭审计日志,但如果你创建了审计日志,却什么都不做,甚至不看它一眼,那么你就给自己制造了一种非常具体的责任。”

环境安全是另一个值得关注的领域,其范围从计算机屏幕的基本位置到对数据存储区域的访问控制。

Barbara Demster, MS, RHIA, CHCQM, Just Associates的高级顾问,专门研究隐私和安全,HIMSS隐私和安全指导委员会主席,建议设施密切关注设置明确的安全期望,然后培训员工可接受的安全行为。

电子并不一定是无纸化的,这意味着从电子病历中以纸质形式输出的数据必须像在电子病历中一样得到严格的管理和监控。对关键区域的访问也必须加以控制,这包括社区输出设备,如打印机和传真机。

“一个地方的物理安全往往是最难确保的事情之一。我调查过和审计过的大多数组织,因为人们基本上都很友好。德姆斯特说,他们想提供帮助,所以他们扶着门,让一群“不应该在那里,或者至少应该被护送的人”进来。

这些人类行为最好通过全面的政策和程序来处理,这些政策和程序规定了所有事情,从谁可以访问患者记录的哪些区域,到发现安全漏洞时人员应该如何应对。

就像电子病历的安全功能如果使用不当就毫无意义一样,如果员工没有接受过如何遵守政策和程序的全面培训,那么这些政策和程序就一文不值。

“关于隐私的问题是,它更软,很多都是行为上的。安全问题也是如此。它们是人的行为,”Demster说。“你可以通过编程让系统以你想要的方式做出反应,但很难通过编程让人们以你想要的方式做出反应。”

持续的审计和风险分析是任何设施隐私和安全计划的重要组成部分。定期审查将确定任何需要额外关注的问题领域,并应至少每两年进行一次,“但应该更频繁地查看高风险领域,”Demster说。

Demster说,事实上,医疗机构应该在选择过程中对系统进行评估,以确保电子病历的特性和功能符合他们的确切需求,并且在部署之前可以进行任何必要的流程重组或环境重新设计。这不仅节省了实际实施的时间,而且还有助于避免在某些领域的过度补偿,这可能会不必要地提高EHR安装的价格。

它还有助于设定期望,让人们思考电子病历将如何影响他们的日常生活。

“电子环境将改变你做事的方式——这是肯定的。它没有办法覆盖现有的流程,”Demster说。“期待是关键字。预测对当前业务流程的影响。你需要考虑隐私和安全流程,并考虑与所有其他系统所需的交互。”

——伊丽莎白·s·鲁普来自佛罗里达州坦帕市。专门从事医疗保健和HIT的自由撰稿人


违规者会付出代价吗?
需要一点额外动力来保护隐私和安全的设施应该看看对违规行为的潜在惩罚。违反HIPAA的民事处罚最高可达每次100美元,一年内每次违反最高可达25,000美元。刑事处罚从5万美元到25万美元不等,最高可判处10年监禁。
但组织需要担心的不仅仅是HIPAA。

“联邦贸易委员会(FTC)是一条大而刻薄的狗,”阿普加联合有限责任公司(Apgar & Associates LLC)总裁克里斯·阿普加(Chris Apgar)说,“他们不仅会征收非常严厉的罚款,还会要求你每年对你的证券进行定期审计,并持续20年。所以联邦贸易委员会是一个你绝对不想介入的组织。”

民事案件也可以起诉违规者,并可能造成严重的经济影响,但阿普加说,侵犯隐私的代价远远超过美元。

他说:“你会失去信任,失去收入,声誉受损,甚至可能一直到倒闭。”“如果我的名声坏到人们不再信任我,我不能让病人来找我,我就会倒闭。隐私方面存在相当重大的问题,这些问题不一定是金钱问题。”
但是,即使HIPAA规定了民事和刑事处罚的途径,尽管仅在过去三年中就发生了大量的违规行为,但从未对设施征收过罚款。

随着医疗保险和医疗补助服务中心随机审计HIPAA安全法规的执行情况以及民权办公室计划加强隐私法规的执行,这种情况可能会发生变化。beplay最新备用网站

然而,民主与技术中心健康隐私项目主任史蒂文·麦格劳担心,五年来没有执法或处罚可能会发出错误的信息。

“我不知道执法机构进行的任何形式的突击审计会有多大好处,如果到最后还没有采取任何行动的话。”最终给公众和(受监管的)实体留下的印象是,对违规行为没有任何真正的惩罚。”beplay最新备用网站“这并不是说(组织)觉得他们可以完全放松。但如果你真的没有因为违规而面临严厉的惩罚,你可能会以其他方式优先考虑你的机构资源。”beplay最新备用网站

另一个可能更大的问题是,尽管民事处罚和披露违规行为可能会给违规组织带来财务困难和公共关系问题,但它们无法弥补医疗信息落入不法分子之手的患者所受到的损害。

“个别组织的声誉可能会受到损害,但当人们现在害怕寻求治疗时,谁来为集体伤害负责?”麦格劳问道。“在多大程度上,(医疗机构)必须对这些违规行为造成的寒蝉效应负责?这些违规行为加在一起,会影响人们寻求医疗服务和对医生完全诚实的意愿。”

- - - - - - ESR