专家小组讨论隐私问题

在上周由智能卡联盟医疗保健和身份委员会和安全身份联盟共同主办的华盛顿全国新闻俱乐部简报会上，一组政策和技术专家告诉医疗保健行业领袖、公共政策制定者和政策影响组织，隐私、访问和身份对于奥巴马政府实现国家医疗保健信息基础设施现代化的努力至关重要。

这个话题很及时，因为HIT正从2009年美国复苏和再投资法案中获得近190亿美元的支持。发言者一致认为，紧迫感和大规模投资是好消息，但时间压力也可能造成问题。

智能卡联盟执行董事兰迪·范德霍夫说:“我们可能会过于关注电子健康记录(EHRs)的标准和交换方式，而牺牲健全的隐私和身份模型。”“关键问题是控制谁可以访问医疗保健信息，并正确地将正确的个人与其健康记录联系起来。这意味着身份管理和访问认证安全必须从一开始就嵌入，而不是在最后添加。”

纽约西奈山医疗中心(Mount Sinai Medical Center)信息技术副总裁保罗·康蒂诺(Paul Contino)是该领域的知名从业者和专家，他说，仅在一家医院内正确识别患者及其记录是很困难的，而在多家机构之间则更加困难。他警告说，身份管理必须预先正确处理，否则在地区甚至全国范围内，“电子医疗记录的联系将会出现问题”。西奈山医院改进了患者登记流程，并实施了基于智能卡的患者卡，以更准确地将个人与其医疗和行政记录联系起来。

Patient Command, Inc.的联合创始人兼总裁理查德·d·马克斯(Richard D. Marks)表示，医院和其他利益相关者还面临着更严格的隐私和安全规定，以及对违规者的新经济处罚。马克斯说，《美国复苏和再投资法案》中的医疗保健HITECH法案条款是新政府为延长和执行HIPAA法规而做出的直接努力，而这些法规迄今在很大程度上被忽视了。为了加强执法力度，新的立法制定了健康记录数据泄露通知规则，对未能保护个人健康信息的罚款，以及申诉人有权分享对违法者征收的民事罚款，这为举报人提供了很大的激励。马克斯说，民事和刑事处罚不仅限于机构，还同样适用于疏忽的首席执行官、首席财务官、首席信息官和董事会成员，包括可能的监禁。

在这个新环境中，身份验证成为行业涉众面临的最大业务流程问题。马克斯说:“我们需要的是一种便于公众进行身份验证的东西，这样我们就能准确地知道他们是谁。”

另一位小组成员提出了授权人们管理自己的个人医疗保健信息的问题。William Yasnoff，医学博士，健康记录银行联盟主席和NHII顾问的管理合伙人，问听众:“现在谁有你的医疗记录的完整副本?对于绝大多数人来说，答案是没有人。”

亚斯诺夫认为，目前的模式——将医疗记录保存在它们产生的地方，然后在需要的时候以某种方式收集信息——是有缺陷的。他设想了一个健康记录银行，本质上是一个电子保险箱，为个人的全面健康记录提供一个安全的存储库。患者将严格控制对信息的访问，保证隐私和同意。

金雅拓医疗保健和政府主管Michael Magrath认为，无论个人医疗保健信息是集中存储还是存储在创建它的地方，其安全性都比其他类型的个人信息(如信用卡账户)重要得多。麦格拉斯指出，如果有人窃取了你的信用卡号码，并开始在网上使用，银行将弥补你的经济损失，只给你一张新卡;但是，在医疗保健信息的情况下，没有单一的发行者可以保护您。“如果我的个人医疗记录被泄露，我们没有追索权。它就在那里，永远在那里，”他说。

HIMSS隐私和安全高级主管Lisa Gallagher总结了该小组向行业利益相关者和政策制定者传达的主要信息。她说:“至关重要的是，整个医疗保健社区都要了解安全控制与我们试图在国家层面实施的隐私政策之间的关系。”“不管隐私政策怎么说，也不管一家公司承诺遵守隐私政策的力度有多大、频率有多高，如果不实施适当的安全控制，它就无法做到这一点。”

资料来源:智能卡联盟