电子新闻独家

减低私隐及保安风险的七项策略
在ROI过程中

作者:Rita Bowen, MA, RHIA, CHPS, SSGB和Scott Ruthe

由于医疗保健数据泄露不断将患者信息置于风险之中，组织必须将披露管理实践置于首位——这是政策和程序的重要组成部分。对于HIM专业人员来说，这意味着要平衡越来越多的管理责任:隐私和安全、透明度和可用性、合规性和总体信息完整性，以支持护理质量。beplay最新备用网站

波耐蒙研究所的第五届医疗数据隐私与安全年度基准研究由ID Experts发起的调查显示，在过去两年中，91%的医疗机构至少发生过一次数据泄露，40%的机构发生过五次以上的数据泄露。犯罪攻击被认为是医疗保健行业数据泄露的新主要原因，更多的数据泄露被归咎于可信任的内部人员。

大多数受访者表示，他们认为数据泄露会增加患者个人健康信息被泄露的风险，并指出这是最大的威胁。此外，病历丢失或被盗的患者更容易受到医疗和金融身份被盗的伤害。个人医疗身份被盗的威胁比去年上升了22%——然而危害却没有得到解决。根据波耐蒙/医疗身份欺诈联盟的研究，2014第五次医疗身份盗窃年度研究在美国，医疗身份盗窃在五年内几乎翻了一番，从140万成年受害者增加到2014年的230多万。

面对这些令人信服的发现，大多数医疗保健组织都没有准备好应对不断发展的隐私和安全威胁。建立强有力的信息披露管理实践以保护患者信息至关重要。

管理披露过程-为什么保护是重要的
管理信息披露或发布(ROI)挑战的复杂性随着大量请求而稳步增长。一些组织在内部处理ROI，而其他组织将流程外包给专门处理受保护健康信息(PHI)的供应商。无论哪种方式，组织都将受益于与信息治理实践相结合的技术解决方案，使PHI仅对HIPAA定义的对信息有合法需求的各方可用。

尽管病人的病历可能会丢失或被盗，但Ponemon报告称，近三分之二的医疗机构和商业伙伴(BAs)都没有提供保护服务。只有19%提供信用监控，10%提供其他身份监控。因此，许多身份盗窃的受害者都要为此埋单——花费数千美元来支付虚假索赔的费用，纠正他们的健康记录，恢复他们的信用。

医疗保健身份被盗造成的危害比信用卡被盗或银行账户被盗造成的危害更为复杂。如果有人偷了你的信用卡，控股公司可以取消账户，并分配一个新的号码。对于医疗保健，患者信息可以反复出售给不同的人，这些人在不同的地点继续使用它。一条信息的形成可能需要多年的时间。信用监测对病人的价值在于让他们安心。从商业角度来看，这是正确的做法。它表明你的设施是一个有道德的，以价值为基础的组织。

如果发生违约该怎么办
实施了主动管理身份盗窃方法的卫生保健机构在这方面遥遥领先。一些组织指定了反应小组，负责制定以多学科培训为重点的预防做法，以减少医疗身份盗窃。在预防措施到位的情况下，供应商应确定调查和恢复过程，包括通知和保护受影响患者的计划。

当数据泄露发生时，第一步包括彻底调查和风险评估，以确定PHI泄露的性质和程度以及潜在危害。必须尽快通知信息被泄露的患者，不迟于发现之日起60天。您的组织或广管局可以通过一级邮件以书面形式提供个人通知，如果受影响的人同意电子通知，也可以通过电子邮件提供通知。

如果您没有足够的或过期的10人或以上的联系信息，您必须在您的网站主页或其他印刷或广播媒体上发布通知，至少90天。违规通知要求根据违规影响是否超过500人而有所不同。你可能需要根据他们网站上的说明通知卫生与公众服务部。

投资网络保险的组织可以为他们的病人提供身份盗窃保护。如果发生违规行为，患者通常可以访问一个集中的呼叫中心，以帮助缓解担忧，并在事件发生后获得指导。

降低投资回报率风险的七个策略
虽然披露过程是IT的首要任务，但保护患者记录还需要信息治理支持的标准策略和实践。以下是加强信息披露管理的七条策略:

• 创建一个由行政领导的多学科团队，以确定隐私和安全问题，设置优先级，并标准化访问和披露实践。
• 定期评估风险和控制措施，以识别隐私和安全方面的漏洞。相应地更新政策、程序和技术——指定谁可以访问哪些PHI，以及在发生违规行为时应如何处理。
• 使用美国国家标准与技术研究所的静态数据和动态数据标准加密所有电子信息。如果未加密的设备、驱动器或数据被盗或放错地方，民权办公室自动假定违反了HIPAA。不需要违规通知，因为没有密钥就无法访问信息。
• 运用科技侦测及防止未经授权使用及传送电子资料。应用程序可用于持续监控软件和系统硬件，以防范外部威胁和安全风险。确保有效的隐私和安全控制管理。
• 建立授权流程以持续监控PHI披露。开发一份全面的ROI手册，提供根据HIPAA要求处理披露过程的每个方面的分步说明。
• 投资网络保险，以帮助减轻数据泄露的财务风险。一定要确定保险范围和费用。
• 提供持续的企业范围内的教育和培训，以促进对组织政策和程序以及管理PHI披露的相关法律法规的理解。跟踪每个培训计划并评估其有效性。

教育仍然是最重要的
教育是信息披露管理成功的基础。如果没有由ROI培训和专业知识强制执行的标准化策略和过程，组织将面临实现遵从性、护理质量、患者安全、操作效率和降低成本方面的严重挑战。beplay最新备用网站除了他们自己的组织流程、源系统、EHR记录需求、ROI文档和工作流之外，HIM和企业中的所有其他员工还必须了解联邦和州的规章制度。

虽然许多医疗保健组织正在采取措施加强对隐私和安全的关注，但快速变化的网络威胁继续超过对保护医疗保健信息的技术和流程的投资。最近的研究证实，需要一种主动的、全企业范围的方法。确保对信息的信任是每个人的责任。

- Rita Bowen, MA, RHIA, CHPS, SSGB，是HealthPort的HIM高级副总裁和隐私官。

- Scott Ruthe是HealthPort的网络和安全副总裁。