大概一個月前,,澤西城醫(yī)療中心的患者非常詫異的收到了一封郵件,告知他們醫(yī)院丟失了一個載有未加密患者敏感信息的光盤,。
郵件中稱被發(fā)現(xiàn)的丟失信息包括醫(yī)?;颊叩纳鐣kU號、支付信息以及入院日期,。任何人都有可能獲取這些信息,。
無獨有偶,新澤西的一家媒體對患者信息泄露事件進行了調(diào)查,,發(fā)現(xiàn)即使加密,、數(shù)據(jù)完整性以及安全措施越來越高端,醫(yī)療健康行業(yè)還是在保護患者敏感信息方面一次又一次遇挫,。
新澤西醫(yī)療機構(gòu)數(shù)據(jù)泄漏案例統(tǒng)計
美國衛(wèi)生和公眾服務(wù)部存檔數(shù)據(jù)顯示,,從2009年開始,新澤西醫(yī)療機構(gòu)約有一百萬患者的數(shù)據(jù)泄漏,。
- 2013年泄漏信息的患者總數(shù)為850000——這是自2009年強制申報以來最多的一次,。
- 從2009年開始,新澤西發(fā)生了14起患者敏感信息泄密事件,,包括17個不同的機構(gòu),,影響了將近一百萬患者。
- 新澤西最大的醫(yī)療數(shù)據(jù)泄漏事件于2013年11月發(fā)生在Horizon Blue Cross Blue Shield,,兩臺未加密的筆記本電腦從其紐瓦克總部被盜,。該醫(yī)療健康供應(yīng)商在2008年經(jīng)歷了一次相似的數(shù)據(jù)泄密事件。
- 州際衛(wèi)生部門也不能幸免,。新澤西公眾服務(wù)部也遭受過一次泄密,,第三方供應(yīng)商的一位雇員丟了個U盤,可能包含超過9000名醫(yī)療補助計劃患者的姓名和社會保險號,。
- 利文斯頓的巴拿馬健康醫(yī)療集團兒科分支以及瓦恩蘭的印斯皮瑞醫(yī)療中心在2013年也出現(xiàn)過泄密時間,。巴拿馬健康系統(tǒng)的8個機構(gòu)也有過類似遭遇,而紐瓦克貝斯以色列醫(yī)療中心在過去四年經(jīng)歷了三次泄密,。
- 小型醫(yī)療機構(gòu)也容易泄漏數(shù)據(jù),。11月,,韋恩的足病醫(yī)生Paul G. Klein辦公室報告丟失了一臺筆記本電腦,其中包含了2500名患者的信息,。
12月,,當(dāng)Jor Rodriguez收到Blue Cross Blue Shield的郵件時感到很震驚:他的信息泄漏是由于筆記本電腦被盜造成的。
Rodriguez表示:“你甚至都不會想到這種事會發(fā)生在自己身上,,但它真的發(fā)生了,。”
拜這次的泄密事件所賜,皮斯卡塔韋的Rebecca Ashton也收到了Blue Cross Blue Shield的郵件,,告知其兒子的姓名正在滿天飛,。除了謹(jǐn)慎的監(jiān)測信用卡賬戶外,對如何保護自己的家庭,,她真的一籌莫展,。
Ashton 說:“我們該如何應(yīng)對?我們必須得看醫(yī)生,也必須交醫(yī)療保險,,所以只能受其擺布,。”
8月,當(dāng)澤西城居民Damian Wieczorek收到郵件說,,澤西城醫(yī)療中心寄出的一張CD丟失了,,其中包含他的信息,他也感到同樣的驚訝,。
Wieczorek說:“我在IT行業(yè)工作,,我們從來不會那樣寄送含有未加密信息的移動硬盤。那樣我會立即被炒魷魚,。”
醫(yī)院以及其他醫(yī)療健康供應(yīng)商在處理隱私醫(yī)療信息時,,必須遵守美國醫(yī)療保險攜帶和責(zé)任法案(HIPAA)。
作為2009年激勵法案的一部分,,HITECH法案推動了醫(yī)療行業(yè)從紙質(zhì)病歷到電子病歷的步伐,,同時也引進了新的告示規(guī)則,擴大了政府對HIPAA違反的強制執(zhí)行,。
擴大的范圍覆蓋了2012年衛(wèi)生和公眾服務(wù)部人權(quán)辦公室執(zhí)行的所有試點審計程序,,同時著眼于不同規(guī)模和范圍的115個實體的患者隱私和安全。
他們發(fā)現(xiàn)的情況讓人警醒,。
三分之二的醫(yī)療健康服務(wù)供應(yīng)商未能執(zhí)行“完整和準(zhǔn)確”的安全風(fēng)險評估,,而這是HIPAA所要求的。此外,,人權(quán)辦公室(OCR)發(fā)現(xiàn)接受審計的59個醫(yī)療健康供應(yīng)商中有58個至少存在一項安全隱患。
OCR發(fā)言人Rachel Seeger表示,,審計喚醒了這樣一種意識:醫(yī)療健康行業(yè)要避免患者信息泄漏非常困難!Seeger 說:“我認(rèn)為該行業(yè)正逐步遵守HIPAA規(guī)則,,但仍有很長一段路要走。”
OCR正計劃2014年新一輪更大規(guī)模的審計,這次不似以前,,將涵蓋醫(yī)療機構(gòu)的合作伙伴們,。但是,即便是審計員也不能排斥泄露信息的嫌疑,。為了編制2012年審計計劃,,OCR與新澤西的畢馬威會計事務(wù)所(KPMG)合作。就在兩年前,,據(jù)HHS泄密數(shù)據(jù)庫顯示,,KPMG一位雇員丟失了一個未加密的閃存盤,包含患者名單以及他們在紐瓦克貝斯以色列醫(yī)療中心和圣巴拿馬中心就醫(yī)的信息,。OCR與KPMG都對此未置評論,。
對供應(yīng)商來說,仍然存在另一層責(zé)任,。同樣的2009年海泰克法案建立了名為EHR的項目,,為幫助實現(xiàn)從紙質(zhì)病歷到電子病歷轉(zhuǎn)換的醫(yī)院和醫(yī)療機構(gòu)實施獎勵。
為了獲得資金,,醫(yī)療供應(yīng)商必須執(zhí)行安全風(fēng)險評估,,并證明自己確實做了——盡管他們不用提供證明文件,除非他們被審計或調(diào)查了,。
當(dāng)2009年EHR激勵項目剛開始,,凱斯西儲大學(xué)法學(xué)院法律與生物倫理學(xué)教授Sharona Hoffman就對維護患者隱私安全方面缺少規(guī)則表達了擔(dān)憂。
Hoffman仍然相信,,僅僅依靠醫(yī)療機構(gòu)自身執(zhí)行風(fēng)險評估可能尚顯不夠,。她表示:“你做了風(fēng)險評估,這并不意味著你能找到問題,,并解決自己找到的問題,。”
對供醫(yī)療機構(gòu)而言,被政府審計的機會不大,,如此一來,,供應(yīng)商解決問題就缺乏推動力。
Hoffman說:“政府資源有限,,他們不能去審查每個醫(yī)療健康機構(gòu)的工作場所,、每臺電腦,來確保隱私要求得到了執(zhí)行,。”
加密:醫(yī)療信息安全的根本
當(dāng)醫(yī)療健康行業(yè)發(fā)生數(shù)據(jù)泄密事件,,通常不是由于某些惡意黑客侵入患者信息所致。
大多數(shù)時間,,而是恰好載有患者電子數(shù)據(jù)的筆記本電腦,、臺式電腦和閃存盤被內(nèi)部雇員弄丟或被盜,。
然而,很多情況下,,丟失或被盜的設(shè)備中的數(shù)據(jù)沒有加密,,這意味著信息能輕易被任何人訪問。在這種情形下,,所涉機構(gòu)必須以泄密來報告該事件,。
這就是為什么OCR發(fā)言人Rachel Seeger將加密稱作數(shù)據(jù)安全的“金科玉律”,因為這能讓數(shù)據(jù)對未被授權(quán)的人來說完全不能辨認(rèn),。
但加密在HIPAA中不是強制性的,。然而,如果泄密了,,但數(shù)據(jù)是加密的,,這種情況被認(rèn)為是足夠“安全”的,而所涉醫(yī)療機構(gòu)也無須向HHS報告該事件,。
在審計的115個對象中,,OCR發(fā)現(xiàn)56例加密不到位的機構(gòu),包括了39個醫(yī)療健康供應(yīng)商和14個健康保險計劃,。
新澤西的應(yīng)對策略
在新澤西,,對醫(yī)院和醫(yī)療機構(gòu)來說,保證患者數(shù)據(jù)百分百安全是極其困難的,。
新澤西醫(yī)院協(xié)會首席信息官Joe Carr 表示:“這就是讓我們夜不能寐的頭號問題,。雖然有時我們已盡全力,我們?nèi)匀浑y以安然入眠,。”
醫(yī)院通常是一個巨大的醫(yī)療健康網(wǎng)絡(luò),,其中有無數(shù)的科室、員工和銷售商每日與成千的患者打交道,。這就是為什么有時候系統(tǒng)的缺陷很難抓住,。
Carr 說:“為了給你的雇員和醫(yī)生充電、再充電,,你費盡全力,,但只消一個雇員做了件蠢事,你就要變熊貓眼了,。”
這就是為何很多機構(gòu)一直致力于幫助醫(yī)院解決保持安全工具隨時升級的問題,,以確保數(shù)據(jù)安全的最佳措施長久有效。他表示,,這是個長青話題,。
位于莫里斯敦、薩米特和牛頓的大西洋健康系統(tǒng)(Atlantic Health System),,2013年再次被醫(yī)院和網(wǎng)絡(luò)雜志(Hospitals & Networks magazine)評為“年度最安全健康系統(tǒng)”,,這也是該機構(gòu)連續(xù)四年榮膺此項榮譽,。該機構(gòu)擁有幾種靠譜的數(shù)據(jù)安全工具,其中包括患者數(shù)據(jù)加密術(shù),。
使用該系統(tǒng)的醫(yī)院沒有一家遭受過影響超過500人的電子數(shù)據(jù)泄密事件。而且,,該健康系統(tǒng)的首席信息官Linda Reed有一個簡單法則:
道高一尺魔高一丈,。對Reed來說,僅僅擁有最新的防泄密技術(shù)是不夠的,。培訓(xùn)員工和醫(yī)生,,讓其掌握處理患者數(shù)據(jù)的最佳措施——特別是存在很多泄密事件都是由于設(shè)備從員工手上丟失或被盜的情況下,醫(yī)院就應(yīng)該更加重視員工與醫(yī)生的安全培訓(xùn),。最終總結(jié)就是醫(yī)療設(shè)施保證患者隱私足夠?qū)I(yè),,以及手上的資源足夠充分。
HHS的OCR發(fā)言人Rachel Seeger 表示:“技術(shù)業(yè)已成為醫(yī)療健康的中堅,,醫(yī)療設(shè)施必須采取有意義的措施來保護其患者信息,,他們在確保患者身體安全方面謹(jǐn)慎和勤勉,,在保護信息安全上也是如此,。”
