大概一個(gè)月前,澤西城醫(yī)療中心的患者非常詫異的收到了一封郵件,告知他們醫(yī)院丟失了一個(gè)載有未加密患者敏感信息的光盤,。
郵件中稱被發(fā)現(xiàn)的丟失信息包括醫(yī)保患者的社會(huì)保險(xiǎn)號,、支付信息以及入院日期,。任何人都有可能獲取這些信息,。
無獨(dú)有偶,,新澤西的一家媒體對患者信息泄露事件進(jìn)行了調(diào)查,發(fā)現(xiàn)即使加密,、數(shù)據(jù)完整性以及安全措施越來越高端,,醫(yī)療健康行業(yè)還是在保護(hù)患者敏感信息方面一次又一次遇挫。
新澤西醫(yī)療機(jī)構(gòu)數(shù)據(jù)泄漏案例統(tǒng)計(jì)
美國衛(wèi)生和公眾服務(wù)部存檔數(shù)據(jù)顯示,,從2009年開始,,新澤西醫(yī)療機(jī)構(gòu)約有一百萬患者的數(shù)據(jù)泄漏。
- 2013年泄漏信息的患者總數(shù)為850000——這是自2009年強(qiáng)制申報(bào)以來最多的一次,。
- 從2009年開始,,新澤西發(fā)生了14起患者敏感信息泄密事件,包括17個(gè)不同的機(jī)構(gòu),,影響了將近一百萬患者,。
- 新澤西最大的醫(yī)療數(shù)據(jù)泄漏事件于2013年11月發(fā)生在Horizon Blue Cross Blue Shield,兩臺未加密的筆記本電腦從其紐瓦克總部被盜,。該醫(yī)療健康供應(yīng)商在2008年經(jīng)歷了一次相似的數(shù)據(jù)泄密事件,。
- 州際衛(wèi)生部門也不能幸免。新澤西公眾服務(wù)部也遭受過一次泄密,,第三方供應(yīng)商的一位雇員丟了個(gè)U盤,,可能包含超過9000名醫(yī)療補(bǔ)助計(jì)劃患者的姓名和社會(huì)保險(xiǎn)號,。
- 利文斯頓的巴拿馬健康醫(yī)療集團(tuán)兒科分支以及瓦恩蘭的印斯皮瑞醫(yī)療中心在2013年也出現(xiàn)過泄密時(shí)間。巴拿馬健康系統(tǒng)的8個(gè)機(jī)構(gòu)也有過類似遭遇,,而紐瓦克貝斯以色列醫(yī)療中心在過去四年經(jīng)歷了三次泄密。
- 小型醫(yī)療機(jī)構(gòu)也容易泄漏數(shù)據(jù),。11月,,韋恩的足病醫(yī)生Paul G. Klein辦公室報(bào)告丟失了一臺筆記本電腦,,其中包含了2500名患者的信息,。
12月,,當(dāng)Jor Rodriguez收到Blue Cross Blue Shield的郵件時(shí)感到很震驚:他的信息泄漏是由于筆記本電腦被盜造成的,。
Rodriguez表示:“你甚至都不會(huì)想到這種事會(huì)發(fā)生在自己身上,,但它真的發(fā)生了,。”
拜這次的泄密事件所賜,,皮斯卡塔韋的Rebecca Ashton也收到了Blue Cross Blue Shield的郵件,,告知其兒子的姓名正在滿天飛,。除了謹(jǐn)慎的監(jiān)測信用卡賬戶外,,對如何保護(hù)自己的家庭,她真的一籌莫展,。
Ashton 說:“我們該如何應(yīng)對?我們必須得看醫(yī)生,也必須交醫(yī)療保險(xiǎn),,所以只能受其擺布,。”
8月,,當(dāng)澤西城居民Damian Wieczorek收到郵件說,,澤西城醫(yī)療中心寄出的一張CD丟失了,,其中包含他的信息,,他也感到同樣的驚訝。
Wieczorek說:“我在IT行業(yè)工作,,我們從來不會(huì)那樣寄送含有未加密信息的移動(dòng)硬盤,。那樣我會(huì)立即被炒魷魚。”
醫(yī)院以及其他醫(yī)療健康供應(yīng)商在處理隱私醫(yī)療信息時(shí),,必須遵守美國醫(yī)療保險(xiǎn)攜帶和責(zé)任法案(HIPAA),。
作為2009年激勵(lì)法案的一部分,,HITECH法案推動(dòng)了醫(yī)療行業(yè)從紙質(zhì)病歷到電子病歷的步伐,,同時(shí)也引進(jìn)了新的告示規(guī)則,,擴(kuò)大了政府對HIPAA違反的強(qiáng)制執(zhí)行,。
擴(kuò)大的范圍覆蓋了2012年衛(wèi)生和公眾服務(wù)部人權(quán)辦公室執(zhí)行的所有試點(diǎn)審計(jì)程序,,同時(shí)著眼于不同規(guī)模和范圍的115個(gè)實(shí)體的患者隱私和安全。
他們發(fā)現(xiàn)的情況讓人警醒,。
三分之二的醫(yī)療健康服務(wù)供應(yīng)商未能執(zhí)行“完整和準(zhǔn)確”的安全風(fēng)險(xiǎn)評估,,而這是HIPAA所要求的。此外,,人權(quán)辦公室(OCR)發(fā)現(xiàn)接受審計(jì)的59個(gè)醫(yī)療健康供應(yīng)商中有58個(gè)至少存在一項(xiàng)安全隱患,。
OCR發(fā)言人Rachel Seeger表示,審計(jì)喚醒了這樣一種意識:醫(yī)療健康行業(yè)要避免患者信息泄漏非常困難!Seeger 說:“我認(rèn)為該行業(yè)正逐步遵守HIPAA規(guī)則,,但仍有很長一段路要走,。”
OCR正計(jì)劃2014年新一輪更大規(guī)模的審計(jì),,這次不似以前,將涵蓋醫(yī)療機(jī)構(gòu)的合作伙伴們,。但是,即便是審計(jì)員也不能排斥泄露信息的嫌疑,。為了編制2012年審計(jì)計(jì)劃,,OCR與新澤西的畢馬威會(huì)計(jì)事務(wù)所(KPMG)合作。就在兩年前,,據(jù)HHS泄密數(shù)據(jù)庫顯示,,KPMG一位雇員丟失了一個(gè)未加密的閃存盤,包含患者名單以及他們在紐瓦克貝斯以色列醫(yī)療中心和圣巴拿馬中心就醫(yī)的信息。OCR與KPMG都對此未置評論,。
對供應(yīng)商來說,,仍然存在另一層責(zé)任。同樣的2009年海泰克法案建立了名為EHR的項(xiàng)目,,為幫助實(shí)現(xiàn)從紙質(zhì)病歷到電子病歷轉(zhuǎn)換的醫(yī)院和醫(yī)療機(jī)構(gòu)實(shí)施獎(jiǎng)勵(lì),。
為了獲得資金,醫(yī)療供應(yīng)商必須執(zhí)行安全風(fēng)險(xiǎn)評估,,并證明自己確實(shí)做了——盡管他們不用提供證明文件,,除非他們被審計(jì)或調(diào)查了。
當(dāng)2009年EHR激勵(lì)項(xiàng)目剛開始,,凱斯西儲(chǔ)大學(xué)法學(xué)院法律與生物倫理學(xué)教授Sharona Hoffman就對維護(hù)患者隱私安全方面缺少規(guī)則表達(dá)了擔(dān)憂。
Hoffman仍然相信,,僅僅依靠醫(yī)療機(jī)構(gòu)自身執(zhí)行風(fēng)險(xiǎn)評估可能尚顯不夠,。她表示:“你做了風(fēng)險(xiǎn)評估,這并不意味著你能找到問題,,并解決自己找到的問題,。”
對供醫(yī)療機(jī)構(gòu)而言,,被政府審計(jì)的機(jī)會(huì)不大,如此一來,,供應(yīng)商解決問題就缺乏推動(dòng)力,。
Hoffman說:“政府資源有限,他們不能去審查每個(gè)醫(yī)療健康機(jī)構(gòu)的工作場所,、每臺電腦,來確保隱私要求得到了執(zhí)行,。”
加密:醫(yī)療信息安全的根本
當(dāng)醫(yī)療健康行業(yè)發(fā)生數(shù)據(jù)泄密事件,,通常不是由于某些惡意黑客侵入患者信息所致。
大多數(shù)時(shí)間,而是恰好載有患者電子數(shù)據(jù)的筆記本電腦,、臺式電腦和閃存盤被內(nèi)部雇員弄丟或被盜,。
然而,很多情況下,,丟失或被盜的設(shè)備中的數(shù)據(jù)沒有加密,,這意味著信息能輕易被任何人訪問。在這種情形下,,所涉機(jī)構(gòu)必須以泄密來報(bào)告該事件,。
這就是為什么OCR發(fā)言人Rachel Seeger將加密稱作數(shù)據(jù)安全的“金科玉律”,因?yàn)檫@能讓數(shù)據(jù)對未被授權(quán)的人來說完全不能辨認(rèn),。
但加密在HIPAA中不是強(qiáng)制性的,。然而,如果泄密了,,但數(shù)據(jù)是加密的,,這種情況被認(rèn)為是足夠“安全”的,而所涉醫(yī)療機(jī)構(gòu)也無須向HHS報(bào)告該事件,。
在審計(jì)的115個(gè)對象中,,OCR發(fā)現(xiàn)56例加密不到位的機(jī)構(gòu),包括了39個(gè)醫(yī)療健康供應(yīng)商和14個(gè)健康保險(xiǎn)計(jì)劃,。
新澤西的應(yīng)對策略
在新澤西,,對醫(yī)院和醫(yī)療機(jī)構(gòu)來說,保證患者數(shù)據(jù)百分百安全是極其困難的,。
新澤西醫(yī)院協(xié)會(huì)首席信息官Joe Carr 表示:“這就是讓我們夜不能寐的頭號問題,。雖然有時(shí)我們已盡全力,我們?nèi)匀浑y以安然入眠,。”
醫(yī)院通常是一個(gè)巨大的醫(yī)療健康網(wǎng)絡(luò),,其中有無數(shù)的科室、員工和銷售商每日與成千的患者打交道,。這就是為什么有時(shí)候系統(tǒng)的缺陷很難抓住,。
Carr 說:“為了給你的雇員和醫(yī)生充電、再充電,,你費(fèi)盡全力,,但只消一個(gè)雇員做了件蠢事,你就要變熊貓眼了,。”
這就是為何很多機(jī)構(gòu)一直致力于幫助醫(yī)院解決保持安全工具隨時(shí)升級的問題,,以確保數(shù)據(jù)安全的最佳措施長久有效。他表示,,這是個(gè)長青話題,。
位于莫里斯敦,、薩米特和牛頓的大西洋健康系統(tǒng)(Atlantic Health System),2013年再次被醫(yī)院和網(wǎng)絡(luò)雜志(Hospitals & Networks magazine)評為“年度最安全健康系統(tǒng)”,,這也是該機(jī)構(gòu)連續(xù)四年榮膺此項(xiàng)榮譽(yù),。該機(jī)構(gòu)擁有幾種靠譜的數(shù)據(jù)安全工具,其中包括患者數(shù)據(jù)加密術(shù),。
使用該系統(tǒng)的醫(yī)院沒有一家遭受過影響超過500人的電子數(shù)據(jù)泄密事件,。而且,該健康系統(tǒng)的首席信息官Linda Reed有一個(gè)簡單法則:
道高一尺魔高一丈,。對Reed來說,,僅僅擁有最新的防泄密技術(shù)是不夠的。培訓(xùn)員工和醫(yī)生,,讓其掌握處理患者數(shù)據(jù)的最佳措施——特別是存在很多泄密事件都是由于設(shè)備從員工手上丟失或被盜的情況下,,醫(yī)院就應(yīng)該更加重視員工與醫(yī)生的安全培訓(xùn)。最終總結(jié)就是醫(yī)療設(shè)施保證患者隱私足夠?qū)I(yè),,以及手上的資源足夠充分,。
HHS的OCR發(fā)言人Rachel Seeger 表示:“技術(shù)業(yè)已成為醫(yī)療健康的中堅(jiān),醫(yī)療設(shè)施必須采取有意義的措施來保護(hù)其患者信息,,他們在確?;颊呱眢w安全方面謹(jǐn)慎和勤勉,在保護(hù)信息安全上也是如此,。”
