【HC3i獨(dú)家翻譯】以下6起數(shù)據(jù)泄漏事件均發(fā)生于2012年7月,,如此頻繁出現(xiàn)的數(shù)據(jù)泄漏事件隱忍深思,醫(yī)院如何預(yù)防數(shù)據(jù)泄漏呢,?專家給出7條建議,。
1、斯坦福大學(xué)附屬醫(yī)院公布數(shù)據(jù)泄密事件涉及2500名患者
斯坦福大學(xué)附屬醫(yī)院和醫(yī)學(xué)院發(fā)生密碼保護(hù)電腦失竊案件后,,院方公布2500位患者受到影響,。這部電腦包含醫(yī)療和科研相關(guān)信息,涉及例如患者的名字,,醫(yī)療服務(wù)注冊地點(diǎn),,病歷號等。一些信息還包括患者治療史,,出生年月及社保號碼,。
2、棕櫚灘鎮(zhèn)醫(yī)療行政部門職員竊取患者姓名,、社保號碼
佛羅里達(dá)州棕櫚灘鎮(zhèn)醫(yī)療行政部門發(fā)布了一個(gè)通告,,稱其醫(yī)療中心至少有86名患者的個(gè)人信息可能遭到泄漏,這些信息被交予非授權(quán)人員泄密原因是一名職員建立了一個(gè)包含姓名和社保號碼的名單,,并曾試圖通過郵件發(fā)送,。
3、電腦數(shù)據(jù)被盜,,哈特福德醫(yī)院近1萬名醫(yī)療患者受到影響
一臺包含康涅狄格州哈特福德醫(yī)院2097名病人和VNA醫(yī)療系統(tǒng)7461名患者個(gè)人醫(yī)療信息的電腦,,最近在哈特福德醫(yī)院的供應(yīng)商之一Greenplum的雇員家中被盜,。該公司是EMC集團(tuán)子公司,也是哈特福德醫(yī)院的家庭醫(yī)療保健伙伴,,在康涅狄格州設(shè)有辦事處,。 Greenplum負(fù)責(zé)哈特福德醫(yī)院再入院相關(guān)質(zhì)量改進(jìn)項(xiàng)目部分,主要對EMC的數(shù)據(jù)進(jìn)行分析,。失竊病人信息包括姓名,,地址,出生日期,,婚姻狀況,,社會安全號碼,醫(yī)療保險(xiǎn)和醫(yī)療保險(xiǎn)號碼,,醫(yī)療記錄號碼,,診斷和治療的信息。
4,、 紐約大學(xué)Langone醫(yī)學(xué)中心的盜竊案,,8400份病歷敲響安全警鐘
紐約大學(xué)Langone醫(yī)學(xué)中心一部存有8,400名患者個(gè)人健康信息的臺式計(jì)算機(jī)失竊。病人信息包括姓名,,地址,,出生日期,電話號碼以及保險(xiǎn)和臨床資料,。其中5000條丟失的個(gè)人記錄中包含社會安全號碼,。
5、數(shù)據(jù)泄密事件影響超過1萬4千名俄勒岡健康科學(xué)大學(xué)的患者
位于在波特蘭的俄勒岡衛(wèi)生與科學(xué)大學(xué)宣布,,一個(gè)存儲約14,300例病歷信息,,其中包括702兒科患者和大約200名OHSU的員工信息的U盤被OHSU的雇員攜帶回家后遭遇入室盜竊并丟失。U盤上的病人信息包括姓名,,出生日期,,電話號碼,地址,,OHSU的病歷號碼,,病人的醫(yī)療狀況描述等。
6,、筆記本電腦被盜,,近4000名以色列貝斯醫(yī)療中心的患者受到影響
總部位于波士頓的貝斯以色列醫(yī)療中心發(fā)布公告稱,一名醫(yī)生的個(gè)人筆記本電腦被盜后已經(jīng)有3900名患者個(gè)人健康信息可能已經(jīng)遭到泄漏,。個(gè)人健康信息泄漏的類別并未透露
7招杜絕醫(yī)院信息漏洞
在醫(yī)療行業(yè)的今天,,數(shù)據(jù)泄漏對于醫(yī)院和衛(wèi)生系統(tǒng)不再是一個(gè)是否發(fā)生的問題,而是“何時(shí)”的問題。根據(jù)美國政府問責(zé)辦公室統(tǒng)計(jì),,2010年發(fā)生了13,017起數(shù)據(jù)失竊事件,。在2011年,這一數(shù)額上升到15,560,。增長率達(dá)19%,。雖然這些統(tǒng)計(jì)數(shù)字包括醫(yī)療行業(yè)外的資料外泄,然而我們可以簡單地通過最近的新聞?lì)^條看到,,醫(yī)療系統(tǒng)正越來越多地發(fā)生數(shù)據(jù)外泄,。
據(jù)網(wǎng)絡(luò)數(shù)據(jù)的風(fēng)險(xiǎn)管理公司總裁 Christine Marciano稱,為數(shù)據(jù)泄漏或黑客攻擊做預(yù)防計(jì)劃前,,公司領(lǐng)導(dǎo)應(yīng)該問自己以下幾個(gè)關(guān)鍵問題:
?如果數(shù)據(jù)泄漏發(fā)生,,是否有事故應(yīng)急預(yù)案準(zhǔn)備?
?醫(yī)院向誰尋求援助?
?是否知道業(yè)務(wù)伙伴/或系統(tǒng)供應(yīng)商用什么方法保護(hù)他們的系統(tǒng)和他們的數(shù)據(jù)?
?最后一次要求查看這些政策是什么時(shí)候?
?醫(yī)生,護(hù)士和臨床工作人員是否被要求加密U盤的數(shù)據(jù)?
這五個(gè)問題可以給醫(yī)院資料外泄問題可以為防止泄漏的討論或行動(dòng)以啟示,,此外安全硬件開發(fā)商和經(jīng)銷商 Systematic Development 公司馬西亞諾( Marciano )女士建議,,為最大限度地降低數(shù)據(jù)破壞損失,可以采取以下七種方法,。
1,、確保數(shù)據(jù)保護(hù)和泄密管理政策和規(guī)定的覆蓋
如果醫(yī)院的隱私和安全政策和/或程序不全面就可能引發(fā)問題,當(dāng)發(fā)生數(shù)據(jù)破壞為時(shí)已晚,,但之后修復(fù)問題可以避免今后發(fā)生同樣的錯(cuò)誤。馬西亞諾女士建議以下問題來用以確定政策和處置程序是否有足夠的覆蓋面,。
?您的機(jī)構(gòu)是否有書面的,,覆蓋企業(yè)范圍的隱私政策?
?您的機(jī)構(gòu)是否有一個(gè)企業(yè)風(fēng)險(xiǎn)評估委員會或指定的首席隱私顧問或安全員?
?您的機(jī)構(gòu)是否有災(zāi)備計(jì)劃?
?您的機(jī)構(gòu)是否對筆記本電腦和便攜式媒體數(shù)據(jù)存儲進(jìn)行加密?
2、定期更新所有軟件和硬件
醫(yī)院應(yīng)及時(shí)完成包括安裝軟件補(bǔ)丁在內(nèi)的軟件更新,。 “審核數(shù)據(jù)保密政策時(shí),,應(yīng)注意公司機(jī)構(gòu)是否及時(shí)在軟件補(bǔ)丁發(fā)布30天內(nèi)安裝補(bǔ)丁,這一點(diǎn)十分重要,,”馬西亞諾女士解釋道,,一個(gè)軟件補(bǔ)丁是軟件系統(tǒng)所做的一系列更改。修補(bǔ)程序通常包括新增功能修正錯(cuò)誤或添加文件,。對于數(shù)據(jù)的安全性,,更新補(bǔ)丁可有助于阻止網(wǎng)絡(luò)攻擊,保護(hù)防火墻,。
3,、數(shù)據(jù)加密
減少數(shù)據(jù)破壞成本最好的辦法之一是通過加密數(shù)據(jù)。 “當(dāng)病人的數(shù)據(jù)丟失,,如果硬盤驅(qū)動(dòng)器或計(jì)算機(jī)是加密的,,病人或醫(yī)院的損失就會大大降低。 如果數(shù)據(jù)已經(jīng)加密,2011年報(bào)告的多數(shù)數(shù)據(jù)泄密事件就不會發(fā)生,。泰特(Tate)先生說,,“目前主要有兩種數(shù)據(jù)加密方法。
軟件的加密
泰特稱,,對數(shù)據(jù)進(jìn)行加密的主要途徑之一是在網(wǎng)絡(luò)上運(yùn)行加密軟件,,它可以在存儲時(shí)加密,當(dāng)雇員需要訪問數(shù)據(jù)時(shí)在網(wǎng)絡(luò)上運(yùn)行軟件進(jìn)行解密,。
硬件的加密
硬件加密正如其名稱,,加密不使用軟件,而是用硬件本身或驅(qū)動(dòng)器具有內(nèi)部加密功能,。 “當(dāng)你將數(shù)據(jù)保存在桌面上筆記本電腦或服務(wù)器硬盤驅(qū)動(dòng)器時(shí),,硬件加密自動(dòng)進(jìn)行,然后在讀取數(shù)據(jù)時(shí),,解密數(shù)據(jù),。”
管理端口,。另一種降低數(shù)據(jù)泄露風(fēng)險(xiǎn)的方式是對連接到醫(yī)院的有線,、無線網(wǎng)絡(luò)以及物理的端口進(jìn)行控制。泰特說,,“”USB端口現(xiàn)在是一大隱憂,。員工將自己的USB設(shè)備端口已經(jīng)司空見慣,因此需要有嚴(yán)格的規(guī)章制度規(guī)定員工如何使用物理端口,。網(wǎng)絡(luò)端口也需要嚴(yán)格的規(guī)則,。如果醫(yī)院建立了網(wǎng)絡(luò)數(shù)據(jù)規(guī)則規(guī)定哪些數(shù)據(jù)可以復(fù)制到移動(dòng)載體,病人的數(shù)據(jù)將更加安全,。
俄勒岡衛(wèi)生科學(xué)大學(xué)最近遭遇數(shù)據(jù)破壞,,存儲了14,300名患者信息的未加密U盤在雇員家中被盜。醫(yī)院要控制端口訪問有多種方法,,包括要求員工要使用加密的U盤:
?軟件解決方案稱為端口管理解決方案或端點(diǎn)解決方案,,該方案可提供保護(hù)。
?只允許唯一的U盤加密連接到醫(yī)院網(wǎng)絡(luò),。
?防止網(wǎng)絡(luò)中的可執(zhí)行文件復(fù)制到U盤,。
5、培訓(xùn)員工
醫(yī)院需要對員工培訓(xùn),,提高他們的隱私和安全意識,,減少資料外泄的風(fēng)險(xiǎn)。 “運(yùn)營商要確保推動(dòng)安全意識不斷增強(qiáng),,因?yàn)榘踩庾R薄弱是導(dǎo)致許多資料外泄和違反政策的一個(gè)關(guān)鍵問題,,例如筆記本電腦在醫(yī)生家中被盜,。”馬西亞諾女士說,。
6,、建立風(fēng)險(xiǎn)評估程序
馬西亞諾女士建議每年通過風(fēng)險(xiǎn)評估程序測試或?qū)徍税踩珯C(jī)制。 “醫(yī)院要研究加強(qiáng)安全控制的最佳做法,,以加強(qiáng)對網(wǎng)絡(luò)訪問的管理,,最大限度地減少數(shù)據(jù)泄漏,并積極解決問題,。此外,,她建議醫(yī)院購買數(shù)數(shù)據(jù)泄漏保險(xiǎn)。
7,、了解你的生意伙伴
醫(yī)院的需要他們的業(yè)務(wù)伙伴和供應(yīng)商保證將采用合適的手段保護(hù)患者的健康隱私,,尤其是在今天的數(shù)字環(huán)境下。馬西亞諾女士說:“了解他們的數(shù)據(jù)保護(hù)政策將有很長的路要走,,如果你讓業(yè)務(wù)伙伴處理你的數(shù)據(jù),,數(shù)據(jù)破壞會帶來的嚴(yán)重影響,這種影響程度完全無法由自己掌握”,。一臺包含哈特福德(康涅狄格州)醫(yī)院2097名病人和VNA醫(yī)療系統(tǒng)7461名患者個(gè)人醫(yī)療信息的電腦,,最近在哈特福德醫(yī)院的供應(yīng)商之一Greenplum的雇員家中被盜。該公司是EMC集團(tuán)子公司,,也是哈特福德醫(yī)院的家庭醫(yī)療保健伙伴,,在康涅狄格州設(shè)有辦事處。 Greenplum負(fù)責(zé)哈特福德醫(yī)院再入院相關(guān)的質(zhì)量改進(jìn)項(xiàng)目的一部分,,主要對EMC的數(shù)據(jù)進(jìn)行分析,。為了盡量減少風(fēng)險(xiǎn),馬西亞諾女士建議,,醫(yī)療機(jī)構(gòu)應(yīng)要求商業(yè)伙伴健全數(shù)據(jù)泄漏相關(guān)政策,以及數(shù)據(jù)泄密發(fā)生時(shí)的響應(yīng)策略,。數(shù)據(jù)泄漏對于醫(yī)療機(jī)構(gòu)是非常有害的,,因?yàn)樗麄兺{到醫(yī)院財(cái)政,聲譽(yù)和患者的忠誠度,。醫(yī)院需要提前做好準(zhǔn)備,,而這七種方法可以幫助醫(yī)院減少數(shù)據(jù)外泄的風(fēng)險(xiǎn)
