智能应用 影音
79749
荣耀会员

医疗信息外泄及时通报 确保遵循法规并降低冲击

医疗信息外泄及时通报 确保遵循法规并降低冲击

Mid-Michigan Physicians Imaging Center辖下的Radiology Center,于2017年3月发现电脑系统遭到入侵。不过为了确保切实完成全面性调查,负责管理的McLaren Medical Group延迟了5个月才通报入侵事件,官员表示基于相同理由而延迟相关信息公布。

据HealthcareITNews报导,经过全面调查之后,McLaren Medical Group仅能确认7名病患的病历曾被读取,不过并无法排除其他包括过去与目前病患的病历亦被读取外泄的可能性。Mid-Michigan Physicians Imaging Center于2017年8月底通知了大约超过10.6万名就医相关数据可能遭受外泄的病患。

McLaren Medical Group重建了被入侵的电脑系统并增加额外的安全防护,此外也提供所有受影响的病患身份窃取(Identity Theft)监测及保护措施。被入侵的电脑系统内,病患的个人隐私数据包括姓名、社会安全号码、生日、电话号码、地址、病历号码及诊断纪录;此外还有Radiology Center内部扫描的包括医师授权(Physician authorization)、医嘱、排班信息等其他文件。

未经授权的人员读取储存病患信息的数据库、黑客窃取电脑服务器中的病患信息,以及储存了未加密病患信息的设备遗失、失窃或遭勒索软件(Ransomware)攻击等事件层出不穷。数据外泄必须快速反应、谨慎调查,并采取有效措施,才能弥补漏洞、保护病患隐私、降低影响。

此外,及时通报对美国医疗保险信息携带与责任法案(HIPAA)的法规遵循(Compliance)更是至为重要。隶属HIPAA被涵盖的机构及业务夥伴必须熟捻HIPAA规定中完成调查及通报义务的时间表,违反相关法令将面临执法单位纠正举发、可观的罚款及负面宣传。

HIPAA规定包括健康照护提供者、健康计划及健康照护信息交换中心等被涵盖的机构,在发现不安全的受保护健康信息(PHI)外泄事件后,必须及时主动通报受影响的个人,即使有合理原因导致延迟,无论如何也必须在发现事件后60天内完成通报。

若是事件波及人数达500人或以上,在通报受影响个人的同时,也必须通报美国卫生及人力服务部(HHS)。而若是事件波及某一州的人数超过500人,则还必须在相同时限内通报当地媒体。至于波及人数低于500人的事件,被涵盖的机构必须在该日历年结束后60天内通报HHS。

业务夥伴也有通报责任,必须在发现不安全的PHI外泄事件后60天内通报被涵盖的机构,让被涵盖的机构能在时限内提供相关个人或机构必须的通知。

2017年1月HHS的民权办公室(OCR)宣布,首桩因未能及时通报不安全的PHI外泄事件而成立的和解案。通常违反HIPAA规定多是涉及电子健康纪录(EHR),不过此案却是由于遗失书面纪录。

位于芝加哥(Chicago)的大型健康照护系统公司Presence Health Network由于未能及时通报被入侵的事件,涉及违反HIPPA的外泄通知规定(Breach Notification Rule),同意支付47.5万美元罚锾并实施安全措施修正计划。

而目前HIPAA对单一机构最高的罚款为550万美元,Advocate Health Care Network由于存有高达400万名病患个人信息的4部电脑遭窃而受罚。OCR每年提出超过2万件HIPAA相关的控诉,因此未来罚款金额可能再创新高。

对保存个人健康纪录的厂商及其第三方服务供应商,美国联邦贸易委员会(FTC)也有类似的信息外泄通报规定。2006年俄亥俄州便基于一项安全外泄通知法令,要求必须通知电子信息安全遭受外泄事件波及的个人。

  •     按赞加入DIGITIMES智能医疗粉丝团
更多关键字报导: 智能医疗 网安 医疗产业