位于华盛顿州塔科马地区的国家远程医疗技术中心的研究人员最近发表了一篇文章,探讨制订移动医疗数据安全性标准的必要性。
随着医疗卫生保健工作使用无线移动设备和无线网络的频率日益增多,研究人员认为急需制订相关的移动医疗数据安全性标准,来规范使用这些技术设备的行为,而不是任由某些人肆意无视HIPAA法案(1996年制订的健康保险流通与责任法案)规定为非作歹,特别是使用这些技术设备有可能会牵涉到其他商业领域,而导致患者的数据资料被滥用。此外,某些移动应用程序还可以存储患者的数据资料,并通过网络传输,对医疗机构的患者及医院网络数据构成了特定的安全威胁。缺乏移动医疗数据安全性标准可能成为移动设备卫生保健干预的障碍。在这篇文章里,研究者讨论了该领域目前的安全需求,分析现有的标准及其局限性,并为应对目前的挑战提出建议。
现有的标准:
本文发表于美国远程医疗协会的官方刊物《远程医疗和电子健康杂志》。文中研究者探讨了目前适用于医疗保健的相关移动数据安全性标准,并指出标准的适用范围。
首先,研究者重点关注美国远程医疗协会的指南。研究表明该指南明确指出了要怎么做才算遵守HIPAA法案,并为远程同步医疗保健服务提供了相当好的实践指导。该指南被称为“基于视频会议的远程医疗实用指南”,标题很好的体现了该指南制订的初衷,所有的指导意见均符合国内外有关要求保护数据隐私的法律法规,这些指导意见的汇总体现了对数据标准化的需求。
第二步,研究者指出要想建立有效保护医疗健康数据的安全性标准,就要创建类似于目前政府和私营部门正在使用的加密标准,该标准被称为高级加密标准或AES。
第三步,研究者指出VPN(虚拟专用网)是一个很好的保护数据的方法,可以用来安全地从远程位置访问专用网络,这也是目前许多组织使用的方法之一。
第四步,研究者指出目前尚无可靠的安全加密方法来保护无线数据,包括医疗健康数据。他们同时指出加密方法是有的,但是需要用户自行设置参数,而且目前对移动设备用户的安全设置都是坑爹的,没有任何保障的。
第五步,研究者指出通过移动健康应用程序存储和传输数据是否符合HIPAA法案规定,目前并无任何法律保障。应用程序的开发者只需要关注程序的安全性即可,他们没必要关心该应用程序是否遵守HIPAA法案。这和人们通过网站了解自己得的毛病情况有点类似,有些网站可能会要求你输入个人的健康信息,而且该网站可能根本就不符合HIPAA资质,因为它可能是由非HIPAA法案覆盖的非法组织创建的。
应用程序还可能收集用户的资料,包括姓名、密码、位置(比如“在××医院”)和个人数据(如性别、收入等),并把这些信息反馈给开发者。这种形式的信息共享造成用户私人健康信息泄露的更多可能性。
制订安全性标准的目的
研究者探讨了制订移动医疗数据安全性标准的一系列目标,他们指出安全性标准必须:能在不同的数据系统之间的相互通用,这包括旧系统按照通信标准升级为新系统后仍具有可操作性;必须实现多媒体资料的高效存储和传输,并能对所有数据进行加密,以便实现这些音频、视频和文件的共享;必须达到数据加密的最低标准,最好不需要用到外部加密技术或防火墙设备;必须是对用户公开透明和无欲无求的,可以让消费者和医疗机构充满信心,天真的认为他们的信息是绝对安全的。
提升安全性标准的步骤
研究者用图表解说了实现这些安全性标准目标的步骤。首先要选择技术方法。研究者回顾研究了可以实现这些目标的各种不同的技术手段,比如尝试把移动设备上的数据加密和安全防护性能放置在web服务器上,再通过web服务器来获取信息。此外,研究者指出还需要一个标准化的方法来验证数据系统(即登录密码保护)。最后,研究者指出让众多的利益相关者参与决策,可以确保移动设备数据安全性标准的实施。只有让每个利益相关者都能清楚地表达自己的需求,并满足他们的需求,才能让这些移动医疗数据用得秩序井然,安全舒心,不侧漏,让每年都要用到这些数据的人们能心安理得,减少他们对数据安全性的担忧。
原文详见:Review article proposes a standardized approach for mHealth data security