在医疗保健行业,医生和医院在访问及共享患者关键性资料和确保电子病历的安全性方面应有一个平衡点。在遵循《患者保护与评价医疗法案》(ACA)即奥巴马医改的前提下,作为医生,要同医疗组织责任组成部分的病护人员进行合作,进行患者资料共享是必须的。但与资料共享同等重要的是,医疗保健组织也应按照规定避免重要资料外泄,以免给医疗保健业带来灾难。据互联网数据中心(IDC)医疗监察研究室主任JudyHanover称,为确保信息安全,医疗保健信息技术部需在确保移动设备安全、加强资料审查和使用防入侵软件等方面进行投资。电子病例公司Drchrono 的共同创始人兼公司董事长MichaelNusimow对eWEEK说:“你需要你的医生能在咖啡店访问你的病历,但我们也需要加强病例资料的安全性。”在幻灯片中, IT业专家将对如何使医疗保健机构加强患者资料保护,且不影响医疗保健机构继续访问其所需患者资料方面提出了几点建议。
采取预防资料泄漏措施。
Mimecast电子邮件管理公司云策略副总裁JustinPirie对eWEEK说,由于资料泄密会严重损害组织机构的声誉,医疗保健机构应该采取预防资料泄密措施(DLP),以防止患者重要信息的非法泄漏。他说,医疗服务机构需要考虑安装一个预防资料泄密(DLP)网关,对进出入数据流进行管理。“通过对电子邮件安装预防资料泄密(DLP)网关,可显著降低患者资料通过电子邮件泄密的风险。” Pirie说。
对资料经行加密,不论是传输过程还是在静止中。
随着移动设备在医生中的普及化。目前,资料共享是非常地方便,但对资料经行加密也是至关重要的。Pirie说:“你肯定不想把患者的资料发布在互联网上,电子邮件就像是一张明星片,任何人都可以阅读它,除非你将他加密。如果医生使用的是像Mimecast公司这样的电子邮件管理服务器,那么他们可将邮件资料进行加密,从而避免信息数据包被人发现。”
进行健康保险流通和责任法案(HIPAA)培训
对患者信息的发布受《健康保险流通和责任法案》这样的法规管理,并且2009年颁布的《医疗信息技术促进经济和临床健康法案》对报告泄漏管理更为严格。出于此原因,医疗保健机构需对其临床工作人员就如何管理资料、避免处罚进行培训,HIMSS (医疗卫生信息与管理系统协会)负责隐私与安全的高级主管Lisa A.Gallagher在给eWEEK的电子邮件中写道。HIMSS (医疗卫生信息与管理系统协会)是一个为医疗保健机构和安管人员进行这方面培训的组织。
使用双重身份验证
据为iPhone和iPad 提供基于云计算的电子病历软件的Drchrono公司称,仅一个用户名和密码是不足以防止资料外泄的。该公司建议使用双重身份验证,并且在8月13日该公司宣布,公司的电子病例产品已经增添了该功能。在双重身份验证登陆系统中,临床医生在使用用户名和密码登陆他们的Drchrono账号前,需输入一次安全代码。Drchrono公司的Nusimow预言,五年内医生使用双身份验证登陆系统将成为该行业标准。
聘请首席隐私主管
CSC全球新兴医疗实践研究所资深研究专家JaredRhoads说,医疗保健机构应该增添首席隐私主管(CPO)这一职位。CPO将需对IT系统进行监视,制定保密制度和对相关人员进行资料安全培训。Rhoads对eWEEK说:“无人监测的地方有很多。”其责任常常在于IT部门,而不是首席主管部门,他说。Rhoads还说道:“当你正考虑改变你现有健康IT环境时,这是很重要的。通过增设一名首席隐私主管,可以让你的隐私防护工作走在最前沿,并且使一直作为讨论话题的隐私与安全变的更容易。”
实行安全风险评估
Rhoads说,医疗保健机构在管理部门对其进行审计或遭受泄密事件前,应该实行安全风险评估。他说,在联邦审计要求的十五天内,医疗保健机构应该对资料中心或服务器的风险进行逐一记录。Rhoads也说道:“从现在起,记下你所有想记录的东西,通过该弥补措施将解决了你日后的烦恼。”
移动设备管理政策升级
随着移动设备在医疗保健中的流行,对于医疗设备中的移动设备,医疗保健机构需对此重新建立政策。随着智能手机和平板电脑进入市场以来,已有的移动设备管理政策可能不再适应当前需求。Rhoads说:“随着近两年来iPhone和智能手机的大众化,并融入医院,那么向你的员工重新讲述政策、提出新的根本性想法和情况,最终将使你受益。”
对本地笔记本存储进行限制
Rhoads说:“你可以对笔记本端进行某些限制。”他建议使用技术手段对本地记录存储次数进行限制。他说:“在护士的众多原因中,无论如何都没有理由让护士携带受保护医疗信息回家。”
保留社会媒体方面的政策
Rhoads提醒道,没有明确的社会媒体政策,患者的资料就可能出现在Facebook、Twitter或YouTube上。医疗机构必须制定适用于社会媒体的政策制度。CSC全球新兴医疗实践研究所所长JordanBattani建议,在办公室不要在公共在线论坛上谈论病人和不愉快的事。
使用具有合格证书的电子病例软件
前国防部安全理事、CynergisTek(医疗保健安全公司)公司董事长MacMcMillan说,在使用电子病例软件时,医疗机构应该选择使用具有健康与人类服务部提供的合格证书的电子病例软件。已获HIT认证的电子病例产品目录可登陆HealthIT.HHS.gov.网站进行查询。