电子病历的好处是众所周知的,它能减少文书工作、减轻管理负担及节约成本。但是,DriveSavers 公司隐私通讯部主管Lynda Martel指出,随诊医疗电子病历在医疗机构中的应用普及,严重的资料泄密事件呈显著增长态势。“并不是所有拥有受保护健康信息的机构都把安全协议放在心上,以保证受保护健康信息(PHI)内容的可靠性及完整性。如果健康医疗机构忽视他们医疗环境中所存在的安全问题,不管是内部环境问题还是外部环境问题,都有可能导致重要资料的泄密。”
Martel指出电子病历存在5个安全隐患,并可能带来麻烦。
1.盗窃。
在过去的一年里,媒体资料的丢失或被盗事件(最常见的包括备份磁带的丢失或笔记本电脑被盗)导致了一些严重泄密事件的发生。最近的PwC调查研究表明,在过去的两年内,有报道的医疗资料泄密事件中,盗窃引起的占到66%。此外,最近在加尼福利亚萨克拉门托萨特医疗中心发生的资料泄密事件,提示盗窃事件变的越来越猖獗。盗窃者用石头打破窗户,盗走桌面电脑,轻松窃取了400多万患者的医疗信息。
2. 移动设备。
由于便携式电子通信设备体积变的越来越小、价格越来越便宜,许多医务人员开始通过移动设备来访问受保护的医疗信息。这些便携式电子通信设备包括:掌上电脑、平板电脑以及闪存卡等等。这些设备不具备同电脑系统一般的安全防护措施。在2009年9月22至2011年3月8日期间,因移动设备带来的资料泄密事件达116起,泄漏了190多万名患者的受保护医疗信息。
3.数据传输。
发生在医疗领域的许多泄密事件往往是发生在专业人员同第三方之间进行数据传输的时候。有时也使用不够安全的通讯技术,例如:FTP站点。FTP缺乏安全保障、跟踪技术和审查功能,无法保护的信息安全。Martel建议:“参与数据传输的机构除了应对商业伙伴、医疗机构和患者之间的数据传输进行管理和审核,还应在技术和传输过程中进行支出,保护储存状态和流通状态下的数据。按照健康保险流通与责任法案(HIPAA)对服务提供商经行审查和对第三方合作方进行确认。”
4.外包给商业伙伴或第三方。
在过去的15年内,外包业务呈指数增长态势,在医疗行业司空见惯。为保障PHI的安全,商业伙伴、供应商、销售商及合作者作为医疗提供方,都应遵循国家法规(例如:HIPAA)。然而,仅有36%的医疗机构在签订合同前对他们的合作方进行了评估,在签订合同后对合作方进行了评估也仅约25%。
5.云技术。
由于外包业务的存储和安全协议的成本效益需求,云计算逐渐普及化。“使用云计算服务来维护PHI,使其可能成为医疗机构泄密资料的又一种方式。最终,云计算服务的使用者需按照章程和规定负全部法律责任。”