COVID-19大流行促使医疗机构将远程医疗作为重中之重。正如他们所做的那样,他们被迫面对与信息访问、使用和更改相关的隐私问题,以及存储健康数据的公共云服务的安全问题。
正如云安全联盟(CSA)在一份关于健康数据保护的新报告中所解释的,“远程医疗”和“远程健康”不应该互换使用。前者是指通过技术手段进行临床诊断和监测;后者的定义更为宽泛。远程医疗涵盖临床医疗和工具,如信息亭、网站监控应用程序、移动应用程序、可穿戴设备和视频会议技术,以将患者与医疗服务提供商联系起来。
卫生保健组织(HDO)正在提高远程医疗能力,例如远程病人监护(RPM)和远程医疗,以在家中治疗病人,并降低医疗服务提供者和患者的暴露风险。专家写道,在大流行后很长一段时间,这种情况将继续增长。
越来越多地依赖云中的远程医疗有望为医疗保健机构带来隐私和安全风险。提供远程医疗服务的大多数医院系统都使用视频会议工具以及云和Internet技术,从而产生了一系列潜在问题,并且要求安全团队仔细查看其体系结构以发现缺陷并确定控制措施。
这是HDO和云提供商之间的共同责任。医疗保健组织必须了解患者数据及其使用技术的法规要求。
可以通过公共Internet访问公共云服务,专家说这并不意味着云具有固有的安全性,而应在云安全模型中考虑。 HIPAA要求HDO维护“合理和适当”的管理,技术和物理保护,以保护公共卫生信息(PHI)。还要求HDO进行安全威胁风险分析,其中包括基于云的威胁,并提供制定基于风险的决策所需的信息。
医疗保健组织还应该确定他们已经实施的安全控制措施,并确保它们按预期工作。作为这些评估的一部分,HDO应该与其云服务提供商讨论治理,合规性,机密性,完整性,可用性以及事件响应和管理。利益相关者必须考虑系统的端到端安全性,包括用于访问控制和用户供应的内部策略。
受保护的健康信息是与远程医疗有关的隐私问题的核心,并且正在关注针对信息系统以访问PHI的针对性攻击的出现。 《 HIPAA隐私规则》规范了PHI的收集,使用和披露,它为深入了解隐私隐含提供了见识。它要求卫生组织跟踪PHI的使用和披露,并在使用患者数据时通知患者。欧盟的GDPR(在使用数据时赋予人们一定的权利)也可能适用,具体取决于PHI的存储位置。
医疗保健组织必须知道其云提供商如何处理数据保留并监视他们如何访问和使用数据。如果存在违反健康数据的行为,提供者应制定计划,告知其如何通知HDO并启动事件响应。云提供商还应签署业务伙伴协议,这是HIPAA的另一项要求。
CSA还强调了持续监控程序的重要性,以确保HDO强制执行并改善其内部控制的安全操作以及云服务提供商使用的隐私和安全程序。专家在报告中解释说,这种监视是在数据,应用程序和系统生命周期的整个过程中维护的,应随时间进行更改,以实现持续的风险意识和合规性。