资料来源:网络
在医疗保健领域,信息系统的应用越来越广泛,如医院信息管理系统、远程医疗诊断、网上就医、急救调度响应、疫情监控系统、医疗保险系统等。与其他行业一样,医疗保健对信息系统的应用和依赖,也将不可避免地带来相应的信息安全问题,如病人的病例保密问题、网上就医系统的可靠性问题、急救调度响应系统的可用性问题等。而美国在1996年,就已经针对此类问题专门颁布了相应的HIPAA法案和技术标准。
什么是HIPAA?
HIPAA是美国前总统克林顿签署的健康保险携带和责任法案(Health Insurance Portability and Accountability Act)的缩写。该法案是继1974年《雇员退休收入保障法案》(“ERISA”)后,最具深远影响的法案,它对多种医疗健康产业都具有规范作用,包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等。
该法案的主要目标如下:
1.保证劳动者在转换工作时,其健康保险可以随之转移;
2.保护病人的病例记录等个人隐私;
3.促进美国在医疗健康信息安全方面电子传输的统一标准。
在HIPAA法案的相关标准中,有关医疗信息安全和电子签名标准的规范条例是其中的重要组成部分。
在美国,所有涉及医疗保健的机构中,包括医院、健康计划部门、保健服务商、相关票据交换所、医疗信息系统提供商、医科大学、甚至只有一个内科医生的办公室等,对任何形式的个人健康保健信息的存储、维护和传输都必须遵循HIPAA的安全条例规定。对于违反HIPAA安全条例的行为,可以处以最高为25万美元的罚款和最长为10年的监禁。
在技术方面,HIPAA安全条例是中立的、可升级的。系统安全可在系统的建立、实现、监控、测试和管理过程中不断提高,并且每个环节都可采用多种工具。该条例是一种开放的安全标准,每个医疗机构可以选择适合自身的技术和解决方案。医疗机构必须保存HIPAA安全标准要求的相关文档,并接受对这些资料和相关过程的定期复查。
HIPAA安全条例将安全标准分为四类,以保护信息系统的保密性、一致性和可用性:
1.管理流程(Administrative Procedures) 建立和落实安全策略;
2.物理防护(Physical Safeguards) 述如何保护计算机系统实体以及相关的环境和设备,免受自然灾害或人为破坏;
3.技术安全服务(Technical Security Services) 描述对数据访问的保护和监控;
4.技术安全机制(Technical Security Mechanisms) 在网络中保护信息和限制数据访问的机制。
保密性:即保护数据免受非法访问,如病人的病例属于个人隐私,应予以保密。虚拟专用网VPN采用目前最强的加密算法之一--3DES加密后,可在一个不可信网络的两端建立一个可信的通信管道,基本保证数据的安全性。
数据一致性:是指保护数据免受非法修改和删除。数据伪装是常见的对数据一致性的攻击,恰当地配置网络防火墙和路由器可以阻挡大部分攻击。此外,采用“基线”机制,对数据进行基线记录或摘要算法签名,并定期进行基线记录比较或签名比较,检查数据是否被篡改,可有效地保证数据一致性。
可用性:是指系统和数据处于可访问和运行阶段的时间长度。目前,最受关注的系统可用性威胁来自于拒绝服务攻击。此外,物理环境的安全问题也应引起重视。
电子签名标准是HIPAA安全条例的另一个重要方面。
采用电子签名对在一致性、不可抵赖性和用户认证等方面将起到重要作用。其中,一致性保证数据从发送者到接收者的过程中不被篡改;不可抵赖性证明消息确实由发送者发送并且发送者无法否认;用户认证确保发送者的身份。电子签名中包括对称加密算法(如3DES)、公开密钥算法(如PGP)、摘要算法(如MD5)等。
HIPAA安全条例通过建立医疗保健相关行业的一些通用安全概念,明确了公共准则,制订了操作规范。其现实意义在于,真正认识到信息安全在医疗行业的重要性,并用法案和条例的形式予以规范。
2003年美国医院信息系统协会规定全美医院必须使用统一的信息接口国际标准HL7。这一标准能够实现社会保险中心和定点医疗机构之间的信息交换,也适用于临床检验结果、电子病历资料、财务信息等数据在医疗机构内部不同的医疗信息系统之间交换,从而这也使得对国际间医疗机构患者的会诊成为可能。 “好医友医疗信息系统”正是根据美国食品药品管理局(FDA)关于“医疗信息不得使用公共通信平台及患者隐私保护(HIPAA)”的相关法律条款,由美国加州健康科技集团的技术团队精心研发的,获得美国医疗界认可,包括视频系统、影像病历传送储存管理系统、医疗机构管理终端。用户通过好医友可以直接进行美国医生选择、预约、视频咨询、国际专家会诊、病历管理等。好医友完善的科技系统让患者足不出户就能查看美国医生资料,了解行医执照和行医记录,与大洋彼岸的医生视频面对面交流,为医患双方提供最安全可靠的保障。
好医友的各项医疗服务,均严格遵循美国HIPAA安全条例和隐私保护,包括云病历系统、远程医疗会诊、医公益义诊、好医友VIP移动应用、DOCHOO应用、Haoeyou药房电子系统、Healthcom注射中心电子系统。
温馨提醒:由于国内对于医疗健康信息安全,尚未制定相应法律法规,民众普遍缺乏健康信息隐私保护意识。意向赴美就医的患者,需要特别注意,在选择出国看病机构的同时,先查证该机构是否具有符合美国法律的加密医疗信息系统,明确病历资料的传输途径,以防上当受骗。
