您的位置:首页 > 管理咨询 > 品牌管理

医管案例 | 国际医疗如何保护病人隐私

发布时间:2015.07.31   来源:好医友

 

2003年美国医院信息系统协会规定全美医院必须使用统一的信息接口国际标准HL7。这一标准能够实现社会保险中心和定点医疗机构之间的信息交换,也适用于临床检验结果、电子病历资料、财务信息等数据在医疗机构内部不同的医疗信息系统之间交换,从而这也使得对国际间医疗机构患者的会诊成为可能。

 

什么是HIPAA

 

HIPAA是美国前总统克林顿签署的健康保险携带和责任法案(Health Insurance Portability and Accountability Act)的缩写。该法案是继1974年《雇员退休收入保障法案》(“ERISA”)后,最具深远影响的法案,它对多种医疗健康产业都具有规范作用,包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等。

 

该法案的主要目标如下:

 

1.保证劳动者在转换工作时,其健康保险可以随之转移;

 

2.保护病人的病例记录等个人隐私;

 

3.促进美国在医疗健康信息安全方面电子传输的统一标准。

 

HIPAA法案的相关标准中,有关医疗信息安全和电子签名标准的规范条例是其中的重要组成部分。

 

在美国,所有涉及医疗保健的机构中,包括医院、健康计划部门、保健服务商、相关票据交换所、医疗信息系统提供商、医科大学、甚至只有一个内科医生的办公室等,对任何形式的个人健康保健信息的存储、维护和传输都必须遵循HIPAA的安全条例规定。对于违反HIPAA安全条例的行为,可以处以最高为25万美元的罚款和最长为10年的监禁。

 

在技术方面,HIPAA安全条例是中立的、可升级的。系统安全可在系统的建立、实现、监控、测试和管理过程中不断提高,并且每个环节都可采用多种工具。该条例是一种开放的安全标准,每个医疗机构可以选择适合自身的技术和解决方案。医疗机构必须保存HIPAA安全标准要求的相关文档,并接受对这些资料和相关过程的定期复查。

 

HIPAA安全条例将安全标准分为四类,以保护信息系统的保密性、一致性和可用性:

 

1.管理流程(AdministrativeProcedures) 建立和落实安全策略;

 

2.物理防护(PhysicalSafeguards) 述如何保护计算机系统实体以及相关的环境和设备,免受自然灾害或人为破坏;

 

3.技术安全服务(TechnicalSecurity Services) 描述对数据访问的保护和监控;

 

4.技术安全机制(TechnicalSecurity Mechanisms) 在网络中保护信息和限制数据访问的机制。

 

保密性即保护数据免受非法访问,如病人的病例属于个人隐私,应予以保密。虚拟专用网VPN采用目前最强的加密算法之一——3DES加密后,可在一个不可信网络的两端建立一个可信的通信管道,基本保证数据的安全性。

 

数据一致性是指保护数据免受非法修改和删除。数据伪装是常见的对数据一致性的攻击,恰当地配置网络防火墙和路由器可以阻挡大部分攻击。此外,采用“基线”机制,对数据进行基线记录或摘要算法签名,并定期进行基线记录比较或签名比较,检查数据是否被篡改,可有效地保证数据一致性。

 

可用性是指系统和数据处于可访问和运行阶段的时间长度。目前,最受关注的系统可用性威胁来自于拒绝服务攻击。此外,物理环境的安全问题也应引起重视。

 

电子签名标准是HIPAA安全条例的另一个重要方面。

 

采用电子签名对在一致性、不可抵赖性和用户认证等方面将起到重要作用。其中,一致性保证数据从发送者到接收者的过程中不被篡改;不可抵赖性证明消息确实由发送者发送并且发送者无法否认;用户认证确保发送者的身份。电子签名中包括对称加密算法(如3DES)、公开密钥算法(如PGP)、摘要算法(如MD5)等。

 

HIPAA安全条例通过建立医疗保健相关行业的一些通用安全概念,明确了公共准则,制订了操作规范。其现实意义在于,真正认识到信息安全在医疗行业的重要性,并用法案和条例的形式予以规范。

 

上一篇
医管案例 | 以患者为中心打造良好服务品
下一篇
医管案例 | 如何做好医院“面子工程”

扫描上面的二维码,
关注我吧