【独家】新泽西医疗数据泄漏案件统计 5年影响百万患者

大概一个月前，泽西城医疗中心的患者非常诧异的收到了一封邮件，告知他们医院丢失了一个载有未加密患者敏感信息的光盘。

邮件中称被发现的丢失信息包括医保患者的社会保险号、支付信息以及入院日期。任何人都有可能获取这些信息。

无独有偶，新泽西的一家媒体对患者信息泄露事件进行了调查，发现即使加密、数据完整性以及安全措施越来越高端，医疗健康行业还是在保护患者敏感信息方面一次又一次遇挫。

新泽西医疗机构数据泄漏案例统计

美国卫生和公众服务部存档数据显示，从2009年开始，新泽西医疗机构约有一百万患者的数据泄漏。

- 2013年泄漏信息的患者总数为850000——这是自2009年强制申报以来最多的一次。

- 从2009年开始，新泽西发生了14起患者敏感信息泄密事件，包括17个不同的机构，影响了将近一百万患者。

- 新泽西最大的医疗数据泄漏事件于2013年11月发生在Horizon Blue Cross Blue Shield，两台未加密的笔记本电脑从其纽瓦克总部被盗。该医疗健康供应商在2008年经历了一次相似的数据泄密事件。

- 州际卫生部门也不能幸免。新泽西公众服务部也遭受过一次泄密，第三方供应商的一位雇员丢了个U盘，可能包含超过9000名医疗补助计划患者的姓名和社会保险号。

- 利文斯顿的巴拿马健康医疗集团儿科分支以及瓦恩兰的印斯皮瑞医疗中心在2013年也出现过泄密时间。巴拿马健康系统的8个机构也有过类似遭遇，而纽瓦克贝斯以色列医疗中心在过去四年经历了三次泄密。

- 小型医疗机构也容易泄漏数据。11月，韦恩的足病医生Paul G. Klein办公室报告丢失了一台笔记本电脑，其中包含了2500名患者的信息。

12月，当Jor Rodriguez收到Blue Cross Blue Shield的邮件时感到很震惊：他的信息泄漏是由于笔记本电脑被盗造成的。

Rodriguez表示：“你甚至都不会想到这种事会发生在自己身上，但它真的发生了。”

拜这次的泄密事件所赐，皮斯卡塔韦的Rebecca Ashton也收到了Blue Cross Blue Shield的邮件，告知其儿子的姓名正在满天飞。除了谨慎的监测信用卡账户外，对如何保护自己的家庭，她真的一筹莫展。

Ashton 说：“我们该如何应对?我们必须得看医生，也必须交医疗保险，所以只能受其摆布。”

8月，当泽西城居民Damian Wieczorek收到邮件说，泽西城医疗中心寄出的一张CD丢失了，其中包含他的信息，他也感到同样的惊讶。

Wieczorek说：“我在IT行业工作，我们从来不会那样寄送含有未加密信息的移动硬盘。那样我会立即被炒鱿鱼。”

医院以及其他医疗健康供应商在处理隐私医疗信息时，必须遵守美国医疗保险携带和责任法案(HIPAA)。

作为2009年激励法案的一部分，HITECH法案推动了医疗行业从纸质病历到电子病历的步伐，同时也引进了新的告示规则，扩大了政府对HIPAA违反的强制执行。

扩大的范围覆盖了2012年卫生和公众服务部人权办公室执行的所有试点审计程序，同时着眼于不同规模和范围的115个实体的患者隐私和安全。

他们发现的情况让人警醒。

三分之二的医疗健康服务供应商未能执行“完整和准确”的安全风险评估，而这是HIPAA所要求的。此外，人权办公室(OCR)发现接受审计的59个医疗健康供应商中有58个至少存在一项安全隐患。

OCR发言人Rachel Seeger表示，审计唤醒了这样一种意识：医疗健康行业要避免患者信息泄漏非常困难!Seeger 说：“我认为该行业正逐步遵守HIPAA规则，但仍有很长一段路要走。”

OCR正计划2014年新一轮更大规模的审计，这次不似以前，将涵盖医疗机构的合作伙伴们。但是，即便是审计员也不能排斥泄露信息的嫌疑。为了编制2012年审计计划，OCR与新泽西的毕马威会计事务所(KPMG)合作。就在两年前，据HHS泄密数据库显示，KPMG一位雇员丢失了一个未加密的闪存盘，包含患者名单以及他们在纽瓦克贝斯以色列医疗中心和圣巴拿马中心就医的信息。OCR与KPMG都对此未置评论。

对供应商来说，仍然存在另一层责任。同样的2009年海泰克法案建立了名为EHR的项目，为帮助实现从纸质病历到电子病历转换的医院和医疗机构实施奖励。

为了获得资金，医疗供应商必须执行安全风险评估，并证明自己确实做了——尽管他们不用提供证明文件，除非他们被审计或调查了。

当2009年EHR激励项目刚开始，凯斯西储大学法学院法律与生物伦理学教授Sharona Hoffman就对维护患者隐私安全方面缺少规则表达了担忧。

Hoffman仍然相信，仅仅依靠医疗机构自身执行风险评估可能尚显不够。她表示：“你做了风险评估，这并不意味着你能找到问题，并解决自己找到的问题。”

对供医疗机构而言，被政府审计的机会不大，如此一来，供应商解决问题就缺乏推动力。

Hoffman说：“政府资源有限，他们不能去审查每个医疗健康机构的工作场所、每台电脑，来确保隐私要求得到了执行。”

加密：医疗信息安全的根本

当医疗健康行业发生数据泄密事件，通常不是由于某些恶意黑客侵入患者信息所致。

大多数时间，而是恰好载有患者电子数据的笔记本电脑、台式电脑和闪存盘被内部雇员弄丢或被盗。

然而，很多情况下，丢失或被盗的设备中的数据没有加密，这意味着信息能轻易被任何人访问。在这种情形下，所涉机构必须以泄密来报告该事件。

这就是为什么OCR发言人Rachel Seeger将加密称作数据安全的“金科玉律”，因为这能让数据对未被授权的人来说完全不能辨认。

但加密在HIPAA中不是强制性的。然而，如果泄密了，但数据是加密的，这种情况被认为是足够“安全”的，而所涉医疗机构也无须向HHS报告该事件。

在审计的115个对象中，OCR发现56例加密不到位的机构，包括了39个医疗健康供应商和14个健康保险计划。

新泽西的应对策略

在新泽西，对医院和医疗机构来说，保证患者数据百分百安全是极其困难的。

新泽西医院协会首席信息官Joe Carr 表示：“这就是让我们夜不能寐的头号问题。虽然有时我们已尽全力，我们仍然难以安然入眠。”

医院通常是一个巨大的医疗健康网络，其中有无数的科室、员工和销售商每日与成千的患者打交道。这就是为什么有时候系统的缺陷很难抓住。

Carr 说：“为了给你的雇员和医生充电、再充电，你费尽全力，但只消一个雇员做了件蠢事，你就要变熊猫眼了。”

这就是为何很多机构一直致力于帮助医院解决保持安全工具随时升级的问题，以确保数据安全的最佳措施长久有效。他表示，这是个长青话题。

位于莫里斯敦、萨米特和牛顿的大西洋健康系统(Atlantic Health System)，2013年再次被医院和网络杂志(Hospitals & Networks magazine)评为“年度最安全健康系统”，这也是该机构连续四年荣膺此项荣誉。该机构拥有几种靠谱的数据安全工具，其中包括患者数据加密术。

使用该系统的医院没有一家遭受过影响超过500人的电子数据泄密事件。而且，该健康系统的首席信息官Linda Reed有一个简单法则：

道高一尺魔高一丈。对Reed来说，仅仅拥有最新的防泄密技术是不够的。培训员工和医生，让其掌握处理患者数据的最佳措施——特别是存在很多泄密事件都是由于设备从员工手上丢失或被盗的情况下，医院就应该更加重视员工与医生的安全培训。最终总结就是医疗设施保证患者隐私足够专业，以及手上的资源足够充分。

HHS的OCR发言人Rachel Seeger 表示：“技术业已成为医疗健康的中坚，医疗设施必须采取有意义的措施来保护其患者信息，他们在确保患者身体安全方面谨慎和勤勉，在保护信息安全上也是如此。”

原文标题：Health care data of 1 million N.J. patients compromised since 2009

原文作者：Advanced Media