云安全聯(lián)盟提供保護遠(yuǎn)程健康數(shù)據(jù)

[編譯]COVID-19大流行促使醫(yī)療機構(gòu)將遠(yuǎn)程醫(yī)療作為重中之重。正如他們所做的那樣，他們被迫面對與信息訪問、使用和更改相關(guān)的隱私問題，以及存儲健康數(shù)據(jù)的公共云服務(wù)的安全問題。

正如云安全聯(lián)盟（CSA）在一份關(guān)于健康數(shù)據(jù)保護的新報告中所解釋的，“遠(yuǎn)程醫(yī)療”和“遠(yuǎn)程健康”不應(yīng)該互換使用。前者是指通過技術(shù)手段進行臨床診斷和監(jiān)測；后者的定義更為寬泛。遠(yuǎn)程醫(yī)療涵蓋臨床醫(yī)療和工具，如信息亭、網(wǎng)站監(jiān)控應(yīng)用程序、移動應(yīng)用程序、可穿戴設(shè)備和視頻會議技術(shù)，以將患者與醫(yī)療服務(wù)提供商聯(lián)系起來。

衛(wèi)生保健組織（HDO）正在提高遠(yuǎn)程醫(yī)療能力，例如遠(yuǎn)程病人監(jiān)護（RPM）和遠(yuǎn)程醫(yī)療，以在家中治療病人，并降低醫(yī)療服務(wù)提供者和患者的暴露風(fēng)險。專家寫道，在大流行后很長一段時間，這種情況將繼續(xù)增長。

越來越多地依賴云中的遠(yuǎn)程醫(yī)療有望為醫(yī)療保健機構(gòu)帶來隱私和安全風(fēng)險。提供遠(yuǎn)程醫(yī)療服務(wù)的大多數(shù)醫(yī)院系統(tǒng)都使用視頻會議工具以及云和Internet技術(shù)，從而產(chǎn)生了一系列潛在問題，并且要求安全團隊仔細(xì)查看其體系結(jié)構(gòu)以發(fā)現(xiàn)缺陷并確定控制措施。

這是HDO和云提供商之間的共同責(zé)任。醫(yī)療保健組織必須了解患者數(shù)據(jù)及其使用技術(shù)的法規(guī)要求。

可以通過公共Internet訪問公共云服務(wù)，專家說這并不意味著云具有固有的安全性，而應(yīng)在云安全模型中考慮。 HIPAA要求HDO維護“合理和適當(dāng)”的管理，技術(shù)和物理保護，以保護公共衛(wèi)生信息（PHI）。還要求HDO進行安全威脅風(fēng)險分析，其中包括基于云的威脅，并提供制定基于風(fēng)險的決策所需的信息。

醫(yī)療保健組織還應(yīng)該確定他們已經(jīng)實施的安全控制措施，并確保它們按預(yù)期工作。作為這些評估的一部分，HDO應(yīng)該與其云服務(wù)提供商討論治理，合規(guī)性，機密性，完整性，可用性以及事件響應(yīng)和管理。利益相關(guān)者必須考慮系統(tǒng)的端到端安全性，包括用于訪問控制和用戶供應(yīng)的內(nèi)部策略。

受保護的健康信息是與遠(yuǎn)程醫(yī)療有關(guān)的隱私問題的核心，并且正在關(guān)注針對信息系統(tǒng)以訪問PHI的針對性攻擊的出現(xiàn)。 《 HIPAA隱私規(guī)則》規(guī)范了PHI的收集，使用和披露，它為深入了解隱私隱含提供了見識。它要求衛(wèi)生組織跟蹤PHI的使用和披露，并在使用患者數(shù)據(jù)時通知患者。歐盟的GDPR（在使用數(shù)據(jù)時賦予人們一定的權(quán)利）也可能適用，具體取決于PHI的存儲位置。

醫(yī)療保健組織必須知道其云提供商如何處理數(shù)據(jù)保留并監(jiān)視他們?nèi)绾卧L問和使用數(shù)據(jù)。如果存在違反健康數(shù)據(jù)的行為，提供者應(yīng)制定計劃，告知其如何通知HDO并啟動事件響應(yīng)。云提供商還應(yīng)簽署業(yè)務(wù)伙伴協(xié)議，這是HIPAA的另一項要求。

CSA還強調(diào)了持續(xù)監(jiān)控程序的重要性，以確保HDO強制執(zhí)行并改善其內(nèi)部控制的安全操作以及云服務(wù)提供商使用的隱私和安全程序。專家在報告中解釋說，這種監(jiān)視是在數(shù)據(jù)，應(yīng)用程序和系統(tǒng)生命周期的整個過程中維護的，應(yīng)隨時間進行更改，以實現(xiàn)持續(xù)的風(fēng)險意識和合規(guī)性。[編譯]