Jump to content

Защищенная медицинская информация

Защищенная медицинская информация ( ЗМИ ) в соответствии с законодательством США — это любая информация о состоянии здоровья, предоставлении медицинской помощи или оплате медицинского обслуживания, которая создается или собирается Застрахованной организацией (или Деловым партнером Застрахованной организации) и может быть связана конкретному человеку. пациента Это толкуется довольно широко и включает в себя любую часть медицинской карты или истории платежей.

Вместо анонимизации PHI часто ищется в наборах данных для деидентификации, прежде чем исследователи опубликуют набор данных публично. Исследователи удаляют индивидуально идентифицируемую ЗМИ из набора данных, чтобы сохранить конфиденциальность участников исследования .

Существует множество форм PHI, наиболее распространенной из которых является физическое хранение в виде бумажных личных медицинских карт (PHR). Другие типы PHI включают электронные медицинские карты, носимые устройства и мобильные приложения. В последние годы растет число опасений по поводу безопасности и конфиденциальности закрытой медицинской информации.

США [ править ]

В соответствии с Законом США о переносимости и подотчетности медицинского страхования (HIPAA), к PHI, связанной с использованием следующего списка из 18 идентификаторов, следует относиться с особой осторожностью:

  1. Имена
  2. Все географические идентификаторы меньше штата, за исключением первых трех цифр почтового индекса, если, согласно текущим общедоступным данным Бюро переписи населения США: географическая единица, образованная путем объединения всех почтовых индексов с одинаковыми тремя начальными цифрами. насчитывает более 20 000 человек; первые три цифры почтового индекса для всех таких географических единиц с населением 20 000 или менее человек заменяются на 000.
  3. Даты (кроме года), непосредственно относящиеся к физическому лицу
  4. Номера телефонов
  5. Номера факсов
  6. электронной почты Адреса
  7. Номера социального страхования
  8. Номера медицинских карт
  9. медицинского страхования Номера получателей
  10. Номера счетов
  11. Номера сертификатов/лицензий
  12. Идентификаторы и серийные номера транспортных средств, включая номерные знаки;
  13. Идентификаторы и серийные номера устройств;
  14. Единые веб- локаторы ресурсов (URL-адреса)
  15. Номера адресов Интернет-протокола (IP)
  16. Биометрические идентификаторы, включая отпечатки пальцев, сетчатки глаза и голоса.
  17. Фотографии лица в анфас и любые аналогичные изображения.
  18. Любой другой уникальный идентификационный номер, характеристика или код, за исключением уникального кода, присвоенного исследователем для кодирования данных.

Правило конфиденциальности HIPAA [ править ]

Правило конфиденциальности HIPAA касается аспектов конфиденциальности и безопасности PHI. Есть три основные цели, которые включают в себя:

1. Защищать и расширять права потребителей, предоставляя им доступ к их медицинской информации и контролируя ненадлежащее использование этой информации;
2. Улучшить качество здравоохранения в Соединенных Штатах путем восстановления доверия к системе здравоохранения среди потребителей, медицинских работников, а также множества организаций и частных лиц, приверженных оказанию медицинской помощи; и
3. Повысить эффективность и результативность оказания медицинской помощи путем создания национальной системы защиты конфиденциальности информации о здоровье, основанной на усилиях государств, систем здравоохранения, а также отдельных организаций и отдельных лиц.

против Федеральной торговой LabMD, Inc. комиссии

В 2016 году Окружной апелляционный суд одиннадцатого округа США отменил решение по делу LabMD, Inc. против Федеральной торговой комиссии (FTC). Федеральная торговая комиссия подала жалобу на медицинскую испытательную лабораторию LabMD, Inc., утверждая, что компания не смогла разумно защитить безопасность личных данных потребителей, включая медицинскую информацию. Федеральная торговая комиссия заявила, что в двух отдельных инцидентах LabMD коллективно раскрыла личную информацию примерно 10 000 потребителей. Суд отменил первоначальный приказ о прекращении противоправных действий, заявив, что он «предусмотрит полный пересмотр программы безопасности данных LabMD и мало что говорит о том, как это должно быть достигнуто». [1]

Деидентификация анонимизации против

Анонимизация — это процесс, в котором элементы PHI удаляются или манипулируются ими с целью предотвращения возможности возврата к исходному набору данных. [2] Это предполагает удаление всех идентифицирующих данных для создания несвязываемых данных. [3] Деидентификация в соответствии с Правилом конфиденциальности HIPAA происходит, когда данные были лишены общих идентификаторов двумя методами:

1. Удаление 18 конкретных идентификаторов, перечисленных выше (метод Safe Harbor).
2. Получить помощь опытного статистического эксперта для подтверждения и документирования того, что статистический риск повторной идентификации очень мал (статистический метод). [4] [5]

Обезличенные данные закодированы со ссылкой на исходный, полностью идентифицированный набор данных, хранящийся у честного брокера . Ссылки существуют в закодированных обезличенных данных, благодаря чему данные считаются косвенно идентифицируемыми, а не анонимизированными. Закодированные обезличенные данные не защищены Правилом конфиденциальности HIPAA , но защищены Общим правилом . Целью деидентификации и анонимизации является более масштабное использование данных здравоохранения в исследовательских целях. Университеты, государственные учреждения и частные медицинские учреждения используют такие данные в целях исследований, разработок и маркетинга. [3]

Защищенные организации

В целом, законодательство США, регулирующее PHI, применяется к данным, собранным в ходе предоставления и оплаты медицинских услуг. Правила конфиденциальности и безопасности регулируют то, как медицинские работники, больницы, медицинские страховые компании и другие Застрахованные организации используют и защищают собираемые ими данные. Важно понимать, что источник данных так же важен, как и сами данные, при определении того, является ли информация закрытой медицинской информацией в соответствии с законодательством США. Например, законодательством США не ограничивается обмен информацией о человеке на улице с очевидным заболеванием, например, ампутацией. Однако получение информации об ампутации исключительно из защищенного источника, например, из электронной медицинской карты, нарушит правила HIPAA.

Деловые партнеры

Застрахованные организации часто используют третьи стороны для предоставления определенных медицинских и деловых услуг. Если им необходимо передать PHI этим третьим лицам, на Затрагиваемую организацию возлагается ответственность за заключение Соглашения о деловом партнерстве, которое обязывает третью сторону соблюдать те же стандарты конфиденциальности и конфиденциальности, что и Затрагиваемая организация. [6]

Защищенное хранение медицинской информации [ править ]

Защищенная медицинская информация может храниться в самых разных формах. Согласно HIPAA, существует множество требований и ограничений относительно хранения PHI.

Физическое хранилище [ править ]

До недавнего времени физическое хранилище было наиболее распространенным методом хранения PHI. Физические меры защиты PHI включают хранение бумажных документов в запертых шкафах и возможность контроля над документами. Для доступа к физическому хранилищу PHI может потребоваться орган безопасности, PIN-код или удостоверение личности.

Электронные записи [ править ]

Большая часть PHI хранится в электронных медицинских картах (EHR) . Облачные вычисления и другие услуги позволяют поставщикам медицинских услуг хранить огромные объемы данных для быстрого доступа. Например, Kaiser Permanente насчитывает более 9 миллионов участников и хранит от 25 до 44 петабайт. [7] В Австралии более 90% медицинских учреждений внедрили EHR в попытке повысить эффективность. [8] Типы архитектуры электронного здравоохранения могут быть общедоступными, частными, гибридными или общественными, в зависимости от хранимых данных. Поставщики медицинских услуг часто хранят свои данные в обширной сети удаленных серверов, что может привести к нарушению конфиденциальности. Согласно исследованию, США могли бы сэкономить 81 миллиард долларов ежегодно от перехода на универсальную электронную медицинскую карту (ЭМК). [9]

Носимые технологии [ править ]

В сфере PHI носимые технологии часто представлены в виде умных часов, мониторов ЭКГ, тонометров и биосенсоров. Носимые технологии переживают быстрый рост: в 2016 году было продано 102,4 миллиона единиц, что на 25% больше, чем 81,9 миллиона единиц, поставленных в 2015 году. Согласно исследованию Insider Intelligence, число пользователей приложений для здоровья и фитнеса останется на уровне более 84 миллионов до 2022 года. [10] Возможности отслеживания здоровья и фитнеса являются целью компаний, производящих носимые технологии. Проблемы конфиденциальности у потребителей возникают, когда эти технологические компании не считаются организациями или деловыми партнерами, на которые распространяется действие HIPAA, или когда собранная медицинская информация не является закрытой медицинской информацией. [ нужна ссылка ]

Мобильные приложения [ править ]

Мобильные приложения оказались незаменимыми, особенно для пожилых людей и людей с ограниченными возможностями. Считается, что внедрение мобильного здравоохранения является привлекательным из-за таких факторов, как поведение пациентов, субъективные нормы, личная инновационность, воспринимаемый поведенческий контроль и поведенческие намерения. Легитимность некоторых мобильных приложений, хранящих закрытую медицинскую информацию, можно определить по отзывам пользователей о приложении. [11]

Конфиденциальность пациентов [ править ]

В ходе исследования, проведенного исследователями, 14 пациентов попросили высказать свое мнение по поводу проблем конфиденциальности и восприятия здравоохранения. Исследователи обнаружили, что все участники согласились с важностью конфиденциальности в сфере здравоохранения. Участники продемонстрировали смутное понимание законодательных прав пациентов на неприкосновенность частной жизни. Были разные мнения относительно того, на ком лежит ответственность за защиту медицинской информации; некоторые думали, что это их собственная ответственность, в то время как другие считали, что ответственность несет правительство. Согласие редко упоминалось в ходе обсуждения. [12]

Поскольку конфиденциальность пациентов является причиной принятия правил в отношении ЗМИ, анализ потребительских данных может оказаться чрезвычайно трудным. Лука Бономи и Сяоцянь Цзян разработали метод связывания временных записей с использованием незащищенных данных медицинской информации. Поскольку в стандартных процессах увязки отсутствует возможность учета временных параметров, они оказываются неэффективными. Бономи и Цзян предлагают использовать незащищенные данные о здоровье пациента для определения записей и установления закономерностей. Этот подход позволяет связывать записи пациентов с использованием данных, не относящихся к PHI, предоставляя врачам закономерности и лучшее представление о важных диагнозах. [13]

Проблемы с PHI [ править ]

Распространенные формы кибератак на закрытую медицинскую информацию [ править ]

  1. Фишинг
  2. Подслушивание
  3. Атаки грубой силы
  4. Выборочная переадресация
  5. Угрозы воронки
  6. Сивилла атакует
  7. Угрозы местоположения [14]
  8. Внутренние атаки [15]

Атаки на PHI [ править ]

С 2005 по 2019 год общее количество лиц, пострадавших от утечек медицинских данных, составило 249,09 миллиона человек. Согласно отчету IBM, средняя стоимость утечки данных в 2019 году составила 3,92 миллиона долларов, тогда как утечка в сфере здравоохранения обычно обходится в 6,45 миллиона долларов. Однако средняя стоимость утечки медицинских данных (средний размер утечки 25 575 записей) в США составляет 15 миллионов долларов. [16]

В 2017 году аналитическая платформа Protenus в сфере здравоохранения заявила, что в Управление здравоохранения и социальных служб США (HHS) было зарегистрировано 477 нарушений в сфере здравоохранения. Из них 407 показали, что были затронуты 5,579 миллиона записей пациентов. [17]

Protected Health Information Data Breach Report (PHIDBR) за 2018 год В отчете Verizon было рассмотрено 27 стран и 1368 инцидентов, в котором подробно указано, что в центре внимания нарушений в сфере здравоохранения в основном находились пациенты, их личности, истории болезни и планы лечения. По данным HIPAA, с 2010 по 2019 год в результате 3051 случая утечки медицинских данных пострадали 255,18 миллиона человек.

По оценкам, мошенничество в сфере здравоохранения обходится США почти в 80 миллиардов долларов ежегодно. Сфера здравоохранения остается самой дорогостоящей и наиболее уязвимой отраслью для утечек данных. Медицинские компании подвергались критике за то, что они не адаптировались и не уделяли приоритетное внимание безопасности данных. Одна из причин связана с свободой действий и минимальными штрафами для тех, кто не соблюдает правило безопасности HIPAA. В сфере здравоохранения также существует ограниченная конкуренция и стабильная клиентская база. [18] Исследователи ищут более безопасные способы защиты частной медицинской информации. [19]

проблемы Этические

В случае с PHI существуют этические проблемы относительно того, как медицинский персонал ежедневно обрабатывает информацию. В 1996 году администрация Клинтона приняла Правило конфиденциальности HIPAA, ограничивающее возможность врача произвольно раскрывать личные медицинские записи пациентов. [20]

Поскольку ожидается, что приложения искусственного интеллекта (ИИ) в здравоохранении сэкономят более 150 миллиардов долларов ежегодной экономии для здравоохранения США, исследователи изучают риски потенциальных утечек медицинской информации. [21] В настоящее время 21% потребителей в США, или 57 миллионов человек, используют приложение для количественного отслеживания своего здоровья и фитнеса (QSHFT). В исследовании, проведенном Нэнси Бринсон и Даниэль Резерфорд, более 90% потребителей были довольны возможностью поделиться данными с поставщиком медицинских услуг. Однако Бринсон и Резерфорд утверждают, что потребители не ставят конфиденциальность в приоритет, когда решают поделиться этой информацией. Чтобы бороться со злоупотреблением закрытой медицинской информацией на мобильных платформах здравоохранения, Бринсон и Резерфорд предлагают создать систему политических рейтингов для потребителей. Рейтинговая система, контролируемая Федеральной торговой комиссией, позволит потребителям централизованно оценивать методы сбора данных среди мобильных поставщиков медицинских услуг. [22]

В 2019 году Управление по гражданским правам Министерства здравоохранения и социальных служб США (OCA) пообещало обеспечить соблюдение права пациентов на доступ в соответствии с HIPAA, используя Инициативу «Право доступа». В настоящее время уже было достигнуто два соглашения с OCA в рамках Инициативы «Право доступа» после того, как компании не предоставили медицинские карты пациентов. [23]

См. также [ править ]

Ссылки [ править ]

  1. ^ «LabMD, Inc. против Федеральной торговой комиссии» . Федеральная торговая комиссия . 30 января 2015 г. Проверено 18 апреля 2021 г.
  2. ^ Ом, Пол (август 2010 г.). «Нарушенные обещания конфиденциальности: ответ на неожиданный провал анонимизации». Обзор права Калифорнийского университета в Лос-Анджелесе . 57 (6): 1701–1777.
  3. ^ Jump up to: Перейти обратно: а б «Глоссарий общих терминов - Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA)» . Архивировано из оригинала 13 сентября 2012 г.
  4. ^ «Поощрение использования и переосмысление средств защиты обезличенных (и «анонимизированных») медицинских данных» (PDF) . Центр демократии и технологий . Июнь 2009 года . Проверено 12 июня 2014 г.
  5. ^ «HIPAA: Что? Деидентификация защищенной медицинской информации (PHI)» . Руководство по исследованию HIPAA . Университет Висконсин-Мэдисон. 26 августа 2003 года . Проверено 12 июня 2014 г.
  6. ^ Права (OCR), Гражданское управление (21 мая 2008 г.). «Договоры деловых партнеров» . HHS.gov . Проверено 03 апреля 2020 г.
  7. ^ Абуэльмехди, Карим; Бени-Хессан, Абдеррахим; Халуфи, Хаят (9 января 2018 г.). «Большие данные здравоохранения: сохранение безопасности и конфиденциальности» . Журнал больших данных . 5 (1). дои : 10.1186/s40537-017-0110-7 . ISSN   2196-1115 .
  8. ^ Чентара, Шеха; Ахмед, Хандакар; Ван, Хуа; Уиттакер, Фрэнк (2019). «Проблемы безопасности и сохранения конфиденциальности решений электронного здравоохранения в облачных вычислениях» . Доступ IEEE . 7 : 74361–74382. Бибкод : 2019IEEA...774361C . дои : 10.1109/access.2019.2919982 . ISSN   2169-3536 .
  9. ^ Аппари, Аджит; Джонсон, М. Эрик (2010). «Информационная безопасность и конфиденциальность в здравоохранении: современное состояние исследований» . Международный журнал Интернета и управления предприятием . 6 (4): 279. doi : 10.1504/ijiem.2010.035624 . ISSN   1476-1300 .
  10. ^ Фанеф, Алисия. «Последние тенденции в области медицинских устройств мониторинга и носимых медицинских технологий» . Бизнес-инсайдер . Проверено 25 апреля 2021 г.
  11. ^ Аль-Мухтади, Джалал; Шахзад, Басит; Салим, Кашиф; Джамиль, Васиф; Оргун, Мехмет А. (07 мая 2017 г.). «Проблемы кибербезопасности и конфиденциальности социально интегрированных мобильных приложений здравоохранения, работающих в мультиоблачной среде» . Журнал медицинской информатики . 25 (2): 315–329. дои : 10.1177/1460458217706184 . ISSN   1460-4582 . ПМИД   28480788 . S2CID   20811267 .
  12. ^ Шен, Нельсон; Секейра, Лидия; Сильвер, Мишель Паннор; Картер-Лэнгфорд, Эбигейл; Штраус, Джон; Вильер, Дэвид (13 ноября 2019 г.). «Перспективы конфиденциальности пациентов при обмене медицинской информацией в контексте психического здоровья: качественное исследование» . JMIR психического здоровья . 6 (11): е13306. дои : 10.2196/13306 . ISSN   2368-7959 . ПМК   6881785 . ПМИД   31719029 .
  13. ^ Бономи, Лука; Цзян, Сяоцянь (16 марта 2017 г.). «Связывание временных медицинских записей с использованием незащищенных данных медицинской информации» . Статистические методы в медицинских исследованиях . 27 (11): 3304–3324. дои : 10.1177/0962280217698005 . ISSN   0962-2802 . ПМЦ   5758434 . ПМИД   29298592 .
  14. ^ Кумар, Пардип; Ли, Хун Джэ (22 декабря 2011 г.). «Проблемы безопасности в приложениях здравоохранения, использующих беспроводные медицинские сенсорные сети: исследование» . Датчики . 12 (1): 55–91. Бибкод : 2011Senso..12...55K . дои : 10.3390/s120100055 . ISSN   1424-8220 . ПМК   3279202 . ПМИД   22368458 .
  15. ^ Чентара, Шеха; Ахмед, Хандакар; Ван, Хуа; Уиттакер, Фрэнк; Чен, Чжэньсян (09 декабря 2020 г.). «Healthchain: новая система обеспечения конфиденциальности электронных медицинских записей с использованием технологии блокчейн» . ПЛОС ОДИН . 15 (12): e0243043. Бибкод : 2020PLoSO..1543043C . дои : 10.1371/journal.pone.0243043 . ISSN   1932-6203 . ПМЦ   7725426 . ПМИД   33296379 .
  16. ^ Сех, Адиль Хусейн; Зарур, Мохаммед; Аленези, Мамдух; Саркар, Амаль Кришна; Агравал, Алка; Кумар, Раджив; Ахмад Хан, Раис (13 мая 2020 г.). «Утечки данных в сфере здравоохранения: выводы и последствия» . Здравоохранение . 8 (2): 133. doi : 10.3390/healthcare8020133 . ISSN   2227-9032 . ПМЦ   7349636 . ПМИД   32414183 .
  17. ^ Эстер Омолара, Абиодун; Джантан, Аман; Абиодун, Олударе Исаак; Аршад, Хумайра; Дада, Кеми Виктория; Эммануэль, Этух (20 января 2020 г.). «HoneyDetails: прототип для обеспечения конфиденциальности информации пациента и предотвращения угроз электронных медицинских записей, основанных на приманках» . Журнал медицинской информатики . 26 (3): 2083–2104. дои : 10.1177/1460458219894479 . ISSN   1460-4582 . ПМИД   31957538 .
  18. ^ Кох, Д.Д. (зима 2017 г.). «Достаточно ли правил безопасности HIPAA для защиты электронной личной медицинской информации (PHI) в эпоху кибербезопасности?» . Журнал финансов здравоохранения . 43 (3): 1–32.
  19. ^ «Биометрическое управление ключами для обеспечения контроля пациента над медицинской информацией в соответствии с правилами HIPAA» . KSII Транзакции в Интернете и информационных системах . 14 (1). 31 января 2020 г. дои : 10.3837/tiis.2020.01.024 . ISSN   1976-7277 .
  20. ^ С любовью, Варик. «Этика конфиденциальности в здравоохранении» . Журнал соответствия требованиям здравоохранения . 13 (4): 1–13.
  21. ^ Тапа, Чандра; Камтепе, Сейит (февраль 2021 г.). «Точные данные о состоянии здоровья: требования, проблемы и существующие методы обеспечения безопасности и конфиденциальности данных» . Компьютеры в биологии и медицине . 129 : 104130. arXiv : 2008.10733 . doi : 10.1016/j.compbiomed.2020.104130 . ISSN   0010-4825 . ПМИД   33271399 . S2CID   221293144 .
  22. ^ Бринсон, Нэнси Х.; Резерфорд, Даниэль Н. (24 июля 2020 г.). «Конфиденциальность и количественная самооценка: обзор ограничений политики США в области медицинской информации, связанных с носимыми технологиями» . Журнал по делам потребителей . 54 (4): 1355–1374. дои : 10.1111/joca.12320 . ISSN   0022-0078 . S2CID   225785789 .
  23. ^ КОЭН, И. ГЛЕНН; ГЕРКЕ, САРА; КРАМЕР, ДЭНИЭЛ Б. (20 октября 2020 г.). «Этические и правовые последствия удаленного мониторинга медицинских изделий» . Ежеквартальный журнал Милбанка . 98 (4): 1257–1289. дои : 10.1111/1468-0009.12481 . ISSN   0887-378X . ПМЦ   7772635 . PMID   33078879 .

Дальнейшее чтение [ править ]

Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: eccd79c21fc8d83bac757fddb1bac494__1716236280
URL1:https://arc.ask3.ru/arc/aa/ec/94/eccd79c21fc8d83bac757fddb1bac494.html
Заголовок, (Title) документа по адресу, URL1:
Protected health information - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)