医疗保健互操作性：有哪些安全考虑？

任何需要与新医生预约或与专家会面的人都知道确保医疗保健链中的每个人都可以访问健康记录的麻烦。数字记录保存使这更容易一些，但这种访问仍然不是普遍的。数字医疗保健互操作性仍然是一个挑战。

到 2022 年，当可信交换框架和共同协议 (TEFCA) 生效时，这一切都应该会改变。卫生和公共服务部国家卫生 IT 协调员(ONC) 正在推动这项工作，将定义“一套共同的原则、条款和条件，以支持制定共同协议，这将有助于实现全国范围内的交流跨不同的健康信息网络 (HIN) 的电子健康信息 (EHI)。”

一方面，这是一个急需的进步，可以让卫生保健工作者和患者更轻松地共享和访问受保护的健康信息 (PHI)。TEFCA 还将推动医疗保健互操作性。另一方面，TEFCA 可能会带来重大挑战，影响 PHI 安全、数据隐私和整体 HIPAA 合规性以及医疗保健互操作性和整体网络安全。

医疗保健网络安全的总体状况

医疗保健网络安全处于脆弱状态。根据Bitglass 的一项研究，2020 年针对医疗保健行业的攻击增加了 55% 以上，危及美国至少 2600 万患者的 PHI。据 Sophos 称，在大流行期间，三分之一的医疗机构不得不应对勒索软件攻击。

在数据泄露方面，医疗保健付出了超出任何其他行业的代价。IBM的数据泄露的成本报告发现，在2021年数据泄露的平均总成本为$ 9.23亿美元，近200万$比2020年的成本跃升$ 1百万在远程工作在违约发生的一个因素的成本。五分之一的违规行为涉及远程工作者。

IBM Security 副总裁兼总经理 Chris McCurdy 告诉HIPAA Journal： “在大流行期间技术发生快速变化之后，更高的数据泄露成本是企业的又一项额外支出。”

医疗保健互操作性如何影响安全

当 TEFCA 生效时，更改将导致更多的数据访问和对 API 的更强依赖。它还为私人供应商与州和地方健康信息交换 (HIE) 建立联系开辟了道路。

医疗保健互操作性背后的想法是无需用户努力即可连接多个网络。但是，这可能会导致安全噩梦。ONC 表示，TEFCA 将“增加对数据的安全和适当访问”以提供帮助，还将遵循 HIPAA 定义的支付活动和医疗保健操作。但是，围绕 PHI 的整体隐私和安全性仍然存在很多问题。例如，法律将追究谁对数据泄露和违反数据隐私合规的责任？

例如，TEFCA 的使用是自愿的。个别市政当局可能会决定为另一个 HIE 放弃 TEFCA。但是，必须有人为共同的第三方供应商造成的广泛数据泄露负责。技术和网络安全的这种互操作性不仅需要存在于单个组织中，而且现在也需要存在于 HIE 中。

安全和隐私是团队的努力

随着医疗保健组织开始采用 TEFCA，需要大量的团队合作和大量的提前计划来确保安全性。

 IAPP报告说：“隐私和安全团队必须从规划和设计阶段就参与进来，以促进包含隐私和安全要求”。协议必须从一开始就到位，第三方供应商和应用程序必须完全透明地了解其安全性和数据隐私合规性。任何已经用于将 HIPAA 法规应用于 API 和其他技术基础设施的步骤都必须在 HIE 中继续。

随着大流行危机的继续，医疗保健互操作性是数字化转型的合乎逻辑的下一步。然而，组织必须在任何东西上线之前小心地将安全协议和系统部署到位。

原文始发于微信公众号（河南等级保护测评）：医疗保健互操作性：有哪些安全考虑？