每年数据泄露事件的数量已达到历史最高水平,其平均成本同样居高不下,尤其在医疗保健领域。据IBMSecurityIntelligence报告显示, 医疗数据泄露事件的平均成本现已超过1000万美元,远高于其他任何行业。事实上,这一数字是所有行业平均泄露成本的两倍多。 据《HIPAA期刊》统计,涉及5000万条以上记录的重大医疗数据泄露事件,平均单次损失高达4.01亿美元。
医疗健康数据泄露事件几乎总是涉及受保护健康信息(PHI)的未经授权披露。根据《1996年健康保险携带与责任法案》(即HIPAA)规定,PHI受到法律保护。
美国卫生与公众服务部(HHS)将数据泄露定义为"违反隐私规则的未经许可使用或披露行为,该行为危及个人健康信息(PHI)的安全性或隐私性"。隐私规则是《健康保险流通与责任法案》(HIPAA)三大支柱之一,而数据泄露通知规则则是另一项支柱性规定。该规则明确了机构在发现个人健康信息疑似泄露时必须遵循的义务要求。
尽管医疗健康数据泄露可能通过多种途径发生,但绝大多数源于黑客攻击或信息技术(IT)事件。据Practice Resources公司报告,本月近百万人的个人健康信息(PHI)遭到泄露。而根据美国卫生与公众服务部(HHS)数据泄露报告门户网站披露,此前一周OneTouchPoint公司发生的泄露事件已使该数字相形见绌。
美国参议员安格斯·金和众议员迈克·加拉格尔近日致函卫生与公众服务部时指出:"随着网络威胁呈指数级增长,我们必须优先解决医疗保健领域的网络安全漏洞。"金与加拉格尔共同担任网络空间索拉里姆委员会联席主席,他们是众多对这一急剧恶化问题发出警报的专家代表。
医疗机构正通过促进电子数据传输的平台日益实现系统互联。然而,必要的安全措施并未始终到位,使这些系统成为极具价值的攻击目标。推动数据泄露事件激增的其他因素还包括远程办公人员数量的增加,以及移动设备(尤其是用于工作的个人设备)使用率的提升。
随着医疗系统及其商业合作伙伴持续共享数据,黑客正伺机而动,企图窃取这座宝贵的数据金矿。他们获取的姓名、地址、社会保障号码、出生日期等身份信息,以及用户名和密码,都可能在暗网被转卖牟利。
为应对这些风险,定期开展HIPAA培训至关重要。Syntrio的HIPAA培训涵盖了避免和报告数据泄露的最佳实践。对新员工进行HIPAA培训以及对其他员工进行定期复训,是特定岗位和行业的法定要求。虽然美国卫生与公众服务部(HHS)未明确规定HIPAA培训的频率,但要求持续开展教育以确保HIPAA要求始终处于首要位置。
一旦发生数据泄露,由此产生的法律费用、负面舆论、业务萎缩、员工工时损失、客户及商业伙伴信任受损、高额罚款,尤其是受害者承受的精神痛苦,其代价远超HIPAA培训的成本。持续开展预防泄露的教育培训,将带来巨大的成本节约。
Syntrio提供两套引人入胜的模块系列,构筑理想解决方案。HIPAA与患者护理系列面向直接接触患者的工作人员,而HIPAA基础系列则适用于虽不直接接触患者但需处理个人健康信息的人员。两套系列均阐释了HIPAA的立法缘由、构成其核心的三大法规,并提供防范高额违规损失的建议。
Syntrio最新推出的培训课程由行业专家共同开发,涵盖了美国卫生与公众服务部(HHS)及美国国家标准与技术研究院(NIST)网络安全框架的最新指导方针。 该培训采用真实情境模拟,通过互动功能提升参与度与知识保留率,设置具有实际意义的情境演练,并穿插高频知识测验。内容涵盖移动设备与社交媒体使用规范,以及电子健康信息(ePHI)在管理、物理和技术层面的防护措施最佳实践。
我们很高兴能与您探讨我们的培训如何为您的员工提供必要知识,从而帮助保护您的组织及其服务对象免受个人健康信息滥用和丢失的威胁。
编者按:本文最初发表于Syntrio.com。2024 年 1 月,Mitratech收购了道德与合规培训、工作场所骚扰预防和匿名热线报告解决方案的领先供应商Syntrio。此后,我们对内容进行了更新,以反映我们扩展的解决方案产品、不断发展的合规法规以及道德与风险管理方面的最佳实践。
