2023云醫(yī)療健康數(shù)據(jù)隱私保護(hù)

PAGEPAGE4醫(yī)療云健康數(shù)據(jù)隱私保護(hù)PAGEPAGE20目錄序言 3致謝 4摘要 6介紹 6隱私工程 7風(fēng)險評估 9隱私法規(guī) 113.1創(chuàng)建 123.2存儲 133.3使用 133.4共享 143.5存檔 153.6銷毀 154討論 165結(jié)論 17參考 18附錄A -隱私影響評估樣本格式 19附錄B–數(shù)據(jù)保護(hù)影響評估(DPIA)模板示例 21摘要（Bamauer,2013）介紹（縮寫為CIA）為基本原則的數(shù)據(jù)安全廣為人知，而本文所指的隱私安全則是在預(yù)定義和批準(zhǔn)的前提下（如同意（如患者（Bamauer,2013）（COVID-19）和民權(quán)辦公室（美國衛(wèi)生與人力資源服務(wù)部，2020）。這種增長需要提高對隱私安全問題的意識。PHI數(shù)據(jù)，加劇了對于隱私安全的擔(dān)憂。目前，許多網(wǎng)絡(luò)安全控制框架適用于醫(yī)療領(lǐng)域，如美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST），國際（HITRUST）HDO須同時關(guān)注受保護(hù)的隱私健康信息（PHI）和個人可識別信息（PII），并為這兩類數(shù)據(jù)提供緩解控制措施。隱私工程（PbD）構(gòu)建隱私。隱私工程中一種有用的方法是LINDDUNLINDDUN（DFD）作為系統(tǒng)的代表性模型進(jìn)行分析。信任邊界信任邊界系統(tǒng)處理系統(tǒng)處理患者數(shù)據(jù)流處理過的數(shù)據(jù)流HTT瀏覽器數(shù)據(jù)存儲HTT患者數(shù)據(jù)輸出流輸入患者數(shù)據(jù)流圖1數(shù)據(jù)流圖圖1中所示的數(shù)據(jù)流圖將作為分析的基礎(chǔ)，它的每個元素都會被仔細(xì)檢查，以防隱私威脅。該方法的原理主要是提供了與一組隱私威脅相關(guān)的最常見攻擊路徑。首字母縮略詞LINDDUN代表：可鏈接性(Linkability)，指即使不知道可鏈接興趣項目主體的實際身份，也能充分區(qū)分/處理環(huán)境（數(shù)據(jù)庫存儲）之前或遷移過程中，執(zhí)行了所有相關(guān)隱私措施以合并患者私有和敏感數(shù)據(jù)。因此，可鏈接性提供了即使在屏蔽、匿名或加密時也能關(guān)聯(lián)數(shù)據(jù)的能力；可識別性(Identifiability)，在一組主體中充分識別主體的能力；不可抵賴性(Non-repudiation)，無法拒絕索賠；可檢測性(Detectability)，充分區(qū)分感興趣項目是否存在的能力；信息披露(Disclosureofinformation)，信息披露樹不是LINDDUN的一部分，而是微軟STRIDE的一部分。由于隱私依賴于安全，LINDDUN包括了微軟STRIDE的信息披露威脅；無意識(Unawareness)、缺乏了解共享信息的后果，用戶通常不知道共享數(shù)據(jù)的影響；不合規(guī)(Non-compliance)、不配合遵從法律、法規(guī)和公司政策。攻擊路徑表示為威脅樹，詳細(xì)說明了與主要威脅類別相關(guān)且特定于DFD元素類型的威脅的可能原因（Wuyts、Scandariato和Joosen，2014）。（NIST，IT風(fēng)險評估醫(yī)療服務(wù)機(jī)構(gòu)在制定隱私計劃時應(yīng)采取的第一步是確保他們充分了解個人數(shù)據(jù)處理的不同VIPVIP(HDO)網(wǎng)絡(luò)安全風(fēng)險網(wǎng)絡(luò)安全關(guān)聯(lián)隱私事件隱私風(fēng)險識別保護(hù)識別保護(hù)檢測治理檢測響應(yīng)控制響應(yīng)恢復(fù)溝通恢復(fù)使用功能管理網(wǎng)絡(luò)安全和隱私風(fēng)險，NIST2020完整過程見隱私框架附錄D（NIST，2020）。(NIST,2017p21)（DPIA）。在隱私風(fēng)險評估中，這兩個術(shù)語經(jīng)?；Q使用；但是，它們有不同的功能。PIA旨在分析HDO如何收集、使用、共享和維護(hù)PII和PHI。PIA樣本見附錄A。DPIA用于識別和最小化處理PII和PHI時的風(fēng)險。DPIA的樣本見附錄B。PIA和DPIA都是整體隱私風(fēng)險管理框架（RMF）的一部分。當(dāng)為新程序或流程獲取PHI和PII時，執(zhí)行PIADPIA（EU）（GDPR），作為識別和降低隱私風(fēng)險的持續(xù)流程。（NIST，2020年隱私法規(guī)（Bamauer，2013年(適用于一般個人數(shù)據(jù))和行業(yè)法律(適用于特定領(lǐng)域，如醫(yī)療健康領(lǐng)域)或特定法律(適用于特殊情況，如新冠疫情)中都可（包括健康數(shù)據(jù)(HIPAA)(GDPR)HIPAA隱私規(guī)則的主要目標(biāo)是，在允許為了提供和促進(jìn)高質(zhì)量醫(yī)療健康服務(wù)而傳播健康數(shù)據(jù)(PHI)PHI以及撤銷披露的權(quán)利。美國衛(wèi)生與公眾服務(wù)部的相關(guān)規(guī)定如下：“HIPAA隱私規(guī)則建立了美國保護(hù)個人醫(yī)療記錄和其他個人健康信息的國家標(biāo)準(zhǔn)，并適用于醫(yī)療計劃、醫(yī)療健康數(shù)據(jù)處理機(jī)構(gòu)、以及某些電子醫(yī)療健康交易的醫(yī)療服務(wù)提供商。規(guī)則要求采取適當(dāng)?shù)陌踩胧┍Ｗo(hù)個人健康信息的隱私，并對未經(jīng)患者授權(quán)而使用和披露個人健康信息設(shè)定了限制和條件。規(guī)則還賦予患者對其健康信息的權(quán)利，包括檢查和獲取其健康檔案副本，以及要求更正的權(quán)利?！保绹l(wèi)生與公共服務(wù)部，2003）以以月6取代。2020年7月16日，歐盟法院作出裁決，宣布?xì)W盟委員會(EU)2016/1250號決定無效，該決定于7月創(chuàng)建PHI/PII指包含可用于識別特定個人或個這一點非常重要。收集者必須獲得同意，即必須征得用戶的許可才能處理他們的數(shù)據(jù)。HDO必PHI/PII存儲（HDO）使用（數(shù)據(jù)的修改屬于創(chuàng)建個人有權(quán)知情數(shù)據(jù)收集和使用的方式，包括明確聲明數(shù)據(jù)使用目的和醫(yī)療健康數(shù)據(jù)的生命周期。個人有權(quán)詢問被收集數(shù)據(jù)的具體內(nèi)容。如果數(shù)據(jù)有誤，個人有權(quán)要求更正。（/醫(yī)生不需要批準(zhǔn)該請求）。個人有限制數(shù)據(jù)處理權(quán)，例如拒絕將數(shù)據(jù)用于市場營銷活動。所有的HDO包括公司及其代表的詳細(xì)聯(lián)系方式說明公司收集數(shù)據(jù)的原因說明數(shù)據(jù)存檔期限說明用戶擁有的權(quán)利使用簡單易懂的語言指定個人數(shù)據(jù)的接收者（如果公司與其他組織共享數(shù)據(jù)）共享“共享”描述了他人（無論組織內(nèi)部和組織外部）可以訪問數(shù)據(jù)的行為。NIST提到用數(shù)據(jù)（HDO）必須確保部署數(shù)據(jù)防泄漏系來檢測未經(jīng)授權(quán)的敏感數(shù)據(jù)共享或復(fù)制行為。數(shù)據(jù)處理生態(tài)系統(tǒng)包括多個實體和角色，這些實體和角色彼此之間可能具有復(fù)雜的、多向關(guān)系。在數(shù)據(jù)共享方面（包括云服務(wù)提供商CSP之間的數(shù)據(jù)交換公眾公眾/政府生產(chǎn)商個人供應(yīng)商或服務(wù)民間團(tuán)體提供商業(yè)務(wù)合作伙伴研究所/教育單位商業(yè)產(chǎn)品/服務(wù)開發(fā)者數(shù)據(jù)處理生態(tài)系統(tǒng)關(guān)系圖（NIST,2020年）這樣做還可能需要改變或調(diào)整健康信息系統(tǒng)(HIS)中已實施的現(xiàn)有訪問控制模型，以便患者數(shù)據(jù)的安全管理可以由患者(明確同意)和系統(tǒng)管理員共同操作（https：///article/（HDO)和云服務(wù)提供商CSP（PHI）/個人識別信息（PII）存檔(EHR)PHI外，所有個人信息不再使用時可能需要刪除。個人信息存儲最小化原則。個人數(shù)據(jù)（NIST，2020）。有法律要求PHI要保存一段時間，其中一些甚至允許數(shù)據(jù)離線存儲。銷毀HDO應(yīng)該記錄PHI/PII的銷毀時間、法律依據(jù)，以及銷毀責(zé)任人。此外，可以實施多種措施保護(hù)數(shù)據(jù)。 桌面清理要求：所有員工離開工位之前，應(yīng)確保桌面上沒有任何包含隱私數(shù)據(jù)的材料，并且電腦要鎖屏。移動設(shè)備安全：移動設(shè)備應(yīng)充分安全，并設(shè)置密碼保護(hù)。數(shù)據(jù)的安全傳輸：隱私數(shù)據(jù)應(yīng)通過安全的方式發(fā)送。 數(shù)據(jù)的安全處置：在未確保所有受保護(hù)數(shù)據(jù)已被安全刪除之前，不應(yīng)處置包含隱私數(shù)據(jù)的可移動介質(zhì)。違規(guī)報告：在大多數(shù)情況下，如果發(fā)生違規(guī)行為，組織要在72小時之內(nèi)報告。討論云計算在醫(yī)療健康領(lǐng)域中的應(yīng)用未來將繼續(xù)增加，隨著這一點，存儲在云中的隱私健康信息（PHI）數(shù)量也將持續(xù)增加。此外，物聯(lián)網(wǎng)(IoT)設(shè)備的使用增加將加速云計算的應(yīng)用。與醫(yī)療健SecurityAlliance)(NISTSP800-53r52020)在與云提供商簽訂云服務(wù)協(xié)議時，醫(yī)療健康服務(wù)組織（HDO）應(yīng)確保以下問題得到回答:云服務(wù)提供商(CSP)是否在隱私通知中描述了PHI被收集、使用、維護(hù)和共享的目的?云服務(wù)提供商(CSP)PHI的程序、信息系統(tǒng)或技術(shù)的適當(dāng)隱私和安全控制措施？這些文件是否包括如何聯(lián)系云服務(wù)提供商（CSP）的數(shù)據(jù)隱私官(DPO)，以及患者或權(quán)威機(jī)構(gòu)如何請求對個人的醫(yī)療健康數(shù)據(jù)采取行動？云服務(wù)提供商(CSP)是否有進(jìn)行私隱影響評估?他們是否愿意分享云服務(wù)提供商(CSP)是否對在歐盟或歐盟數(shù)據(jù)主體上存儲、處理或傳輸?shù)臄?shù)據(jù)進(jìn)行了數(shù)據(jù)保護(hù)影響評估??云服務(wù)提供商(CSP)是否監(jiān)控和審計隱私控制和內(nèi)部隱私政策，以確保其有效的實施?云服務(wù)提供商(CSP)設(shè)計信息系統(tǒng)是否通過自動實現(xiàn)隱私控制來支持隱私?云服務(wù)提供商(CSP)是否對其控制下的每個記錄系統(tǒng)中所保存的信息進(jìn)行了準(zhǔn)確的披露，包括a)每次披露紀(jì)錄的日期、性質(zhì)及目的?b)被披露的個人或組織的姓名和地址?云服務(wù)提供商(CSP)是否通過現(xiàn)有的安全控制來記錄其流程，以確保受保護(hù)的隱私健康信息（PHI）的完整性？云服務(wù)提供商(CSP)是否確認(rèn)實現(xiàn)合法授權(quán)收集目的所需的最小必要原則PHI？(CSP)維護(hù)和共享受保護(hù)的健康信息的方式？云服務(wù)提供商(CSP)是否有接收和響應(yīng)來自個人關(guān)于組織隱私實踐的法律請求、投訴、關(guān)注或問題的流程?對檢查隱私和醫(yī)療健康信息管理的審計，是否僅限于特定人員/角色，或受已聲明的法規(guī)/合同的約束？云服務(wù)提供商(CSP)是否就其影響隱私的活動向公眾和個人發(fā)出有效通知，包括收集、使用、共享、保護(hù)、維護(hù)和處置PHI？云服務(wù)提供商(CSP)是否對外共享受保護(hù)的健康信息(PHI)?(CSP)是否具有聚合和關(guān)聯(lián)存儲/處理在其他地方的醫(yī)療信息的能力?這些問題將確保云服務(wù)提供商（CSP）擁有一套結(jié)構(gòu)化的隱私控制系統(tǒng)，有助于遵守所有適用的法律。此外，對云服務(wù)提供商（CSP）的隱私控制措施與安全控制措施一起查看，證明了隱私與安全之間的關(guān)系。結(jié)論雖然這篇文章的重點是關(guān)于《健康保險流通與責(zé)任法案（HIPAA）（GDPR）（HDO）還須關(guān)注除此之外的法律（Ashkenazi,2020）加0年1（PA（PA》進(jìn)行了修訂，新增的額外的保護(hù)條款將于2023年1月1日生效。受其影響的各醫(yī)療健康服務(wù)組織（HDO）將需要重新審查以確保遵守這些新修訂內(nèi)容。此外，各醫(yī)療健康服務(wù)組織（HDO）還需重新審查其數(shù)據(jù)所存儲、處理或傳輸?shù)乃兴痉ü茌爡^(qū)域的法律法規(guī)。參考Ashkenazi,Asaf,2020.NYShieldActSetsinMotionSweepingPrivacyRegulations,InformationSystemsSecurityAssociationJournal,Vol.18No7Retrievedfrom\hBambauer,DerekE.,2013.PrivacyVersusSecurity,TheJournalofCriminalLaw&CriminologyVol.103,No.3Cavoukian,Ann,Shapiro,Stuart,andCronk,JasonR.,2014.PrivacyEngineering:ProactivelyEmbeddingPrivacy,byDesign,InformationandPrivacyCommissioner,Ontario,CanadaRetrievedfrom\hhttps://www.ipc.on.ca/wp-content/uploads/resources/pbd-priv-engineering.pdfDepartmentofHealth&HumanServices,2020.OCRAnnouncesNotificationofEnforcementDiscretionforTelehealthRemoteCommunicationsDuringtheCOVID-19NationwidePublicHealthEmergency,Retrievedfromhttps://\h/about/news/2020/03/17/ocr-announces-notificationof-enforcement-discretion-for-telehealth-remote-communications-during-the-covid-19.htmlDepartmentofHealthandHumanServices,2013.SummaryoftheHIPAAPrivacyRule,Retrievedfrom\h/hipaa/for-professionals/privacy/laws-regulations/index.html.Fennessy,Caitlin,2019.Privacyengineering:Thewhat,whyandhow,TheInternationalAssociationofPrivacyProfessionals,Retrievedfrom/news/a/privacy-engineering-the-what-why-and-how/NationalInstituteofStandardsandTechnology,2020.NISTPrivacyFramework:AToolforImprovingPrivacyThroughEnterpriseRiskManagement,NationalInstituteofStandardsandTechnology,Gaithersburg,MDRetrievedfrom\h/privacy-framework/privacy-frameworkNationalInstituteofStandardsandTechnology,2017.NISTIR8062AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems,NationalInstituteofStandardsandTechnology,Gaithersburg,MDRetrievedfrom\h/10.6028/NIST.IR.8062NationalInstituteofStandardsandTechnology,2020.SecurityandPrivacyControlsforFederalInformationSystemsandOrganizations,Gaithersburg,MD.Retrievedfrom/10.6028/NIST.SP.800-53r5UnitedKingdomInformationCommissioner’sOffice,2018.DataProtectionImpactAssessmentTemplate,Retrievedfrom.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/Wuyts,Kim,Scandariato,RiccardoandJoosen,Wouter,2014.LIND(D)UNPrivacyThreatTreeCatalog,Retrievedfromhttps://\h/privacy-framework/linddun-privacy-threat-modeling-framework附錄A - 隱私影響評估樣本格式簽署日期：系統(tǒng)所有者：誰對系統(tǒng)負(fù)責(zé)？名稱：系統(tǒng)名稱是什么？PIA唯一標(biāo)識符：HDO的系統(tǒng)唯一FQDN該P(yáng)IA的主題是以下哪一項：主要應(yīng)用、次要應(yīng)用、一般支持系統(tǒng)，確定系統(tǒng)的企業(yè)性能生命周期階段：該系統(tǒng)是否包括可供公眾使用的網(wǎng)站或在線應(yīng)用程序？是/否確定操作員：生產(chǎn)線（例如：財務(wù)、人力資源、供應(yīng)鏈）這是新系統(tǒng)還是現(xiàn)有系統(tǒng)？新的/現(xiàn)有的系統(tǒng)是否具有安全授權(quán)（SA）？是/否 按照以下兩點明確更新此PIA的原因：描述系的用途；描述系統(tǒng)將要創(chuàng)建、存儲、使用、共享或歸檔的信息類型。提供系統(tǒng)概述，并描述系統(tǒng)將要創(chuàng)建、存儲、使用、共享或歸檔的信息。系統(tǒng)是否收集、維護(hù)、使用或共享PHI/PII？是/否指出系統(tǒng)將創(chuàng)建、存儲、使用、共享或存檔的PHI/PII類型，例如：社會保險號、出生日期、姓名、郵寄地址、電話號碼、醫(yī)療記錄、就業(yè)狀況、納稅人IDPHI/PII/供應(yīng)商/承包商系統(tǒng)中個人PHI/PII數(shù)量是多少？PHI/PII的主要用途是什么？描述使用PHI/PII的其他用途。確定系統(tǒng)和程序法律機(jī)構(gòu)所允許的最大信息使用和披露的權(quán)利。系統(tǒng)上的記錄是否可以通過一個或多個PHI/PII數(shù)據(jù)元素檢索？是/否如果是，列出所有使用PHI/PII數(shù)據(jù)的系統(tǒng)確定系統(tǒng)中PHI/PII的來源。PII是否可以與其他組織共享？是/否確定可共享或披露PII的對象并闡明目的。描述授權(quán)信息共享或披露的協(xié)議。描述授權(quán)披露的會計程序。描述通知個人將收集個人信息的過程。如果沒有事先通知，請解釋原因。個人提交PHI/PII信息是自愿的還是強(qiáng)制性的？描述個人選擇不想被收集和使用他們PHI/PII信息的原因。如果信息收集是強(qiáng)制性的，請說明原因。當(dāng)系統(tǒng)發(fā)生重大變化時，通知系統(tǒng)中存在PHI/PII的個人并獲得其同意的流程是什么？描述當(dāng)個人認(rèn)為其PHI/PII的獲取、使用或披露不當(dāng)，或PHI/PII不準(zhǔn)確時，解決個人問題的流程。描述對系統(tǒng)中包含的PHI/PII進(jìn)行定期審查的流程，以確保數(shù)據(jù)的完整性、可用性、準(zhǔn)確性和相關(guān)性。確定誰可以訪問系統(tǒng)中的PHI/PII，以及他們需要訪問的原因。用戶：描述確定系統(tǒng)用戶（管理員、開發(fā)人員、承包商等）可以訪問PHI/PII的流程。描述允許訪問PHI/PII的人員僅允許訪問執(zhí)行其權(quán)限范圍內(nèi)最小權(quán)限的方法。（/或項目經(jīng)理針對性的提供培訓(xùn)，使他們意識到保護(hù)收集信息的責(zé)任。描述用戶接受的系統(tǒng)性培訓(xùn)（超過一般安全和隱私意識培訓(xùn)）。合同是否包括收購條例和其他確保遵守隱私規(guī)定和慣例的適當(dāng)條款？是/否描述與PHI/PII留存和銷毀相關(guān)的流程和指南。簡要但需要具體描述如何通過管理、技術(shù)和物理控制手段在系統(tǒng)中保護(hù)PHI/PII。附錄B –數(shù)據(jù)保護(hù)影響評估(DPIA)模板示例該模板是記錄DPIADPIADPIA指南一同閱讀，也可以同歐洲D(zhuǎn)PIA指南所規(guī)定的可接受DPIA標(biāo)準(zhǔn)一起閱讀。提交數(shù)據(jù)控制人員詳細(xì)信息數(shù)據(jù)控制人員姓名數(shù)據(jù)隱私專員議題/頭銜數(shù)據(jù)控制人員聯(lián)系人姓名/數(shù)據(jù)隱私專員姓名(酌情刪除)第1步：確定DPIA的需求大致解釋項目的目的和涉及到的