【HC3i独家翻译】以下6起数据泄漏事件均发生于2012年7月，如此频繁出现的数据泄漏事件隐忍深思，医院如何预防数据泄漏呢？专家给出7条建议。

1、斯坦福大学附属医院公布数据泄密事件涉及2500名患者

斯坦福大学附属医院和医学院发生密码保护电脑失窃案件后，院方公布2500位患者受到影响。这部电脑包含医疗和科研相关信息，涉及例如患者的名字，医疗服务注册地点，病历号等。一些信息还包括患者治疗史，出生年月及社保号码。

2、棕榈滩镇医疗行政部门职员窃取患者姓名、社保号码

佛罗里达州棕榈滩镇医疗行政部门发布了一个通告，称其医疗中心至少有86名患者的个人信息可能遭到泄漏，这些信息被交予非授权人员泄密原因是一名职员建立了一个包含姓名和社保号码的名单，并曾试图通过邮件发送。

3、电脑数据被盗，哈特福德医院近1万名医疗患者受到影响

一台包含康涅狄格州哈特福德医院2097名病人和VNA医疗系统7461名患者个人医疗信息的电脑，最近在哈特福德医院的供应商之一Greenplum的雇员家中被盗。该公司是EMC集团子公司，也是哈特福德医院的家庭医疗保健伙伴，在康涅狄格州设有办事处。 Greenplum负责哈特福德医院再入院相关质量改进项目部分，主要对EMC的数据进行分析。失窃病人信息包括姓名，地址，出生日期，婚姻状况，社会安全号码，医疗保险和医疗保险号码，医疗记录号码，诊断和治疗的信息。

4、 纽约大学Langone医学中心的盗窃案，8400份病历敲响安全警钟

纽约大学Langone医学中心一部存有8,400名患者个人健康信息的台式计算机失窃。病人信息包括姓名，地址，出生日期，电话号码以及保险和临床资料。其中5000条丢失的个人记录中包含社会安全号码。

5、数据泄密事件影响超过1万4千名俄勒冈健康科学大学的患者

位于在波特兰的俄勒冈卫生与科学大学宣布，一个存储约14,300例病历信息，其中包括702儿科患者和大约200名OHSU的员工信息的U盘被OHSU的雇员携带回家后遭遇入室盗窃并丢失。U盘上的病人信息包括姓名，出生日期，电话号码，地址，OHSU的病历号码，病人的医疗状况描述等。

6、笔记本电脑被盗，近4000名以色列贝斯医疗中心的患者受到影响

总部位于波士顿的贝斯以色列医疗中心发布公告称，一名医生的个人笔记本电脑被盗后已经有3900名患者个人健康信息可能已经遭到泄漏。个人健康信息泄漏的类别并未透露。

7招杜绝医院信息漏洞

在医疗行业的今天，数据泄漏对于医院和卫生系统不再是一个是否发生的问题，而是“何时”的问题。根据美国政府问责办公室统计，2010年发生了13,017起数据失窃事件。在2011年，这一数额上升到15,560。增长率达19%。虽然这些统计数字包括医疗行业外的资料外泄，然而我们可以简单地通过最近的新闻头条看到，医疗系统正越来越多地发生数据外泄。

据网络数据的风险管理公司总裁 Christine Marciano称，为数据泄漏或黑客攻击做预防计划前，公司领导应该问自己以下几个关键问题：

•如果数据泄漏发生，是否有事故应急预案准备?

•医院向谁寻求援助?

•是否知道业务伙伴/或系统供应商用什么方法保护他们的系统和他们的数据?

•最后一次要求查看这些政策是什么时候?

•医生，护士和临床工作人员是否被要求加密U盘的数据?

这五个问题可以给医院资料外泄问题可以为防止泄漏的讨论或行动以启示，此外安全硬件开发商和经销商 Systematic Development 公司马西亚诺( Marciano )女士建议，为最大限度地降低数据破坏损失，可以采取以下七种方法。

1、确保数据保护和泄密管理政策和规定的覆盖

如果医院的隐私和安全政策和/或程序不全面就可能引发问题，当发生数据破坏为时已晚，但之后修复问题可以避免今后发生同样的错误。马西亚诺女士建议以下问题来用以确定政策和处置程序是否有足够的覆盖面。

•您的机构是否有书面的，覆盖企业范围的隐私政策?

•您的机构是否有一个企业风险评估委员会或指定的首席隐私顾问或安全员?

•您的机构是否有灾备计划?

•您的机构是否对笔记本电脑和便携式媒体数据存储进行加密?

2、定期更新所有软件和硬件

医院应及时完成包括安装软件补丁在内的软件更新。 “审核数据保密政策时，应注意公司机构是否及时在软件补丁发布30天内安装补丁，这一点十分重要，”马西亚诺女士解释道，一个软件补丁是软件系统所做的一系列更改。修补程序通常包括新增功能修正错误或添加文件。对于数据的安全性，更新补丁可有助于阻止网络攻击，保护防火墙。

3、数据加密

减少数据破坏成本最好的办法之一是通过加密数据。 “当病人的数据丢失，如果硬盘驱动器或计算机是加密的，病人或医院的损失就会大大降低。 如果数据已经加密，2011年报告的多数数据泄密事件就不会发生。泰特(Tate)先生说，“目前主要有两种数据加密方法。

软件的加密

泰特称，对数据进行加密的主要途径之一是在网络上运行加密软件，它可以在存储时加密，当雇员需要访问数据时在网络上运行软件进行解密。

硬件的加密

硬件加密正如其名称，加密不使用软件，而是用硬件本身或驱动器具有内部加密功能。 “当你将数据保存在桌面上笔记本电脑或服务器硬盘驱动器时，硬件加密自动进行，然后在读取数据时，解密数据。”

4、管理端口

另一种降低数据泄露风险的方式是对连接到医院的有线、无线网络以及物理的端口进行控制。泰特说，“”USB端口现在是一大隐忧。员工将自己的USB设备端口已经司空见惯，因此需要有严格的规章制度规定员工如何使用物理端口。网络端口也需要严格的规则。如果医院建立了网络数据规则规定哪些数据可以复制到移动载体，病人的数据将更加安全。

俄勒冈卫生科学大学最近遭遇数据破坏，存储了14,300名患者信息的未加密U盘在雇员家中被盗。医院要控制端口访问有多种方法，包括要求员工要使用加密的U盘：

•软件解决方案称为端口管理解决方案或端点解决方案，该方案可提供保护。

•只允许唯一的U盘加密连接到医院网络。

•防止网络中的可执行文件复制到U盘。

5、培训员工

医院需要对员工培训，提高他们的隐私和安全意识，减少资料外泄的风险。 “运营商要确保推动安全意识不断增强，因为安全意识薄弱是导致许多资料外泄和违反政策的一个关键问题，例如笔记本电脑在医生家中被盗。”马西亚诺女士说。

6、建立风险评估程序

马西亚诺女士建议每年通过风险评估程序测试或审核安全机制。 “医院要研究加强安全控制的最佳做法，以加强对网络访问的管理，最大限度地减少数据泄漏，并积极解决问题。此外，她建议医院购买数数据泄漏保险。

7、了解你的生意伙伴

医院的需要他们的业务伙伴和供应商保证将采用合适的手段保护患者的健康隐私，尤其是在今天的数字环境下。马西亚诺女士说：“了解他们的数据保护政策将有很长的路要走，如果你让业务伙伴处理你的数据，数据破坏会带来的严重影响，这种影响程度完全无法由自己掌握”。一台包含哈特福德(康涅狄格州)医院2097名病人和VNA医疗系统7461名患者个人医疗信息的电脑，最近在哈特福德医院的供应商之一Greenplum的雇员家中被盗。该公司是EMC集团子公司，也是哈特福德医院的家庭医疗保健伙伴，在康涅狄格州设有办事处。 Greenplum负责哈特福德医院再入院相关的质量改进项目的一部分，主要对EMC的数据进行分析。为了尽量减少风险，马西亚诺女士建议，医疗机构应要求商业伙伴健全数据泄漏相关政策，以及数据泄密发生时的响应策略。数据泄漏对于医疗机构是非常有害的，因为他们威胁到医院财政，声誉和患者的忠诚度。医院需要提前做好准备，而这七种方法可以帮助医院减少数据外泄的风险。