医疗行业越来越多地通过互操作性、信息交流和护理协调使用患者数据，人们对患者户数的隐私和安全问题的担忧日益加剧。为此，美国临床创新与技术网站(Clinical Innovation + Technology)于近日组织了一次圆桌会议，与会者就处理数据泄露等问题进行了讨论。

信息泄露是否成为医疗行业屡见不鲜的情况

Jennings Aske：从某种程度上来说，人们不能接受信息泄露。在这个意义来讲，患者受到了伤害。Leon Rodriguez认为医疗机构真诚地做一切事务，但是出现了事故或错误，发生了意外事件。我同意他的看法。我想说所有医疗机构，包括我所在的医疗机构可以做更多的事情。

合作医疗系统(Partners Healthcare)已经做出承诺，加大安全和隐私方面的投资力度，原因是我们面对的威胁环境不同以往。用户技术和移动技术的渗透需要我们加强隐私和安全工作，我们要对患者负责，付出更多的努力。

Linn Foster Freedman：我处理全国的医疗实体紧急泄露响应工作。自从OCR加大了一个行业的执法力度，我发现覆盖的实体正在加大隐私和安全方面的工作力度，了解了这一工作重要性。自从出台医疗信息技术促进经济和临床健康法案(HITECH)，要求自我报告后，我们正在摸清泄露事件的总数。我正在看到大大小小的医疗社区花费更多，投资更多，更重视培训他们的员工，努力遵守健康保险流通与责任法案的规定。

Adrian Gropper：应该注意的问题是现在的氛围足够透明，能使我们认清隐私工作的真实情况。加密可以提高安全性，但是如果所有的沟通都与治疗、付款和手术有关，而这些沟通信息患者无法获得，患者也无法确定信息的披露有无根据，那么光靠解释披露原因，无法加强隐私性。

JA：我们实施的是所谓的“自我审查”，即人们可以检查谁在查看自己的临床记录。纸质病历听起来不错，可是拿到报告也没有意义，因为自己并不知道情况。我们很难确定查看病历的人是否得到授权。通过解释披露原因的机制加强隐私性或强化隐私概念是我们需要面对的一个挑战。这是我们需要努力的地方。

我不认为隐私和安全问题是两个相互的概念，但是你用维恩图来解释的话就会出现重叠。我们缩小差距的办法是实施技术，确定有人产看同事的记录或医生是否浏览电子病历，来审查和加强隐私保护。

如何让医疗机构提供的信息被患者消化?Partners等医疗机构每周有上千万的电子交易，如何提炼成有意义的报告?我很关注市场现有技术实现目标的情况。

Phyllis Patrick：我认为可以同时加强隐私性和安全性。如果出现一次安全事故，也可能会出现隐私问题。隐私和安全官员需要的技能也是负责项目政策开发、将隐私和安全整合到机构文化事务的官员的技能。有些技能是需要的，但是重点应放在管理、规划、协商、展示和其它与泄露信息有关、让机构正常运行的工作中来。让安全官员从事信息技术是一种荒谬的说法。安全官员需要运用授课、项目和预算方面的技能与高层合作，而不是负责修电脑或安装防火墙等工作。

移动医疗对医疗机构及其隐私和安全有何影响?

PP：我们不仅与医院合作，而且还与初创企业、制药公司、医生诊所和索赔公司合作。其中有些公司设计的程序中有监控受保护的健康信息的功能。我们已经设计出一些雏形，常常讨论受保护的健康信息的绘制问题。如果你不知道自己受保护的健康信息在哪，就不能保护这些信息。移动医疗技术问世后，就会有跟踪的问题。如果受保护的健康信息在移动设备上或某人正在携带，信息就可能会在服务器上，击中不同的手机基地台。你需要查看这个过程和事件链，找到薄弱环节。

我们将看到市面出现了大量的移动医疗技术，我们还看到从未出现过的很好的移动安全解决方案。

JA：我们已经开发了一些移动应用程序用临床医生使用。这些程序是由团队开发的，他们与我的办公室人员密切合作，以保证应用程序与我们的政策协调一致。我们对应用程序进行检测，确保这些程序不会损坏。

通常来讲，医疗仍然努力就如何处理这个问题达成共识。有人向我提出了短信的问题。我们应该让患者使用安全专业的应用程序向医生发送短信吗?或者他们使用设备上的短信程序吗?解决这个问题是一大挑战。当我们在讨论人们把过多的设备带到医疗和研究环境中，我们并不清楚如何解决这个问题。监管机构也在努力解决这个问题。

Deborah C. Peel：很多这种技术来自于商业领域。在商业领域中，患者控制、访问自己的信息的标准并不高，和医疗行业不太一样。技术开发商对患者的权利并不了解。对于加入医疗行业的厂商们不了解他们用户的权利和相关的法律这个情况，我很震惊。

JA：在监管领域外，患者利益主张团体和医疗服务者团体之间需要建立对话机制。只有华盛顿能够推动对话。我担心人们不了解患者们的真实需求，我们应该更好地倾听他们的需求。

美国网络安全框架对隐私和安全有何影响?

PP：网络安全是一种新威胁，医疗机构刚刚认识要这个问题。国家标准和技术协会正在与多个利益相关方合作，制定这个框架。我一直关注框架的构建。我认为这个框架可能也适应于其它安全网络的需要。

我与客户们分享这方面的信息。医院对此并不太关注。有些医院认为网络风险只是一个小小的风险，没有意识到可能的风险，而我却把网络安全列为风险评估的内容。

该框架将保持技术中立和灵活性。并遵循了安全规则的一些原则。明年二月有望出台最终版，我很期待，想知道如何能把这个框架与目前的工作进行整合。

JA：合作医疗系统目前正在审查框架草案，确定其在信息安全规划路线图中的作用。我们正在把国家标准和技术协会特别出版物和ISO27000系列用作路线图的框架。理想的话，新网络安全框架草案将会与我们目前的工作有关。

除此之外，合作医疗系统加入了国家医疗信息安全与分析中心(National HealthCare Information Security and Analysis Center)。作为会员，合作医疗系统计划在推动医疗行业安全框架对话方面做出积极贡献。我们相信，这些重要举措将使医疗行业的信息安全项目日趋成熟。

原文标题：Privacy & Security Roundtable: Putting a Lock on Patient Data

原文作者：Beth Walsh