2023云医疗健康数据隐私保护

PAGEPAGE4医疗云健康数据隐私保护PAGEPAGE20目录序言 3致谢 4摘要 6介绍 6隐私工程 7风险评估 9隐私法规 113.1创建 123.2存储 133.3使用 133.4共享 143.5存档 153.6销毁 154讨论 165结论 17参考 18附录A -隐私影响评估样本格式 19附录B–数据保护影响评估(DPIA)模板示例 21摘要（Bamauer,2013）介绍（缩写为CIA）为基本原则的数据安全广为人知，而本文所指的隐私安全则是在预定义和批准的前提下（如同意（如患者（Bamauer,2013）（COVID-19）和民权办公室（美国卫生与人力资源服务部，2020）。这种增长需要提高对隐私安全问题的意识。PHI数据，加剧了对于隐私安全的担忧。目前，许多网络安全控制框架适用于医疗领域，如美国国家标准技术研究所（NIST），国际（HITRUST）HDO须同时关注受保护的隐私健康信息（PHI）和个人可识别信息（PII），并为这两类数据提供缓解控制措施。隐私工程（PbD）构建隐私。隐私工程中一种有用的方法是LINDDUNLINDDUN（DFD）作为系统的代表性模型进行分析。信任边界信任边界系统处理系统处理患者数据流处理过的数据流HTT浏览器数据存储HTT患者数据输出流输入患者数据流图1数据流图图1中所示的数据流图将作为分析的基础，它的每个元素都会被仔细检查，以防隐私威胁。该方法的原理主要是提供了与一组隐私威胁相关的最常见攻击路径。首字母缩略词LINDDUN代表：可链接性(Linkability)，指即使不知道可链接兴趣项目主体的实际身份，也能充分区分/处理环境（数据库存储）之前或迁移过程中，执行了所有相关隐私措施以合并患者私有和敏感数据。因此，可链接性提供了即使在屏蔽、匿名或加密时也能关联数据的能力；可识别性(Identifiability)，在一组主体中充分识别主体的能力；不可抵赖性(Non-repudiation)，无法拒绝索赔；可检测性(Detectability)，充分区分感兴趣项目是否存在的能力；信息披露(Disclosureofinformation)，信息披露树不是LINDDUN的一部分，而是微软STRIDE的一部分。由于隐私依赖于安全，LINDDUN包括了微软STRIDE的信息披露威胁；无意识(Unawareness)、缺乏了解共享信息的后果，用户通常不知道共享数据的影响；不合规(Non-compliance)、不配合遵从法律、法规和公司政策。攻击路径表示为威胁树，详细说明了与主要威胁类别相关且特定于DFD元素类型的威胁的可能原因（Wuyts、Scandariato和Joosen，2014）。（NIST，IT风险评估医疗服务机构在制定隐私计划时应采取的第一步是确保他们充分了解个人数据处理的不同VIPVIP(HDO)网络安全风险网络安全关联隐私事件隐私风险识别保护识别保护检测治理检测响应控制响应恢复沟通恢复使用功能管理网络安全和隐私风险，NIST2020完整过程见隐私框架附录D（NIST，2020）。(NIST,2017p21)（DPIA）。在隐私风险评估中，这两个术语经常互换使用；但是，它们有不同的功能。PIA旨在分析HDO如何收集、使用、共享和维护PII和PHI。PIA样本见附录A。DPIA用于识别和最小化处理PII和PHI时的风险。DPIA的样本见附录B。PIA和DPIA都是整体隐私风险管理框架（RMF）的一部分。当为新程序或流程获取PHI和PII时，执行PIADPIA（EU）（GDPR），作为识别和降低隐私风险的持续流程。（NIST，2020年隐私法规（Bamauer，2013年(适用于一般个人数据)和行业法律(适用于特定领域，如医疗健康领域)或特定法律(适用于特殊情况，如新冠疫情)中都可（包括健康数据(HIPAA)(GDPR)HIPAA隐私规则的主要目标是，在允许为了提供和促进高质量医疗健康服务而传播健康数据(PHI)PHI以及撤销披露的权利。美国卫生与公众服务部的相关规定如下：“HIPAA隐私规则建立了美国保护个人医疗记录和其他个人健康信息的国家标准，并适用于医疗计划、医疗健康数据处理机构、以及某些电子医疗健康交易的医疗服务提供商。规则要求采取适当的安全措施保护个人健康信息的隐私，并对未经患者授权而使用和披露个人健康信息设定了限制和条件。规则还赋予患者对其健康信息的权利，包括检查和获取其健康档案副本，以及要求更正的权利。”（美国卫生与公共服务部，2003）以以月6取代。2020年7月16日，欧盟法院作出裁决，宣布欧盟委员会(EU)2016/1250号决定无效，该决定于7月创建PHI/PII指包含可用于识别特定个人或个这一点非常重要。收集者必须获得同意，即必须征得用户的许可才能处理他们的数据。HDO必PHI/PII存储（HDO）使用（数据的修改属于创建个人有权知情数据收集和使用的方式，包括明确声明数据使用目的和医疗健康数据的生命周期。个人有权询问被收集数据的具体内容。如果数据有误，个人有权要求更正。（/医生不需要批准该请求）。个人有限制数据处理权，例如拒绝将数据用于市场营销活动。所有的HDO包括公司及其代表的详细联系方式说明公司收集数据的原因说明数据存档期限说明用户拥有的权利使用简单易懂的语言指定个人数据的接收者（如果公司与其他组织共享数据）共享“共享”描述了他人（无论组织内部和组织外部）可以访问数据的行为。NIST提到用数据（HDO）必须确保部署数据防泄漏系来检测未经授权的敏感数据共享或复制行为。数据处理生态系统包括多个实体和角色，这些实体和角色彼此之间可能具有复杂的、多向关系。在数据共享方面（包括云服务提供商CSP之间的数据交换公众公众/政府生产商个人供应商或服务民间团体提供商业务合作伙伴研究所/教育单位商业产品/服务开发者数据处理生态系统关系图（NIST,2020年）这样做还可能需要改变或调整健康信息系统(HIS)中已实施的现有访问控制模型，以便患者数据的安全管理可以由患者(明确同意)和系统管理员共同操作（https：///article/（HDO)和云服务提供商CSP（PHI）/个人识别信息（PII）存档(EHR)PHI外，所有个人信息不再使用时可能需要删除。个人信息存储最小化原则。个人数据（NIST，2020）。有法律要求PHI要保存一段时间，其中一些甚至允许数据离线存储。销毁HDO应该记录PHI/PII的销毁时间、法律依据，以及销毁责任人。此外，可以实施多种措施保护数据。 桌面清理要求：所有员工离开工位之前，应确保桌面上没有任何包含隐私数据的材料，并且电脑要锁屏。移动设备安全：移动设备应充分安全，并设置密码保护。数据的安全传输：隐私数据应通过安全的方式发送。 数据的安全处置：在未确保所有受保护数据已被安全删除之前，不应处置包含隐私数据的可移动介质。违规报告：在大多数情况下，如果发生违规行为，组织要在72小时之内报告。讨论云计算在医疗健康领域中的应用未来将继续增加，随着这一点，存储在云中的隐私健康信息（PHI）数量也将持续增加。此外，物联网(IoT)设备的使用增加将加速云计算的应用。与医疗健SecurityAlliance)(NISTSP800-53r52020)在与云提供商签订云服务协议时，医疗健康服务组织（HDO）应确保以下问题得到回答:云服务提供商(CSP)是否在隐私通知中描述了PHI被收集、使用、维护和共享的目的?云服务提供商(CSP)PHI的程序、信息系统或技术的适当隐私和安全控制措施？这些文件是否包括如何联系云服务提供商（CSP）的数据隐私官(DPO)，以及患者或权威机构如何请求对个人的医疗健康数据采取行动？云服务提供商(CSP)是否有进行私隐影响评估?他们是否愿意分享云服务提供商(CSP)是否对在欧盟或欧盟数据主体上存储、处理或传输的数据进行了数据保护影响评估??云服务提供商(CSP)是否监控和审计隐私控制和内部隐私政策，以确保其有效的实施?云服务提供商(CSP)设计信息系统是否通过自动实现隐私控制来支持隐私?云服务提供商(CSP)是否对其控制下的每个记录系统中所保存的信息进行了准确的披露，包括a)每次披露纪录的日期、性质及目的?b)被披露的个人或组织的姓名和地址?云服务提供商(CSP)是否通过现有的安全控制来记录其流程，以确保受保护的隐私健康信息（PHI）的完整性？云服务提供商(CSP)是否确认实现合法授权收集目的所需的最小必要原则PHI？(CSP)维护和共享受保护的健康信息的方式？云服务提供商(CSP)是否有接收和响应来自个人关于组织隐私实践的法律请求、投诉、关注或问题的流程?对检查隐私和医疗健康信息管理的审计，是否仅限于特定人员/角色，或受已声明的法规/合同的约束？云服务提供商(CSP)是否就其影响隐私的活动向公众和个人发出有效通知，包括收集、使用、共享、保护、维护和处置PHI？云服务提供商(CSP)是否对外共享受保护的健康信息(PHI)?(CSP)是否具有聚合和关联存储/处理在其他地方的医疗信息的能力?这些问题将确保云服务提供商（CSP）拥有一套结构化的隐私控制系统，有助于遵守所有适用的法律。此外，对云服务提供商（CSP）的隐私控制措施与安全控制措施一起查看，证明了隐私与安全之间的关系。结论虽然这篇文章的重点是关于《健康保险流通与责任法案（HIPAA）（GDPR）（HDO）还须关注除此之外的法律（Ashkenazi,2020）加0年1（PA（PA》进行了修订，新增的额外的保护条款将于2023年1月1日生效。受其影响的各医疗健康服务组织（HDO）将需要重新审查以确保遵守这些新修订内容。此外，各医疗健康服务组织（HDO）还需重新审查其数据所存储、处理或传输的所有司法管辖区域的法律法规。参考Ashkenazi,Asaf,2020.NYShieldActSetsinMotionSweepingPrivacyRegulations,InformationSystemsSecurityAssociationJournal,Vol.18No7Retrievedfrom\hBambauer,DerekE.,2013.PrivacyVersusSecurity,TheJournalofCriminalLaw&CriminologyVol.103,No.3Cavoukian,Ann,Shapiro,Stuart,andCronk,JasonR.,2014.PrivacyEngineering:ProactivelyEmbeddingPrivacy,byDesign,InformationandPrivacyCommissioner,Ontario,CanadaRetrievedfrom\hhttps://www.ipc.on.ca/wp-content/uploads/resources/pbd-priv-engineering.pdfDepartmentofHealth&HumanServices,2020.OCRAnnouncesNotificationofEnforcementDiscretionforTelehealthRemoteCommunicationsDuringtheCOVID-19NationwidePublicHealthEmergency,Retrievedfromhttps://\h/about/news/2020/03/17/ocr-announces-notificationof-enforcement-discretion-for-telehealth-remote-communications-during-the-covid-19.htmlDepartmentofHealthandHumanServices,2013.SummaryoftheHIPAAPrivacyRule,Retrievedfrom\h/hipaa/for-professionals/privacy/laws-regulations/index.html.Fennessy,Caitlin,2019.Privacyengineering:Thewhat,whyandhow,TheInternationalAssociationofPrivacyProfessionals,Retrievedfrom/news/a/privacy-engineering-the-what-why-and-how/NationalInstituteofStandardsandTechnology,2020.NISTPrivacyFramework:AToolforImprovingPrivacyThroughEnterpriseRiskManagement,NationalInstituteofStandardsandTechnology,Gaithersburg,MDRetrievedfrom\h/privacy-framework/privacy-frameworkNationalInstituteofStandardsandTechnology,2017.NISTIR8062AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems,NationalInstituteofStandardsandTechnology,Gaithersburg,MDRetrievedfrom\h/10.6028/NIST.IR.8062NationalInstituteofStandardsandTechnology,2020.SecurityandPrivacyControlsforFederalInformationSystemsandOrganizations,Gaithersburg,MD.Retrievedfrom/10.6028/NIST.SP.800-53r5UnitedKingdomInformationCommissioner’sOffice,2018.DataProtectionImpactAssessmentTemplate,Retrievedfrom.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/Wuyts,Kim,Scandariato,RiccardoandJoosen,Wouter,2014.LIND(D)UNPrivacyThreatTreeCatalog,Retrievedfromhttps://\h/privacy-framework/linddun-privacy-threat-modeling-framework附录A - 隐私影响评估样本格式签署日期：系统所有者：谁对系统负责？名称：系统名称是什么？PIA唯一标识符：HDO的系统唯一FQDN该PIA的主题是以下哪一项：主要应用、次要应用、一般支持系统，确定系统的企业性能生命周期阶段：该系统是否包括可供公众使用的网站或在线应用程序？是/否确定操作员：生产线（例如：财务、人力资源、供应链）这是新系统还是现有系统？新的/现有的系统是否具有安全授权（SA）？是/否 按照以下两点明确更新此PIA的原因：描述系的用途；描述系统将要创建、存储、使用、共享或归档的信息类型。提供系统概述，并描述系统将要创建、存储、使用、共享或归档的信息。系统是否收集、维护、使用或共享PHI/PII？是/否指出系统将创建、存储、使用、共享或存档的PHI/PII类型，例如：社会保险号、出生日期、姓名、邮寄地址、电话号码、医疗记录、就业状况、纳税人IDPHI/PII/供应商/承包商系统中个人PHI/PII数量是多少？PHI/PII的主要用途是什么？描述使用PHI/PII的其他用途。确定系统和程序法律机构所允许的最大信息使用和披露的权利。系统上的记录是否可以通过一个或多个PHI/PII数据元素检索？是/否如果是，列出所有使用PHI/PII数据的系统确定系统中PHI/PII的来源。PII是否可以与其他组织共享？是/否确定可共享或披露PII的对象并阐明目的。描述授权信息共享或披露的协议。描述授权披露的会计程序。描述通知个人将收集个人信息的过程。如果没有事先通知，请解释原因。个人提交PHI/PII信息是自愿的还是强制性的？描述个人选择不想被收集和使用他们PHI/PII信息的原因。如果信息收集是强制性的，请说明原因。当系统发生重大变化时，通知系统中存在PHI/PII的个人并获得其同意的流程是什么？描述当个人认为其PHI/PII的获取、使用或披露不当，或PHI/PII不准确时，解决个人问题的流程。描述对系统中包含的PHI/PII进行定期审查的流程，以确保数据的完整性、可用性、准确性和相关性。确定谁可以访问系统中的PHI/PII，以及他们需要访问的原因。用户：描述确定系统用户（管理员、开发人员、承包商等）可以访问PHI/PII的流程。描述允许访问PHI/PII的人员仅允许访问执行其权限范围内最小权限的方法。（/或项目经理针对性的提供培训，使他们意识到保护收集信息的责任。描述用户接受的系统性培训（超过一般安全和隐私意识培训）。合同是否包括收购条例和其他确保遵守隐私规定和惯例的适当条款？是/否描述与PHI/PII留存和销毁相关的流程和指南。简要但需要具体描述如何通过管理、技术和物理控制手段在系统中保护PHI/PII。附录B –数据保护影响评估(DPIA)模板示例该模板是记录DPIADPIADPIA指南一同阅读，也可以同欧洲DPIA指南所规定的可接受DPIA标准一起阅读。提交数据控制人员详细信息数据控制人员姓名数据隐私专员议题/头衔数据控制人员联系人姓名/数据隐私专员姓名(酌情删除)第1步：确定DPIA的需求大致解释项目的目的和涉及到的