当欧盟的《通用数据保护条例》(GDPR)于2018年5月25日生效(与2016年批准时一样)时,它吸引了来自世界各地各个行业的一系列回应。 许多组织已经接受了合规性挑战,并对他们的数据管理和安全策略进行了重大更改。 但是,有些人发现任务如此艰巨,以至于他们暂停了运营或完全关闭了业务。 可以肯定的是,后者不是医疗保健组织的选择。 GDPR为数据隐私设定了新的标准:它会影响任何处理欧盟公民数据的组织,无论在哪里收集,处理这些数据 ,或存储。 这给该法规带来了空前的范围,将其范围扩展到了欧盟以外的地区,并影响了全球各个行业的组织。 对于需要各种类型的个人数据的医疗保健行业来说,这是一个改进系统,政策和流程的机会,以使其对机构和患者信息的任何潜在威胁保持领先地位。
医疗保健行业:大量个人数据
GDPR概述了用于收集,处理和保护个人数据的严格新政策。 医疗机构在处理从财务记录和健康保险信息到患者测试结果和生物识别信息等全部数据时处于至关重要的位置。 这些数据类型中的某些比非医疗组织收集的典型信息更敏感:它们与个人具有独特的联系,并且大多数情况下是不可更改的。 例如,一个人可以创建一个新的电子邮件地址,但不能更改其病史或牙科记录,如果这些数据被盗,将成为严重的隐私问题。
除了为个人数据提供的一般保护外,GDPR还定义了三种需要特殊保护的“健康数据”:与健康有关的数据,遗传数据和生物识别数据。 这些被归类为敏感的个人数据,除非获得明确的同意或满足非常特定的条件,否则该法规通常禁止对这些数据进行任何形式的处理。 有一些例外。 为了评估就业的工作能力,管理卫生或社会护理系统,服务或公共利益,通常允许进行处理。
随着诸如私立和公立医院,医疗设备制造商以及健康保险提供商之类的医疗机构管理包括特殊类别在内的个人数据,其符合GDPR要求至关重要。 医疗保健组织需要投入时间和资金来改变其观点和方法,不仅是针对GDPR,还包括网络安全。 医疗保健行业面临着独特的挑战,但也存在有效的安全解决方案,从长远来看将使组织受益。
欧盟医疗保健领域以外的合规性 2016年,采用了“欧盟-隐私保护盾”为欧盟和之间的数据传输提供指南。 参与组织被认为具有“充分保护”权,可以保存或访问欧盟公民的数据。 但是,通过欧盟-隐私保护体系认证并不能保证GDPR的合规性。
欧盟以外的医疗保健组织应该已经遵守其本地隐私法,例如,针对组织的《医疗保险可移植性和责任法案》(HIPAA)。 但是,GDPR是一项具有开创性和深远意义的法规。 先前颁布的法律是关于规范其特定国家或地区内的组织的。 但是现在,数据可以通过超越物理边界的渠道快速传输,因此一个国家的公民可以将其个人数据处理或存储在远离大洲的服务器中。 GDPR已将其与其他技术进步一起考虑在内。
这意味着与欧盟公民有业务往来的世界各地的组织需要以不同的方式修改其数据管理政策。 即使组织不定期与欧盟公民开展业务,遵守GDPR也会使他们在数据管理和保护方面处于领先地位:许多国家和地区正在追赶欧盟并实施全面的政策或修改法规以与GDPR相匹配
尤其是医疗保健组织,即使它们不在欧盟,也将从其合规中受益。 多年来,医疗保健行业一直是网络分子的主要目标,攻击范围从企业电子邮件泄露(BEC)计划到数据泄露。 因此,遵守该法规对医疗保健组织在许多方面都是有利的:它们将避免违规罚款,更好地防止黑客入侵,对有价值的客户和企业数据有更好的保护,并且比其他不提供医疗服务的组织更具优势 客户端具有相同的安全级别。
医疗机构的数据管理挑战
以下是医疗保健行业中组织应关注的一些特定领域。 GDPR概述了数据主体的特定权利,例如,“被遗忘的权利”以及可访问性,可移植性等。 如果组织不属于处理个人和健康数据的其他合法基础,则组织还必须获得处理的明确同意。 创建组织以使对象可以行使所有这些权利是医疗保健组织的责任。 这需要一些时间和精力-从重组数据到安装新软件以及设置新的归档策略。 多年来,医疗机构一直受到网络分子的高度攻击,他们希望从他们存储的独特而有价值的数据中获利。 这些威胁行为者使用勒索软件,网络钓鱼,恶意垃圾邮件等不同方法将受害者作为目标。 可能会使个人遭受威胁的数据泄露。 全球各地的家庭和企业中都有许多暴露的设备,这些设备没有安全保护,容易受到黑客的攻击。 在医疗保健中,不安全的医疗物联网(IoT)设备包含机密的患者信息,测试结果和医学图像。 组织必须使用具有足够内置安全性的设备,或安装解决方案以保护存储在其中的数据的安全。 相连的医院必须注意供应链的妥协。 一些第三方供应商与医疗机构建立了独特的合作关系,并可以访问敏感数据和设备。 这有其风险。 供应链中的网络攻击可能来自不同的,有时甚至是非典型的媒介:固件攻击,移动应用程序入侵,门户网站入侵,第三方供应商违规甚至内部威胁。
解决方案和缓解措施 要遵守GDPR并保护患者和医护人员的敏感个人数据,医疗保健组织可以采取一些措施。 组织必须重新设置其数据管理框架,并采用新的策略来实现可访问性,归档,组织和保护。 应该有一个有效的系统来保证数据主体可以行使GDPR中概述的所有权利。 的公司可以依赖像HITRUSTCSF®这样的全面安全框架,该框架已经采用了最新版本的GDPR,此外还拥有国际标准(例如国际标准化组织(ISO)和支付卡行业数据安全标准( PCI DSS)以及相关的当地法规。 同时,公司还必须应对不断增长的供应链攻击风险。 风险评估至关重要-公司只能与符合GDPR且是数据保护可靠伙伴的组织合作。 除此之外,他们还应该对供应商进行风险评估,对有权访问数据库,医疗设备和设备的任何人进行背景调查,并确保实施有效的修补策略。 强烈建议由专业的笔测试公司对医院网络进行渗透测试。
[阅读:暴露的设备和供应链攻击:医疗保健网络中被忽视的风险] 有助于保护数据和医院网络安全的通用最佳做法包括:网络分段,防火墙,反恶意软件解决方案,入侵检测系统(BDS),检测和防止网络攻击的安全系统以及加密技术。 除医院网络外,医疗设备和第三方软件也需要充分保护:应在设计和制造阶段对设备进行评估; 应用程序和软件也应进行评估,并配备适当的安全解决方案。
通常,GDPR要求组织具有“最先进的”数据保护,因此在网络和设备上安装量身定制的安全解决方案将有助于合规性。 但是除了这是一项要求之外,改善数据保护和隐私对于任何组织都将是有益的。 医疗保健以及许多其他行业越来越依赖于数据和分析,以提供更好,更快的服务。 遵守数据保护法规是一项超越地理限制的责任,尤其是对于涉及个人的人身和情感安全的行业而言。
趋势科技拥有丰富的资源和专业知识,可以帮助仍处于GDPR合规性旅程的公司。 在我们的解决方案页面上找到有关必要的最新安全性的更多信息。 有关一般GDPR的更多信息,我们的资源中心提供了有关法规的更多信息。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢