(2021年9月1日,数据安全审查等基本制度。随着数字经济不断发展,杭州)当前,数据的价值与安全性之间的矛盾也不断产生。但在数字经济领域,全社会数字化转型持续推进,过去因为各种原因,未来各行各业产生的海量数据将成为数字化时代的核心资源,存在着数据安全监管的法律法规相对滞后的问题。上海市经济和信息化副张英指出,在此趋势下,《数据安全法》与《网络安全法》,对数据安全的各项监管措施也势在必行。9月1日,以及即将于11月1日起施行的《个人信息保护法》,我国首针对数据安全的专项法案 —《数据安全法》正式开始实施,共同构筑了网络空间治理的顶层法律制度,对行业数据安全管理、个人数据隐私保护等方面提出了明确的要求和规定,“随着这些制度落地,成为我国数据安全治理体系的重要基石,标志着数据不仅将是重要的商业资源和生产要素,为我国建立健全数据安全治理体系指明了发展方向。
作为关系国计民生的重要领域,也将是基础性的资源,医疗健康领域的数据安全保障尤其具有紧迫性和严峻性,因为此类数据关系到千千万万患者的隐私和健康安全。医疗行业应当依法提升数据安全意识、建立健全数据安全管理制度,依法对数据的采集、传输、存储、处理、交换等进行保护。那么,医疗机构、医疗信息化系统供应商以及医疗从业人员可以采取或遵从哪些措施和机制,助力加强医疗数据的安全性?如何让医疗数据安全做到“固若金汤”?
TPP智凰科技作为数据安全方面的专家,借由数据安全法实施之时,我们特别邀请专访到了TPP亚太区总裁叶惠琦博士,为我们介绍和分享TPP在数据安全方面的独特见解:“TPP与数据安全专家、学者定期交流,与门保持密切合作,讨论研究最前沿的数据安全标准,定期进行渗透测试,确保系统100%安全,让医疗机构免除后顾之忧。”
TPP亚太区总裁叶惠琦博士
TPP助力机构完善管理机制与人员规范,打造数据安全“第一道防线”
“堡垒往往最先从内攻破。”此前,在医疗数据管理缺乏规范时,个别医疗机构内的工作人员可能会做出威胁到数据安全的行为。因此,医疗机构首先应充分发挥管理机制的作用和人员的能动性,从内降低数据泄露和不当使用的风险。在这方面,医疗机构需要采取强有力的保密措施,并保证员工都有经过严格的数据安全训练,具备高度的数据安全意识,从而树起数据安全的“第一道防线”。
具体而言,医疗机构应当在以下层面提出明确的管理要求:遵循“按需知密”原则,只让最有需要的人访问数据,减少有权访问数据的人数;确保有相应的管控措施落地,来限制数据访问,避免意外数据泄露;患者个人身份信息或者机密信息需要得到妥善安全保存;在披露患者个人身份信息或机密信息时,必须仅限于需要的目的;机密信息的接收人需要悉知信息保密的重要性;如果需要向外传输信息,那么需要提供向外传输信息的理由,并且妥善存档;如果有数据泄露方面的顾虑,要立刻与上级领导或有关门进行讨论和评估等等。
如果工作人员误将患者信息输入错误,TPP的临床系统SystmOne中的标错留存功能在更正错误的同时留存原始记录,确保工作人员的操作有迹可循。除此之外,SystmOne中的全方位操作记录保留,谁在什么时间进行了什么操作,例如拷贝资料、发送消息等等,都可以100%记录在系统中,随时可查,助力医疗机构防止信息外泄。
全力以赴,TPP在软件、网络及系统为数据安全提供技术保障
近年来,随着国内医疗系统信息化转型的有效推进,医疗数据的采集、保存和使用均实现了数字化,在提升了效率的同时也为网络攻击、软件漏洞攻击等黑客行为提供了“可乘之机”。TPP高度重视信息安全技术的持续更新与完善。技术团队会持续检测可能出现的新威胁,确保不会因任何潜在问题影响数据安全;工作人员还会定期进行渗透测试,确保应用程序和基础架构安全。在硬件上,TPP还拥有完善的防灾备份服务器,保障极端情况下数据不丢失。由内到外,全方位保障数据安全。
SystmOne系统数据加密传输设置
在技术层面上,TPP从软件安全、网络和系统安全等层面采取完善的设计,并在系统实施、维护的过程中积极防范安全风险;在软件安全方面,每个项目开始之前,都需要认真评估安全并且高度重视数据安全,而安全架构设计的决策需要汲取多方精华、建议,需要依据权威的安全策略和模式。可以说,只有当软件设计是安全的,数据方才可确保安全无虞;在确保网络和系统安全方面,应将重点放在如何防止网络安全漏洞,定期针对软件、网络和系统进行渗透测试,来及时发现系统中的安全风险。
“我们一直以来都将保障临床数据安全视为首要任务,并在标准认证、产品及系统设计、安全技术更新与升级、网络攻防等方面采取“多管齐下”的措施,为各类医疗机构和患者的医疗数据筑起安全高墙。”叶惠琦博士补充道。
TPP不仅符合ISO 27001、ISO 20000、ISO 22301、网络基础设施增强认证、NHS标准DCB0129等一系列标准,还提供了高于标准要求的NHS数据安全和保护措施。在产品的设计上,SystmOne系统中有完善的操作记录保留,可以查看到操作时间、操作人等信息,确保系统可以追根溯源;针对客户端APP爱阅历,则设有限时登出的独特设计,防止用户信息的意外泄露。
爱阅历APP用户隐私安全保护设置
TPP助力隐私保护及医疗数据创新应用“两全其美”
对于医疗数据而言,一方面需要坚定不移地保障数据安全,尤其是患者的隐私等信息;另一方面,人们也需要以适当的方式,充分挖掘医疗数据中的智慧,进而让全社会共享医学研究和创新的果实。如何让医疗数据既能够被适当用于医学研究,又能够确保不暴露患者隐私,做到两全其美?
在这方面,在研究人员接触数据之前,重中之重就是要确保医疗数据脱敏,数据脱敏广泛应用在保护患者隐私等方面。数据脱敏是保护患者隐私的一个非常重要的流程。在使用或共享患者的数据之前,隐去患者的姓名、地址以及出生日期,但仅仅有数据脱敏这一项措施仍是远远不够的。
在TPP,研究人员都非常谨慎地处理脱敏数据,利用所有技术手段来避免和监测数据滥用情况。出于安全原因考量,全研究人员都需要通过安全VPN以及基于时间的双因素认证来访问数据研究环境。同时TPP也会完整记录数据集查询记录、记录查询数据的用户。此外,还严格限制用户的访问权限,禁止一切数据导出。这样的处理方法可以保证持续的数据安全情况监控,也不会对研究人员的研究工作造成中断或影响,还可以保证数据的高度安全。
基于这一原则,TPP在2020年与牛津学、伦敦热带与卫生医学院共同建立了OpenSafely数据库,编写了创新的三级分层系统,不仅隐去了患者的个人隐私,也筛选出了用于科学研究的有效而关键的信息。平台使用了2400万患者的匿名健康数据,所有数据分析都在TPP的数据中心进行,全程没有对电子病历进行任何数据转移和复制,从根本上杜绝了由于数据的复制和转移带来的不安全隐患。
未来,伴随着软件、网络技术及基础设施的不断更新,对医疗数据安全的“攻防”势必还将继续。但我们相信,在政策法规、管理机制、数据安全技术创新等积极因素不断完善加强的趋势下,扼守医疗数据安全的“高墙”必将越来越稳固,让广医疗工作者和患者越来越安心。
——————————
关于TPP
TPP智凰科技于 1997 年,是全球领先的智慧医疗专家,以 “一人一生一份电子病历”的理念,集业务、服务、数据的基础平台为一体,提供整合型的医疗信息化解决方案,致力于提高医护人员效率,降低研发维护成本,驱动医疗机构创新,赋能个人健康管理。TPP的信息化解决方案具有高安全性、高可配置性和标准化的特征,系统收集的数据形成全球最的医疗数据库,助力全球高校、医疗机构与门进行医疗学术研究。
TPP研发人员占公司总人数的 80%,足迹遍布全球,在英国、、中东地区、东南亚等地均设有分,是全球最具成长力的数字健康独角兽之一。超过 8000 家医疗机构使用TPP的临床医疗系统SystmOne,托管英国超过 70%人口的完整健康档案。
TPP总位于杭州,在全国各地均设有办事处,根据用户实际需求,为用户提供量身定制的医疗信息化解决方案。
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!