(2021年9月1日,杭州)當前,全社會數字化轉型持續推進,未來各行各業產生的海量數據將成為數字化時代的核心資源,在此趨勢下,對數據安全的各項監管措施也勢在必行。9月1日,我國首部針對數據安全的專項法案 —《中華人民共和國數據安全法》正式開始實施,對行業數據安全管理、個人數據隱私保護等方面提出了明確的要求和規定,成為我國數據安全治理體系的重要基石,為我國建立健全數據安全治理體系指明了發展方向。
作為關系國計民生的重要領域,醫療健康領域的數據安全保障尤其具有緊迫性和嚴峻性,因為此類數據關系到千千萬萬患者的隱私和健康安全。醫療行業應當依法提升數據安全意識、建立健全數據安全管理制度,依法對數據的采集、傳輸、存儲、處理、交換等進行保護。那么,醫療機構、醫療信息化系統供應商以及醫療從業人員可以采取或遵從哪些措施和機制,助力加強醫療數據的安全性?如何讓醫療數據安全做到“固若金湯”?
TPP智凰科技作為數據安全方面的專家,借由數據安全法實施之時,我們特別邀請專訪到了TPP亞太區總裁葉惠琦博士,為我們介紹和分享TPP在數據安全方面的獨特見解:“TPP與數據安全專家、學者定期交流,與政府部門保持密切合作,討論研究最前沿的數據安全標準,定期進行滲透測試,確保系統100%安全,讓醫療機構免除后顧之憂。”
TPP亞太區總裁葉惠琦博士
TPP助力機構完善管理機制與人員規范,打造數據安全“第一道防線”
“堡壘往往最先從內部攻破。”此前,在醫療數據管理缺乏規范時,個別醫療機構內部的工作人員可能會做出威脅到數據安全的行為。因此,醫療機構首先應充分發揮管理機制的作用和人員的能動性,從內部降低數據泄露和不當使用的風險。在這方面,醫療機構需要采取強有力的保密措施,并保證員工都有經過嚴格的數據安全訓練,具備高度的數據安全意識,從而樹起數據安全的“第一道防線”。
具體而言,醫療機構應當在以下層面提出明確的管理要求:遵循“按需知密”原則,只讓最有需要的人訪問數據,減少有權訪問數據的人數;確保有相應的管控措施落地,來限制數據訪問,避免意外數據泄露;患者個人身份信息或者機密信息需要得到妥善安全保存;在披露患者個人身份信息或機密信息時,必須僅限于需要的目的;機密信息的接收人需要悉知信息保密的重要性;如果需要向外傳輸信息,那么需要提供向外傳輸信息的理由,并且妥善存檔;如果有數據泄露方面的顧慮,要立刻與上級領導或有關部門進行討論和評估等等。
如果工作人員誤將患者信息輸入錯誤,TPP的臨床系統SystmOne中的標錯留存功能在更正錯誤的同時留存原始記錄,確保工作人員的操作有跡可循。除此之外,SystmOne中的全方位操作記錄保留,誰在什么時間進行了什么操作,例如拷貝資料、發送消息等等,都可以100%記錄在系統中,隨時可查,助力醫療機構防止信息外泄。
全力以赴,TPP在軟件、網絡及系統為數據安全提供技術保障
近年來,隨著國內醫療系統信息化轉型的有效推進,醫療數據的采集、保存和使用均實現了數字化,在大大提升了效率的同時也為網絡攻擊、軟件漏洞攻擊等黑客行為提供了“可乘之機”。TPP高度重視信息安全技術的持續更新與完善。技術團隊會持續檢測可能出現的新威脅,確保不會因任何潛在問題影響數據安全;工作人員還會定期進行滲透測試,確保應用程序和基礎架構安全。在硬件上,TPP還擁有完善的防災備份服務器,保障極端情況下數據不丟失。由內到外,全方位保障數據安全。
SystmOne系統數據加密傳輸設置
在技術層面上,TPP從軟件安全、網絡和系統安全等層面采取完善的設計,并在系統實施、維護的過程中積極防范安全風險;在軟件安全方面,每個項目開始之前,都需要認真評估安全并且高度重視數據安全,而安全架構設計的決策需要汲取多方精華、建議,需要依據權威的安全策略和模式。可以說,只有當軟件設計是安全的,數據方才可確保安全無虞;在確保網絡和系統安全方面,應將重點放在如何防止網絡安全漏洞,定期針對軟件、網絡和系統進行滲透測試,來及時發現系統中的安全風險。
“我們一直以來都將保障臨床數據安全視為首要任務,并在標準認證、產品及系統設計、安全技術更新與升級、網絡攻防等方面采取“多管齊下”的措施,為各類醫療機構和患者的醫療數據筑起安全高墻。”葉惠琦博士補充道。
TPP不僅符合ISO 27001、ISO 20000、ISO 22301、網絡基礎設施增強認證、NHS標準DCB0129等一系列標準,還提供了高于標準要求的NHS數據安全和保護措施。在產品的設計上,SystmOne系統中有完善的操作記錄保留,可以查看到操作時間、操作人等信息,確保系統可以追根溯源;針對客戶端APP愛閱歷,則設有限時登出的獨特設計,防止用戶信息的意外泄露。
愛閱歷APP用戶隱私安全保護設置
TPP助力隱私保護及醫療數據創新應用“兩全其美”
對于醫療數據而言,一方面需要堅定不移地保障數據安全,尤其是患者的隱私等信息;另一方面,人們也需要以適當的方式,充分挖掘醫療數據中的智慧,進而讓全社會共享醫學研究和創新的果實。如何讓醫療數據既能夠被適當用于醫學研究,又能夠確保不暴露患者隱私,做到兩全其美?
在這方面,在研究人員接觸數據之前,重中之重就是要確保醫療數據脫敏,數據脫敏廣泛應用在保護患者隱私等方面。數據脫敏是保護患者隱私的一個非常重要的流程。在使用或共享患者的數據之前,隱去患者的姓名、地址以及出生日期,但僅僅有數據脫敏這一項措施仍是遠遠不夠的。
在TPP,研究人員都非常謹慎地處理脫敏數據,利用所有技術手段來避免和監測數據濫用情況。出于安全原因考量,全部研究人員都需要通過安全VPN以及基于時間的雙因素認證來訪問數據研究環境。同時TPP也會完整記錄數據集查詢記錄、記錄查詢數據的用戶。此外,還嚴格限制用戶的訪問權限,禁止一切數據導出。這樣的處理方法可以保證持續的數據安全情況監控,也不會對研究人員的研究工作造成中斷或影響,還可以保證數據的高度安全。
基于這一原則,TPP在2020年與牛津大學、倫敦熱帶與衛生醫學院共同建立了OpenSafely數據庫,編寫了創新的三級分層系統,不僅隱去了患者的個人隱私,也篩選出了用于科學研究的有效而關鍵的信息。平臺使用了2400萬患者的匿名健康數據,所有數據分析都在TPP的數據中心進行,全程沒有對電子病歷進行任何數據轉移和復制,從根本上杜絕了由于數據的復制和轉移帶來的不安全隱患。
未來,伴隨著軟件、網絡技術及基礎設施的不斷更新,對醫療數據安全的“攻防”勢必還將繼續。但我們相信,在政策法規、管理機制、數據安全技術創新等積極因素不斷完善加強的趨勢下,扼守醫療數據安全的“高墻”必將越來越穩固,讓廣大醫療工作者和患者越來越安心。
——————————
關于TPP
TPP智凰科技成立于 1997 年,是全球領先的智慧醫療專家,以 “一人一生一份電子病歷”的理念,集業務、服務、數據的基礎平臺為一體,提供整合型的醫療信息化解決方案,致力于提高醫護人員效率,降低研發維護成本,驅動醫療機構創新,賦能個人健康管理。TPP的信息化解決方案具有高安全性、高可配置性和標準化的特征,系統收集的數據形成全球最大的醫療數據庫,助力全球高校、醫療機構與政府部門進行醫療學術研究。
TPP研發人員占公司總人數的 80%,足跡遍布全球,在英國、中國、中東地區、東南亞等地均設有分部,是全球最具成長力的數字健康獨角獸之一。超過 8000 家醫療機構使用TPP的臨床醫療系統SystmOne,托管英國超過 70%人口的完整健康檔案。
TPP中國總部位于杭州,在全國各地均設有辦事處,根據用戶實際需求,為用戶提供量身定制的醫療信息化解決方案。
