Naruszenie danych medycznych

Dane medyczne, w tym informacje o tożsamości pacjentów, stanie zdrowia, diagnostyce i leczeniu chorób oraz informacje biogenetyczne, nie tylko wiążą się z prywatnością pacjentów, ale mają również szczególną wrażliwość i ważną wartość, która może powodować cierpienie fizyczne i psychiczne oraz utratę mienia pacjentów i nawet negatywnie wpłyną na stabilność społeczną i bezpieczeństwo narodowe po ich ujawnieniu. Jednak rozwój i zastosowanie medycznej sztucznej inteligencji musi opierać się na dużej ilości danych medycznych dla algorytmu szkolenia, a im większa i bardziej zróżnicowana ilość danych, tym dokładniejsze będą wyniki jego analizy i predykcji. Jednak zastosowanie technologii big data, takich jak gromadzenie, analiza i przetwarzanie danych, przechowywanie w chmurze i udostępnianie informacji, zwiększyło ryzyko wycieku danych. W Stanach Zjednoczonych wskaźnik takich naruszeń wzrósł z biegiem czasu i do końca 2017 r. naruszono 176 milionów rekordów. Doszło do 245 naruszeń danych obejmujących 10 000 lub więcej rekordów, 68 naruszeń danych dotyczących opieki zdrowotnej 100 000 lub więcej osób, 25 naruszeń, które dotknęły ponad pół miliona osób, oraz 10 naruszeń danych osobowych i chronionych informacji zdrowotnych ponad 1 miliona osób.

Czarny rynek danych dotyczących zdrowia

W lutym 2015 r. raport NPR twierdził, że zorganizowane sieci przestępcze mają sposoby na sprzedaż danych zdrowotnych na czarnym rynku .

W 2015 roku pracownik Beazley Group oszacował, że dokumentację medyczną można sprzedać na czarnym rynku za 40-50 USD .

Główną przyczyną naruszeń danych medycznych jest przestępczość.

Jak dane są tracone

Kradzież, utrata danych , hakowanie i nieautoryzowany dostęp do konta to sposoby naruszeń danych medycznych. Wśród zgłoszonych naruszeń informacji medycznych w Stanach Zjednoczonych sieciowe systemy informacyjne stanowiły największą liczbę naruszeń dokumentacji. W amerykańskim systemie opieki zdrowotnej dochodzi do wielu naruszeń danych, między partnerami biznesowymi dostawców usług medycznych, którzy stale uzyskują dostęp do danych pacjentów.

Lista naruszeń danych

• W maju 2021 r. Health Service Executive w Republice Irlandii padł ofiarą cyberataku z udziałem oprogramowania ransomware w ramach cyberataku Health Service Executive , a dane dotyczące przyjęć i wyniki testów były obecne w próbce danych przejrzanych przez Financial Times .
• W październiku 2018 r. Centers for Medicare and Medicaid Services w USA poinformowało, że około 75 000 indywidualnych rekordów zostało dotkniętych naruszeniem danych, które miało miejsce za pośrednictwem portalu agentów i brokerów ACA .
• W 2018 roku Social Indicators Research opublikowało dowody naukowe dotyczące 173 398 820 (ponad 173 milionów) osób dotkniętych chorobą w USA od października 2008 r. (kiedy zbierano dane) do września 2017 r. (kiedy miała miejsce analiza statystyczna).
• W 2015 roku firma Anthem Inc. utraciła dane 37 milionów osób w wyniku naruszenia danych medycznych Anthem
• W 2014 roku dane 4,5 miliona osób korzystających z kompletnych systemów opieki zdrowotnej zostały skradzione
• W latach 2013-14 1 milion osób korzystających z Departamentu Zdrowia Publicznego i Opieki Społecznej stanu Montana zostało skradzionych danych
• W 2013 roku 4 milionom osób korzystających z Advocate Health and Hospitals Corporation skradziono dane
• W 2011 r. dane 4,9 mln użytkowników usług Tricare zostały skradzione z powodu błędu pracownika firmy Science Applications International Corporation
• dane 1,9 miliona osób korzystających z Health Net zostały skradzione
• W 2011 roku 1 milion osób korzystających z Fundacji Nemours padło ofiarą kradzieży danych
• W 2010 roku dane 6800 osób korzystających ze szpitali New York-Presbyterian Hospital i Columbia University Medical Center zostały naruszone. W odpowiedzi organizacje te zgodziły się zapłacić Departamentowi Zdrowia i Opieki Społecznej Stanów Zjednoczonych grzywnę w wysokości 4,8 miliona dolarów.
• W 2009 roku 1 milion osób korzystających z BlueCross BlueShield w Tennessee zostało skradzionych danych

Rozporządzenie

W Stanach Zjednoczonych ustawa Health Insurance Portability and Accountability Act oraz Health Information Technology for Economic and Clinical Health Act nakładają na firmy obowiązek zgłaszania naruszeń danych osobom, których one dotyczą, oraz rządowi federalnemu .

• Ustawa o ochronie prywatności informacji zdrowotnych z 1996 r. o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA). - 45 CFR, części 160 i 164, Standardy dotyczące prywatności informacji zdrowotnych umożliwiających identyfikację osób oraz standardy bezpieczeństwa dotyczące ochrony elektronicznych chronionych informacji zdrowotnych. HIPAA zawiera przepisy mające na celu oszczędzanie pieniędzy firm opieki zdrowotnej poprzez zachęcanie do transakcji elektronicznych, a także przepisy mające na celu ochronę bezpieczeństwa i poufności informacji o pacjencie. Zasada prywatności weszła w życie 14 kwietnia 2001 r., a większość objętych nią podmiotów (plany opieki zdrowotnej, izby rozliczeniowe opieki zdrowotnej i dostawcy usług opieki zdrowotnej, którzy przeprowadzają niektóre transakcje finansowe i administracyjne drogą elektroniczną) musiała do kwietnia 2003 r. zastosować się do niej. To postanowienie dotyczące bezpieczeństwa weszło w życie 21 kwietnia 2003 r. The Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych ( HIPAA ) to podstawowy zestaw przepisów federalnych dotyczących informacji medycznych. Robi trzy rzeczy: iii Ustanawia strukturę ujawniania osobistych informacji zdrowotnych i ustanawia prawa jednostek w odniesieniu do informacji zdrowotnych; ii. Określić standardy bezpieczeństwa dotyczące przechowywania i przesyłania elektronicznych informacji o pacjencie; iii. Potrzebują wspólnego formatu i struktury danych do elektronicznej wymiany informacji zdrowotnych.
• Przepisy stanu Kalifornia Przepisy stanu Kalifornia dotyczące prywatności medycznej, przede wszystkim ustawa o poufności informacji medycznych (CMIA), sekcje Kodeksu cywilnego dotyczące naruszenia danych i sekcje Kodeksu BHP zapewniają zabezpieczenia podobne do HIPAA, chociaż terminologia jest inna. HIPAA ustanawia federalny „minimalny standard”, który ma zastosowanie w przypadku luk w prawie Kalifornii, a HIPAA określa również, że surowsze przepisy stanowe będą miały pierwszeństwo przed HIPAA. Kalifornijskie przepisy dotyczące ochrony prywatności w opiece zdrowotnej mają zastosowanie do usługodawców dostarczających osobistą dokumentację medyczną (PHR), podczas gdy ustawa HIPAA ma zastosowanie tylko wtedy, gdy dostawca zapewniający PHR jest partnerem biznesowym podmiotu objętego ubezpieczeniem. Prawo federalne nie daje osobom fizycznym prawa do złożenia pozwu w przypadku naruszenia danych (tylko Prokurator Generalny może złożyć pozew), ale prawo stanu Kalifornia tak. Oznacza to, że prawo stanu Kalifornia ustanawia wyższy standard prywatności medycznej i że osoby w Kalifornia cieszy się silniejszą ochroną prawną i większą liczbą sposobów pociągania do odpowiedzialności podmiotów, które naruszają ich prywatność medyczną.
• W Wielkiej Brytanii ramy prawne regulujące sposób przechowywania i przetwarzania danych pacjentów to ustawa o ochronie danych z 2018 r. (DPA), która obejmuje unijne ogólne rozporządzenie o ochronie danych (RODO) oraz powszechny obowiązek zachowania poufności (CLDC). . Przepisy dotyczące ochrony danych wymagają, aby gromadzenie i przetwarzanie danych osobowych odbywało się w sposób rzetelny, zgodny z prawem i przejrzysty. Oznacza to, że gromadzenie i przetwarzanie danych zgodnie z przepisami o ochronie danych musi zawsze mieć ważną podstawę prawną i musi również spełniać wymogi CLDC.
• W Chinach artykuł 18 „National Health Care Big Data Standards, Security and Services Management Measures (for Trial Implementation)” (National Health Planning and Development (2018) nr 23) ogłoszony przez National Health Care Commission w 2018 r. stanowi , „Odpowiedzialna jednostka przyjmuje środki, takie jak klasyfikacja danych, tworzenie kopii zapasowych ważnych danych i uwierzytelnianie za pomocą szyfrowania, aby zagwarantować bezpieczeństwo dużych zbiorów danych w opiece zdrowotnej”. Nie obejmuje to jednak zakresu i definicji ważnych danych. Chociaż „Information Security Technology-Healthcare Data Security Guide” („Przewodnik”) wydany przez Krajowy Komitet Normalizacyjny również proponuje, aby ważne dane były oceniane i zatwierdzane zgodnie z przepisami, nie ma również definicji konotacji i definicji ważnych danych.

Zobacz też

• Bezpieczeństwo komputerowe § Systemy medyczne
• Prywatność medyczna
• Utrata danych

Dalsza lektura

• „Hakerzy ostrzegają NHS przed bezpieczeństwem” . wiadomości BBC . Zjednoczone Królestwo. 9 czerwca 2011 r.
• Thurton, David (5 lutego 2016). „Szpital Inuvik potwierdza potencjalne naruszenie danych przez pracowników” . Wiadomości CBC: Północ . Yellowknife, NWT

Linki zewnętrzne

• Biuro Praw Obywatelskich. „Naruszenia mające wpływ na 500 lub więcej osób” . Portal naruszeń . Amerykański Departament Zdrowia i Opieki Społecznej . Źródło 17 czerwca 2016 r .