根據美國國會審計處(Government Accountability Office ,GAO)的最新報告,GAO建議美國衛生與公眾服務部(Health and Human Services,HHS)建立一個回饋機制,以提高其醫療保健資料洩露報告流程的有效性。該報告研究了自2015年以來向HHS舉發的違規行為和受影響個人的數量,審查了HHS評估時的實體安全措施的審查過程,並提出了建議,以幫助HHS改善違規報告的溝通。
民權辦公室(Office of Civil Rights,OCR)負責執行《健康保險可攜性和問責法案》(Health Insurance Portability and Accountability Act)的隱私、安全、違規通知規則,該規則為保障了受保護健康資訊(protected health information,PHI)的國家標準,並要求受保實體及其業務夥伴將不安全的PHI違規行為通知HHS。
除了建議回饋機制外,GAO的報告還確定,自2015年以來,涉及不安全的PHI的違規數量持續增加。 2021年有714起的健康資訊違規行為,幾乎是2015年違規行為的三倍。
OCR負責健康資訊和隱私的副主任表示,越來越多的資訊技術相關犯罪,如:勒索軟體攻擊和商業電子郵件外洩,可以解釋違規行為增加的原因。此外,和商業夥伴之間的資訊交換不遵守安全規則要求可能是導致違規數量增加的另一個因素。
雖然OCR制訂違規通知流程,但它並沒有為法案適用機構提供一個對違約報告流程提供回饋的方法。根據GAO對適用機構和商業夥伴進行的一項調查,80%的受訪者表示,他們在違規報告過程中遇到了與通訊相關的挑戰。 一些受訪者建議,OCR可以提供「提交匿名問題的平台」,或建立一個機制來「直接徵求醫療保健部門成員的回饋」。
相關連結:
Menghan Xiao(2022). HHS agrees to improve feedback process for healthcare data breach reporting. SC media.
檢自:
https://www.scmagazine.com/analysis/privacy/hhs-agrees-to-improve-feedback-process-for-healthcare-data-breach-reporting (Jul. 18, 2022)
