Утечка медицинских данных

Утечка данных медицинской информации

Медицинские данные, включая идентификационную информацию пациентов, состояние здоровья, диагностику и лечение заболеваний, а также биогенетическую информацию, не только затрагивают конфиденциальность пациентов, но и имеют особую чувствительность и важную ценность, которая может принести пациентам физические и психические страдания и потерю имущества и даже негативно повлиять на социальную стабильность и национальную безопасность в случае утечки. Однако разработка и применение медицинского ИИ должны опираться на большой объем медицинских данных для обучения алгоритмов , и чем больше и разнообразнее объем данных, тем точнее будут результаты их анализа и прогнозирования. Однако применение технологий больших данных, таких как сбор, анализ и обработка данных, облачное хранение и обмен информацией, увеличило риск утечки данных. В Соединенных Штатах частота таких утечек со временем возросла, и к концу 2017 года было украдено 176 миллионов записей. ^{[1] [2]} Было зафиксировано 245 утечек данных, содержащих 10 000 или более записей, 68 утечек медицинских данных 100 000 или более человек, 25 утечек, затронувших более полумиллиона человек, и 10 утечек личной и защищенной медицинской информации более 1 миллиона человек.

Черный рынок медицинских данных

В феврале 2015 года в отчете NPR утверждалось, что организованные преступные сети имеют способы продажи медицинских данных на черном рынке . ^[1]

В 2015 году сотрудник Beazley подсчитал, что медицинские записи можно продать на черном рынке за 40–50 долларов США . ^[2]

Преступность является основной причиной утечки медицинских данных. ^[3]

Как теряются данные

Кража, потеря данных , взлом и несанкционированный доступ к учетным записям — вот способы, которыми происходят утечки медицинских данных. ^[4] Среди зарегистрированных утечек медицинской информации в Соединенных Штатах на сетевые информационные системы приходится наибольшее количество утечек записей. ^[5] Большое количество утечек данных происходит в системе здравоохранения США среди деловых партнеров поставщиков медицинских услуг, которые постоянно получают доступ к данным пациентов. ^[6]

Список утечек данных

• В мае 2024 года MediSecure подверглась кибератаке с использованием вируса-вымогателя в Австралии. ^{[7] [8]}
• В мае 2021 года Исполнительный орган здравоохранения в Республике Ирландия стал жертвой кибератаки с использованием вируса-вымогателя в ходе кибератаки на Исполнительный орган здравоохранения , при этом записи о приеме и результаты тестов присутствовали в выборке данных, рассмотренных Financial Times . ^[9]
• В октябре 2018 года Центры услуг Medicare и Medicaid в США сообщили, что около 75 000 индивидуальных записей были затронуты утечкой данных, которая произошла через портал агентов и брокеров ACA . ^[10]
• В 2018 году организация Social Indicators Research опубликовала научные данные о 173 398 820 (более 173 миллионов) человек, пострадавших в США с октября 2008 года (когда были собраны данные) по сентябрь 2017 года (когда был проведен статистический анализ). ^[11]
• В 2015 году компания Anthem Inc. потеряла данные 37 миллионов человек в результате утечки медицинских данных Anthem.
• В 2014 году были украдены данные 4,5 миллионов человек, использующих Complete Health Systems ^{[ необходима ссылка ]}
• В 2013–2014 годах у 1 миллиона человек, пользовавшихся услугами Департамента общественного здравоохранения и социальных служб Монтаны, были украдены данные ^{[ необходима ссылка ]}
• В 2013 году у 4 миллионов человек, пользующихся услугами Advocate Health and Hospitals Corporation, были украдены данные ^{[ необходима ссылка ]}
• В 2011 году данные 4,9 миллионов пользователей услуг Tricare были украдены из-за ошибки сотрудника Science Applications International Corporation ^{[ необходима ссылка ]}
• В 2011 году у 1,9 миллиона пользователей Health Net были украдены данные ^{[ требуется ссылка ]}
• В 2011 году у 1 миллиона человек, пользующихся услугами Nemours Foundation, были украдены данные ^{[ требуется ссылка ]}
• В 2010 году данные 6800 человек, пользующихся услугами New York-Presbyterian Hospital и Columbia University Medical Center, были украдены. В ответ эти организации согласились выплатить Министерству здравоохранения и социальных служб США штраф в размере 4,8 млн долларов США. ^[12]
• В 2009 году у 1 миллиона человек, пользующихся услугами BlueCross BlueShield в Теннесси, были украдены данные ^{[ требуется ссылка ]}

Регулирование

В Соединенных Штатах Закон о переносимости и подотчетности медицинского страхования и Закон о медицинских информационных технологиях для экономического и клинического здравоохранения требуют от компаний сообщать об утечках данных пострадавшим лицам и федеральному правительству . ^[13]

• Конфиденциальность медицинской информации Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA). - 45 CFR Части 160 и 164, Стандарты конфиденциальности индивидуально идентифицируемой медицинской информации и Стандарты безопасности для защиты защищенной электронной медицинской информации. HIPAA включает положения, разработанные для экономии средств предприятий здравоохранения путем поощрения электронных транзакций, а также правила для защиты безопасности и конфиденциальности информации о пациентах. Правило конфиденциальности вступило в силу 14 апреля 2001 года, и большинство охватываемых субъектов (медицинские планы, расчетные палаты здравоохранения и поставщики медицинских услуг, которые проводят определенные финансовые и административные транзакции в электронном виде) должны были соблюдать его до апреля 2003 года. Это положение о безопасности вступило в силу 21 апреля 2003 года. Закон о переносимости и подотчетности медицинского страхования ( HIPAA ) является базовым набором федеральных правил, регулирующих медицинскую информацию. Он выполняет три функции: iiiустанавливает структуру раскрытия личной медицинской информации и устанавливает права лиц в отношении медицинской информации; ii.Определить стандарты безопасности для хранения и передачи электронной информации о пациентах; iii.Необходим общий формат и структура данных для электронного обмена медицинской информацией.
• Специальные законы Калифорнии Законы Калифорнии о конфиденциальности медицинской информации, в первую очередь Закон о конфиденциальности медицинской информации (CMIA), разделы Гражданского кодекса об утечке данных и разделы Кодекса охраны здоровья и безопасности, предоставляют защиту, подобную HIPAA, хотя терминология отличается. HIPAA устанавливает федеральный «минимальный стандарт», который применяется в случаях, когда в законодательстве Калифорнии есть пробелы, и HIPAA также указывает, что более строгие законы штата будут отменять или заменять HIPAA. Законы Калифорнии о конфиденциальности медицинской помощи применяются к поставщикам, которые предоставляют персональные медицинские записи (PHR), в то время как HIPAA применяется только в том случае, когда поставщик, предоставляющий PHR, является деловым партнером застрахованного лица. Федеральный закон не предоставляет отдельным лицам права подавать иск в случае утечки данных (только Генеральный прокурор может подать иск), но закон Калифорнии предоставляет. Это означает, что закон Калифорнии устанавливает более высокий стандарт конфиденциальности медицинской информации, и что лица в Калифорнии пользуются более сильной правовой защитой и большим количеством способов привлечь к ответственности организации, которые нарушают их медицинскую конфиденциальность.
• В Великобритании правовая основа для обработки и хранения данных пациентов — это Закон о защите данных 2018 года (DPA), который включает в себя Общий регламент ЕС по защите данных (GDPR) и обязанность общего права по соблюдению конфиденциальности (CLDC). Законодательство о защите данных требует, чтобы сбор и обработка персональных данных были справедливыми, законными и прозрачными. Это означает, что сбор и обработка данных, как определено законодательством о защите данных, всегда должны иметь действительную правовую основу и также должны соответствовать требованиям CLDC.
• В Китае статья 18 «Национальных стандартов больших данных в здравоохранении, мер безопасности и управления услугами (для пробного внедрения)» (Национальное планирование и развитие здравоохранения (2018) № 23), обнародованная Национальной комиссией здравоохранения в 2018 году, гласит: «Ответственное подразделение должно принять такие меры, как классификация данных, резервное копирование важных данных и шифрование аутентификации, чтобы гарантировать безопасность больших данных в здравоохранении». Однако объем и определение важных данных не охватываются. Хотя «Руководство по технологиям информационной безопасности — безопасности данных в здравоохранении» («Руководство»), выпущенное Национальным комитетом по стандартизации, также предлагает оценивать и утверждать важные данные в соответствии с правилами, в нем также нет определения коннотации и определения важных данных.

Смотрите также

• Компьютерная безопасность § Медицинские системы
• Медицинская конфиденциальность
• Потеря данных

Ссылки

1. Shahani, Aarti (13 февраля 2015 г.). «Черный рынок украденных данных здравоохранения: все технологии рассмотрены: NPR». npr.org . Получено 17 февраля 2015 г.
2. Абельсон, Рид; Голдштейн, Мэтью (5 февраля 2015 г.). «Взлом Anthem указывает на уязвимость системы безопасности в сфере здравоохранения». The New York Times . Нью-Йорк . ISSN  0362-4331 . Получено 17 февраля 2015 г. .
3. Ричардс, Робби (16 ноября 2015 г.). «Утечки данных в сфере здравоохранения представляют угрозу в 6 миллиардов долларов». royaljay.com . Получено 16 ноября 2015 г.
4. Миллман, Джейсон (19 августа 2014 г.). «Утечки данных в сфере здравоохранения затронули 30 млн пациентов и продолжают расти». The Washington Post . Вашингтон, округ Колумбия : WPC . ISSN  0190-8286 . Получено 17 февраля 2015 г.
5. Маккой, Томас Х.; Перлис, Рой Х. (25 сентября 2018 г.). «Временные тенденции и характеристики подлежащих отчетности утечек данных о здоровье, 2010–2017 гг.». JAMA . 320 (12): 1282–1284. doi :10.1001/jama.2018.9222. ISSN  1538-3598. PMC 6233611 . PMID  30264106. 
6. ЯРАГИ, НИАМ; ГОПАЛ, РАМ Д. (март 2018 г.). «Роль сводных правил HIPAA в снижении частоты утечек медицинских данных: выводы из эмпирического исследования». The Milbank Quarterly . 96 (1): 144–166. doi : 10.1111/1468-0009.12314. ISSN  0887-378X. PMC 5835681. PMID 29504206  . 
7. «Поставщик скриптов MediSecure находится в центре «масштабной утечки данных программ-вымогателей», ABC может подтвердить». ABC News . 2024-05-16 . Получено 2024-05-16 .
8. МакСуини, Дэвид Свон, Джессика (2024-05-16). «Полиция расследует крупномасштабную утечку данных в сфере здравоохранения». The Sydney Morning Herald . Получено 2024-05-16 .{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
9. Нунан, Лора; Шоттер, Джеймс (19 мая 2021 г.). «Данные ирландских пациентов, украденные хакерами, появились в сети». Financial Times . Получено 19 мая 2021 г.
10. «CMS сообщает об утечке данных на портале агентов и брокеров ACA». www.ajmc.com . 22 октября 2018 г.
11. Кочкодай, Вальдемар В.; Мазурек, Мирослав; Стшалка, Доминик; Волни-Доминяк, Алисия; Вудбери-Смит, Марк (2018). «Нарушения электронных медицинских карт как социальные индикаторы». Исследование социальных показателей . 141 (2): 861–871. doi : 10.1007/s11205-018-1837-z. S2CID  148750993.
12. "Columbia Medical Center, Hospital To Pay $4.8M Штраф за утечку данных". iHealthBeat . California HealthCare Foundation . 8 мая 2014 г. Архивировано из оригинала 7 февраля 2016 г. Получено 17 февраля 2015 г.
13. Управление по гражданским правам (26 июля 2013 г.). «Правило уведомления о нарушении». Министерство здравоохранения и социальных служб США .

Дальнейшее чтение

• «Хакеры предупреждают NHS о безопасности». BBC News . Соединенное Королевство. 9 июня 2011 г.
• Тертон, Дэвид (5 февраля 2016 г.). «Больница Инувик подтверждает потенциальную утечку данных сотрудниками». CBC News: Север . Йеллоунайф, Северо-Западные территории

Внешние ссылки

• Office for Civil Rights. «Нарушения, затрагивающие 500 или более лиц». Breach Portal . Министерство здравоохранения и социальных служб США . Получено 17 июня 2016 г.