动脉网VB思享会第三期
主题:HIPAA与HIT
时间:2015年2月7日(周六) 下午
地点:三里屯SOHO ARTS Lounge
演讲嘉宾:赵新远
一、沙龙缘起
二、HIPAA与HIT
1、《国土安全》与心脏起搏器
2、HIPAA、HITECH ACT、HIPAA Omnibus Rule
3、ARRA、HITECH、MU
4、从HIPAA到HIPAA Omnibus Rule
5、BA(business associate)
6、HIPAA保护什么
7、Patient Rights
8、Privacy Rule
9、security rule
10、Required/Addressable standards
11、notification requirements
12、HIPAA Is Not a Barrier to Good Care
13、违法及惩罚
14、meaningful use
三、提问
三、感谢
嘉宾简介
赵新远:
毕业于清华大学。
现任北京英泰科隆科技有限公司CEO,兼任HL7 China 技术指导委员会委员。创业10多年来,一直致力于医疗软件开发的离岸外包业务(HSOD)和移动App (iOS 及Android应用) 的开发,客户主要来自于日本、美国、欧洲和澳大利亚,包括一些世界知名的跨国公司。10多年来公司总计完成并交付医疗软件开发项目约110个,其中包括PACS、健康体检系统、医疗设备维护维修服务系统、LIS 、EMR/EHR、PMS(Practice Management System)等。
对美国等发达国家的医疗及医疗IT发展、法律法规、技术标准等都有较为全面的了解。尤其对美国的医疗改革取向、进展及对HIT行业的影响、Meaningful Use of Certified EHR 计划和相关知识体系,以及美国的管控式医疗保险(Managed Care)体制等有着较为深入细致的了解。
一、沙龙缘起
本次沙龙的缘起,是Dr.2批评杏树林说通过HIPAA,这篇文章引起了很多人对互联网医疗软件创业项目数据安全性的重视,尤其是对美国HIPAA该如何认知的问题。
而根据来自Bitglass的2014医疗数据漏洞报告显示,过去三年中,每年的医疗数据漏洞都超过了200个,被盗的医疗记录数量6倍于信用卡号被盗,医疗漏洞对医疗消费者来说是一个大问题,而且代价很高:每违反HIPAA法案一次罚款5万美元,或者365天中违反同样的错误就提升到150万美元。在一个著名的案例中,一名麻省总医院的工作人员不小心把文件夹留在了轻轨上,导致被罚款100万美元,因为文件夹中有192名患者的个人健康信息。
起源于1991年的HIPAA法案,全称为Health Insurance Portability and Accountability Act/1996,Public Law 104-19,国内文献一般直接称为HIPAA法案,有的称为“健康保险携带和责任法案”,也有取其意“医疗电子交换法案”。
HIPAA为最前沿的医疗保健组织带来了信息安全,同时也为和个人相关的电子信息设立了隐私和安全标准。复杂的政策和详细的手续让HIPAA合规性变成了大多数企业的难题。
动脉网思享会第三期线下沙龙联合人卫社龙潭沙龙,邀请对美国医疗政策有深入研究的赵新远为大家深度解析HIPAA法案,并对国内相关监管政策的演进以及创业者、投资者应该在数据隐私和安全方面要注意的细节提出相关建议。
二、HIPAA与HIT
1、《国土安全》与心脏起搏器
大家做电子医疗或者电子病历,都是和医疗信息技术有关,HIPAA在一定程度上和大多数朋友目前做的事情是密切相关的。
我刚刚参与了卫计委一个关于“十三五”的课题研究,探讨的是在互联网风起云涌的状况下,怎么保护医疗信息的安全和个人隐私,足见我们的卫生主管部门已经把这个事情提到议事日程上。
从另外一个角度而言,杏树林能喊出HIPAA,至少说杏树林有这种意识,做互联网医疗,做“病历夹”,涉及的患者隐私和其他医疗信息需要进行保护,在今天有这种意识就应该赞许。迄今为止,医疗行业对这块的意识还是很淡薄的,很多人认为为时尚早。我觉得杏树林能喊出HIPAA这件事情就值得赞扬。这是我对这件事情的一个评价。
我想以这个来开头,谁认识照片上的这个老头?前美国副总统切尼,切尼卸任以后做了很多公益事业。美国热播的一个电视剧叫《国土安全》,去年6月份播出过一集,其中有个情节是美国副总统安了一个心脏起搏器,黑客就利用远程攻击把他的起搏器搞停了,谋杀了这个副总统。这个电视剧演出了以后,在美国引起一片哗然。为什么?在美国320万人装有心脏起搏器,最后FDA、美国卫生部不得不出来解释。
在现实当中可能还没有发生这样的事情,但是FDA美国卫生部为什么出来解释?这个画面是切尼接受美国CBS60分钟电视记者采访,他说看了电视连续剧以后就让医生把他的无线给关了,他说关的目的就是为了防止有人攻击。这不是危言耸听,不仅仅是心脏起搏器,现在很多医疗设备都是很容易受到冲击。
大概四个月以前,美国联邦调查局对美国各个行业做了一个调查,给国会、总统的报告里面提到,在所有的行业里,信息最脆弱、漏洞最多、最受攻击的是医疗行业。所以我觉得,这个故事很有意思,足以提醒我们注意医疗的信息安全。
另外,包括医疗数据的临床决策支持等在内的医疗系统每天都产生大量的数据,这些数据首次利用了以后接着该怎么办?实际上,如果这些数据只是被首次利用,没有review,这些数据的作用就会大大折扣。今天我们提到的数据的再利用或分析挖掘等,都是对数据的利用。
这些对数据分析的要求,也提出了加强和强化了对个人健康信息安全的保护。很多护士、医生都带着自己的手机进入医院网络里面,拿自己的手机或者ipad来做医疗诊疗活动,很多医院现在还没有这个意识,如何制订对策还都提不到议事日程上。
物联网、体感网等组成的医疗的互联网,对医疗信息的安全、个人隐私的保护、医疗信息的保护都需要提到议事日程,这是当今世界的趋势,是需求。
我们今天坐到这里讨论、思考这些问题,我觉得是很有必要,我觉得今天到位的也许是行业里对这个问题思考的比较早的。
2、HIPAA、HITECH ACT、HIPAA Omnibus Rule
美国是一个法律多如牛毛的国家,PPT里提到是和个人隐私、信息保护、安全有关的部分法律,我们今天主要讨论HIPAA以及和HIPAA相关的法律。
在讨论以前,先把HIPAA、HITECH ACT、HIPAA Omnibus Rule这三个拎出来。现在很多人搞混了,不知道这三者之间有什么联系,甚至有些法学博士也没有搞清楚三者之间的关系。我们要谈HIPAA的话,首先要能把这三者理出一个头绪。
第一是HIPAA,Health Insurance Portability and Accountability;第二个是HITECH ACT,上次在北京开的一个会议,一个老美在讲HITECH,同传把HITECH翻成高新技术法,有的医疗健康媒体就把它写成“高新技术法”,HITECH和高新技术的缩写一样,但实际不是那个意思,它的全称是Health Information Technology for Economic and Clinical Health。
我们先看看HIPAA的历史。
HIPAA最初是1996年克林顿签署的法令。第二个是HITECH,是09年金融危机以后奥巴马上台,美国制订了的复苏再投资法案,里面第13章就叫HITECH ACT。HIPAA Privacy rule 是2013年生效的。
我们把先后顺序交代清楚,谁包容谁,为什么会是这样,他们之间有什么样的关系。
1996年,克林顿签署这个法律,为什么要有HIPAA呢?美国立法是问题导向型的,通过法律解决美国社会中出现的问题。HIPAA要解决的是保险和覆盖问题,第二要解决医疗有关的信息安全问题,这个里面的隐私法规是2003年生效的,尽管HIPAA是整个法律,但是其里面每一部分生效的具体时间不太一样。
一提到HIPAA,很多人认为HIPAA就是医疗信息安全,实际不是,它是一个很大的法律框架。我们看看这个图,一图胜千言。1996年克林顿签署HIPAA法,实际上分五个章节或五个Title,我们更多的是谈的Title2。
第一篇是可携带,为什么它叫健康保险可携带和责任法?其实就说两件事情,一个健康保险可携带,一个是责任。健康保险可携带的意思是什么?我做一个简单的解释,美国要上医保、上了保险,要换工作保险是不能带走的。比如说我在一个公司工作了20年,当初投保的时候是30岁,工作20年50岁了,要换工作的话,这个保险是不能连续的、不能携带。我现在在A公司,到B公司的时候再重新上保险,A公司我30岁,现在我50岁,你们觉得保险公司会怎么对待我?对我的保险条件非常苛刻,现在国内50岁都不给投保了,因为什么?到了50、60岁该生病了,实际上大部分人80%的医疗费用是65岁以后花掉的,80%的80%是死前三个月花掉的,所以年龄越大,投保的条件就越苛刻。因为保险不能携带、不能延续,如果我在这个公司不换工作,继续待着,他的保险政策是不变的。现在我要重新核保,我的保费要高,我就不换工作了。
这个问题就涉及到人才的流动,美国国会和美国政府非常明白,如果一项东西阻碍了美国的人才流动,一定会给美国经济带来沉重的打击,美国是一个不能不让人自由的国家,包括自由选择职业,包括人才的只有流动,谁限制自由在美国是行不通的。所以国会就要出来一个健康保险可携带,是可携带的,当这个东西阻碍的时候,国会会权衡,美国人会权衡,当这个东西阻碍了大方向的时候,阻碍了美国经济发展的时候,我一定对说你不,一定要立法去限制,这就是他可携带的初衷。
今天我们主要讨论AS部分,或者叫行政管理,或者叫管理简化,我们通常谈的和医疗信息安全有关系的隐私保护和信息交换有关系的,实际上都是归属于AS部分,就是电子数据交换这块。当然这块也涉及到具体的技术问题,今天我们也少谈,我们今天更多的就谈Privacy和Security,这个大家就清晰了,否则我们觉得HIPAA确实涉及到信息安全。我们所谈的包括杏树林,包括Dr.2讲的更多的还是隐私和安全,涉及EDI的也少。EDI是一个工具,用EDI最早的是外贸,他们做结算、电子数据交换,医疗还是走在后面,我们EDI也是走在后面,亦步亦趋和别人学的,代码级包括标示符今天我们可能涉及的比较少。
这个图就是给大家简化一下,法律的名字提出来也是健康保险可携带和责任法。
3、ARRA、HITECH、MU
刚才谈到ARRA、HITECH,后面还有MU(Meaningful Use)。
ARRA,美国再投资经济再复苏法案,和HITECH、MU、CMS以及有意义的使用认证的电子病历档案。ARRA是一个大的框架,HITECH是ARRA的第13章,MU是根据HIPAA法,美国在2011年启动一个计划,该计划是联邦政府拿出近350亿美元,用五年的时间在全美奖励医生和医院推广电子病历,做medicare给你44000美金,直接是按人头计算,做medicaid给你63750美金,这个计划的作用非常巨大。不管是创业者还是医院管理者抑或是医生,我觉得都应该了解一下MU,因为我认为MU是美国50年来医疗及其医疗IT技术痛定思痛的总结、精华,把MU吃透了,对于我们创业、做HIT、医疗管理、医疗改革未来发展方向等就都比较明晰,我大力提倡大家都要懂MU。有时间可以单讲MU,讲MU一般是用三个小时来讲。
4、从HIPAA到HIPAA Omnibus Rule
为什么从HIPAA最后到HIPAA Omnibus Rule,其实这就是一个历程:先有HIPAA,再有HITECH,再有HIPAA Omnibus Rule。Omnibus Rule是2013年,这个法密密麻麻写了546页。HIPAA是1996年克林顿签署的,到今天已经过去快20年了,法律不能是一成不变的,任何东西都要与时俱进,否则这个法律就不能用,只能扔到历史的垃圾箱,所以正是因为在这将近20年间发生了深刻的巨大的变化,就更反过来要求我们去加强信息的安全。
现在技术发展了,过去不装心脏起搏器就死了,现在装了就有无线功能,可以遥控谋杀一个人,为什么切尼把无线功能关掉,一攻击就把他的心脏起搏器停掉了。
正因为这些技术的变化,移动互联网、APP等,恰恰强化了我们的隐私和数据安全的保护。但是96年他没有考虑今天这种情况,他要改。那怎么改?最后他就出来一个Omnibus Rule,我把它翻成综合法规,546页,如果会后谁感兴趣想研读的话,我可以把原文发给你。
从HIPAA到Omnibus Rule,都发生了哪些变化?我理了一下,最主要有五点。
一是就把BA liability的责任加上去了,过去HIPAA里面没有BA的。
HIPAA有三个受管辖实体,一个是provider,我们可以理解成医疗服务的提供者,医院、诊所、医生,包括临终关怀医院,包括长期的护理,这些都叫providers。第二个就是保险公司,因为他们也能拿到用户的数据。第三个是清算公司,因为美国医疗结算是一个很难的事情。我举个简单的例子,国内一个专家说美国用ICD9(手术编码),我们现在用ICD10,美国比我们落后。我说你知道ICD10有多少个代码吗?他说不知道,我说9你怎么用的,他说我们分十个病种向医保报数,我说这个太简单。美国ICD9有18000个代码,ICD10有18万。为什么很难?因为他和很多东西捆绑,通过捆绑医疗,把码发出去,他就知道你这个码对不对,是高报还是低报,或者这个是费用欺诈等等。
Omnibus Rule把BA加进去了,将来中国制订类似的法律,也一定会BA纳入进去,所以我们今天讨论这个事情,将来谁早知道、早动作,对我们就会好。
第二个变化是把医疗信息、医疗数据做了一些更新。
第三个就是对违法者的罚款提高了,加大惩罚力度,就是为了让美国全社会、美国的医疗机构都要关注医疗信息的安全和隐私保护。
第四个变化是增加了违约必须通知的要求,也就是说违约了必须向美国卫生机构民权办报告。
第五个,把GINA法的的一部分内容也纳入这里面,而且明文规定患者的基因信息也是要保护的信息。GINA是基因信息非歧视法,小布什2008年签署的,主要内容是不让保险公司和雇主用基因检测这种手段或者理由来拒绝招聘,对就业设置障碍,或者上保险时利用基因检测技术设计歧视。
违法了谁来处理、谁来管?首先是卫生部下面的民权办,假如医疗机构电子病历被人偷走了,或者笔记本里面有几千个患者的电子病历,被人偷了,这种情况下需要马上向OCR报告。另外对这一块要进行审查,审查、审计是2013年9月23号开始的。另外还有ASET,美国卫生部开发的programme,管理简化执行工具,是给美国的老百姓投诉用的,发现哪个医院或者医生违反HIPAA法了,直接网上投诉他,其实这就是一个投诉工具,人家做得很好。现在在美国也搞得很紧张,但是没办法,罚款就罚了,几百万美元,掏吧,没有办法。
下面我们把几个关键词以及定义明确一下。
第一个Definition Privacy,Privacy有点臭名昭著,因为它太模糊不清,歧义太多,我要控制个人的健康信息不能透露、不能泄露,这就叫隐私。
第二个叫Confidentiality,保密协议,实际上就是数据或者信息的一种属性,就说不能将信息透露给那些无权使用的人或团体,创业者将来做信息系统时,设计时要保护未经授权的访问Access、使用Uses、泄露Disclosures。
第三个是Availability,就是说你可以获得信息,它也是数据和信息的一种属性,这种属性就是授权的人能够根据自己的需要,去访问和得到以及使用这些信息,这就叫可得性,或者可获得性。这里面有几层意思,第一得授权的人能得到这些信息,第二要保护信息,避免对信息的威胁、危害,第三是要有备份,第四是涉及到EPI(Electronic Protected Health Information)的时候,要有合适的灾备,或者能够保证医疗业务连续进行。我们讲医疗的连续性,现在实际上我们的医疗是片断的,所以要提供灾备以及医疗服务的连续进行,灾害恢复机制。
后面两个是Security和safety,大家对这两个词总是分不清楚,很多时候概念不清楚阅读文献时会有问题。Security谈的是rule等很多的方法,通过制订的方针政策、规范、流程和方法等保护措施、工具来保护隐私和信息安全(Protection of privacy and confidentiality through policies, procedures and safeguards)。
safety,通常说的是患者安全,实际上更多的是指一种医疗规范、医疗规程,这些规程是要保证在医疗的过程中,要报告、分析、防范医疗错误、医疗差错。大家对medical error有概念吧,美国每年因为医疗差错死40万人,其中40%因为用药的差错而死亡,在七级、六级认证中要求用药闭环管理,美国特别强调医疗信息安全,你的医疗信息怎么服务医疗质量,或者通过什么样的医疗信息手段来实现医疗差错的减少,挽救人的生命。
5、BA(business associate)
刚才我也提到了,HIPAA是管四个机构:
一个是provider,有个媒体翻成供应商,其实这在医学领域就是一个专业名词,在我们这里是医疗服务提供商,但是中国人说是个供应商很别扭,所以我建议翻成医疗相关机构或者医生都可以,有时候就是指的一个医生。
第二个是管health plane,有人翻成健康计划,其实不对,这是英语里一个特殊的表达,是医疗保险,美国65岁以上的老人有四个plane,实际上就是里面不同的险种。HMO是美国最早的医疗保险形式,现在美国医疗保险变成了管控式医疗保险,为什么叫管控式医疗保险?美国医疗保险利润平均水平就是4%,管控谁呢?管医生、管病人、管医院。怎么管?两种大的手段,一个是程序手段,一个是经济手段。
第三类机构,实际上刚才我们大家在谈医疗的生态系统,这些都是生态系统。
第四个就是商业合作伙伴,HIPAA1996年的法律是没有的,后来才加进去,这一加我们在座的搞这个行业的人都进来了,原来法律不管我们,现在管了。现在美国大的HIT公司都如履薄冰,每时每刻都面临被罚款的危险。
我举一些例子,如下这些公司都要受HIPAA的管辖,IT支持的软件开发商、IT设备供应商、租赁公司、telephone CPE vendors、shredding vendors。shredding vendors是帮助医疗机构处理文档的,比如一些文档不要了,不能随便处理,比如有一些磁盘要消磁,这类公司就来处理这些事情。在美国一个电子病历明码标价美国市场上50美元,中国南方我听说也有卖的,这些都是要受HIPAA法管辖的。
为医生办公室、医疗诊所做应答服务的,包括做病历的、营收的,如medical transcriptions services,电子病历是写文书,在美国要求很严,没有是不行的,拿钱都拿不到,他的工作量都写文书上怎么挣钱,怎么给病人看病?美国医生录音,说完了,晚上发给印度,印度很多公司给他们做誊录,第二天早上发过去,医生看见你给我写好了,就把这个东西登到自己的电子病历里面。这样的公司也受HIPAA的约束。
还有temporary employment agnecies,临时雇佣机构,在美国医院,很多医生,包括很多护士,医护人员休假后,此类公司会调配其他有资质的医护人员过来。
medical collection agencies,这是收帐公司。现在美国,写代码,因为靠CPD、DRG给钱,代码给高给低不一样,很多医生为了早拿到钱,他把代码比如我可以用50美金,也可以用60美金的,但是越高报,很容易被保险公司拒付,所以在美国80%的代码,因为老拿不来钱就关张了,资金周转出现问题,有的创业公司就是我来给你做这件事情,让你正好合适,他就挣这个钱,我们分成就行了,创业公司你想不到他都做什么。
在HITECH ACT以前,BA不受约束,比如给医院服务,医院与合作伙伴有个合作伙伴协议,受协议的约束,不受HIPAA法的约束。但是HITECH出来以后,包括分包商都受HIPAA法的管辖和约束,这就是前后的变化。
一个协和的大医生去美国进修,他说让他惊讶的是第一课居然是学了几天HIPAA,我说他们最关心的不是你能不能学到东西,而是你能给他带来多少万美元的罚款,所以要对你先进行HIPAA教学。
6、HIPAA保护什么
HIPAA究竟保护什么?不是所有的都是都保护,保护的核心是PHI。PHI就是protected health information,受保护的健康信息。美国人干事不像我们,发文漫无边际,摸不着边的东西,他们规定了18类,这18类信息能够识别身份,尽管18类很具体,但是第18项是开放的。
我们再看,PHI概念都得清晰,包括verbal information、纸张的information、录音、其他的电子信息,比如说faxes、e-mail等。今天我们谈的更多的是ePHI,不保护纸质的信息,保护的是电子的东西。
这18种信息包括名字、地址、出生年月、电话号码、传真号、驾照号码、汽车牌照、其他设备的序列号、URL等,可以根据这些信息能够找到、识别到一个人,18类最后一个是其他能够识别到个人的号码、数字等等。
HIPAA法提供了一种途径,即de-identified不受HIPAA的约束,对这些信息可以去识别化,比如说这把18类信息拿掉,或者加密,让别人辨别不出来是信息是哪个的,这就可以。但是尽管现在我们可以做去识别化,有人可以re-identify,通过各种技术手段可以重新识别一个人,美国卫生部认为没有万全之策,re-identify的事情是需要我们在技术上考虑更好的阻止他人进行恢复识别。
7、Patient Rights
在HIPAA法里,病人的权利是什么?
第一,他有权要求去修正和修改他的medical record,包括电话号码、生日年月。
第二,他有权访问PHI这些信息。
第三,患者有知情同意书,可以让医院提供六年之内把患者的信息透露给谁了,即便是合法的透露,如果患者要一个清单,医院得负责打印出来或者提供电子版。
患者可以要求使用不同的通讯交流方法,甚至有些东西是不保密的。比如医生给患者发电子邮件,内容涉及他个人的隐私,只要患者开具同意书或电子证据就可以发,否则医生给患者发送了不加密的电子邮件并且其中包含他个人的PHI,患者可以随时起诉医生。
HIPAA法规定在与患者接触时要签署知情同意书,里面讲的很清楚,都是患者“i know/understand”医院搜集患者信息的用途你用我这些信息干什么,最后一项是说患者阅读过notice of privacy practices,即医院的隐私管理办法的通知,这里面涉及到如何保护患者隐私、医院用这些信息做什么,用于那些范围是不违法的。notice of privacy practices医院必须给患者看的,患者必须签字。
电子病历里包含有不可或缺的18项信息,所以在电子病历这块一定要有明确的隐私保护,一定要遵循HIPAA法。通过知情同意书,可以建立患者对医生的信任,让他知道医生/医院尊重他的隐私,因此电子病历的有关规定实际上是建立患者对医生、医院信任的一个很重要的方面,也是医患关系很重要的方面,所以他要强调。刚才也讲了,有关基因信息也作为个人信息纳入进来。
另外一个就是进一步限制透露PHI。
最后一个,患者在发现医生或机构违反了隐私安全法规或有关的规定时,可以投诉医生或机构,投诉的渠道很多,可以直接向医院投诉,也可以通过卫生部开发的门户网站做投诉。
8、Privacy Rule
Administrative Simplification这一部分包含三块,分别是Privacy、Security、breach notification,第一个是隐私规定有什么,第二是安全规定,第三是要违约要通知的规定。第一个实际上是限制PHI的使用和泄漏。第二个是要采取一些合适的、合理的管理上的、物理上的、技术上的一些保护措施,来保护ePHI,第三违约了怎么办,你要通知。
我们先看Privacy Rule:
1、制订了一系列怎么使用和透露PHI的标准和条款,在制定相关标准时所需要的Require minimum necessary,就是最小需要,不是多多益善,也就是minimum necessary。
2、患者能够访问自己的电子病历。
3、患者要签知情同意书,signed consent form,上面讲了用于治疗、支付保险、支付付款、用于医疗运营等,和患者治疗有关系可以用患者的信息、保险号,否则是不能用的。所以说他就规定了。同时,知情同意书里面没有涉及的内容,比如知情同意书没有说用于科研,要用于科研还得再找患者签,否则还是违法。
对于minimum necessary,简单解释一下就是need to know,需要知道就是等于最小的必要信息。什么叫“需要知道”?第一医生需要,document the patient’s treatment,需要给患者写电子病历。第二,医生为了和患者或者其他的专业人员进行沟通,为了更好治病。第三,为了保证医疗的连续性需要,患者出院后,但是医疗连续性要求,医生可能还得给社区医生、全科医生、保健医生、家庭护工进行沟通,需要知道患者家里的电话号码。第四,需要对患者的治疗进行分析、研究、评估。第五,需要开展患者已经认同的、批准的科研,此时所需要的临床数据。最后一条,合法的业务目的也是属于need to know。
什么叫合法的业务目的。第一个,为了临床决策支持,为了做治疗计划、治疗规划需要统计数据。第二是法律规定的第三方需要这些信息,法律特别规定的第三方,如传染病、验尸、癌症等。第三是保险结账、报销流程所需要的文档,这些文档需要PHI信息。第四比如某些认证、取照、取证要求的信息。
9、security rule
security rule,分为行政管理上的保护措施,第二是物理上的保护措施,第三个是技术上的保护措施。
管理上的保护措施是指要有一个安全管理办法流程,使得能够识别和分析风险,大韬做信息图实际上涉及的就是这块,就是要识别和做风险分析,要能够实施这些风险防范或者安全措施,能够保证或者降低这些风险。
另外,要做员工培训,医生、员工都要做培训,让他们知道HIPAA法,知道医院的管理办法,知道如果违规了怎么办。
这些办法还要包括信息访问的管理,谁能访问、谁不能访问,什么时候访问、怎么访问都得有规定。
最后是应急方案,比如说出现紧急情况了,该怎么反应。另外是怎么恢复已经丢失的数据,这都是紧急情况。
10、Required/Addressable standards
HIPAA法有两种,一个是强制执行的,一种是addressable,根据各自的环境、情况来,制订实施的规范办法,有一定的自由度,不是required。HIPAA管理办法分的比较细,比如HIPAA法明确规定,医疗机构必须有一个安全官,这是法律强制规定。对职工或者员工的安全保护措施,要授权、监控,发现以后怎么终止违法行为,发现有些故意的、有些非故意的,发现了以后怎么立即终止程序、终止办法。
刚才是管理上的,物理层面的是facility access controls,就是设施要有进入控制,不能说数据中心就开着门。第二,工作站要有安全措施,比如说谁使用医生工作站了,给医生的显示器安装隐私过滤屏。再如,数据的备份和存储也需要有相关的管理办法,美国电子病历下一个阶段是强调患者产生的数据,这些设备都要保护。这些device 和media controls,销毁要有专门的销毁公司,它也受HIPAA约束。这个层面有很多具体的技术措施,这些才是干货。
第三是技术层面的,第一,要用访问控制,PHI访问尽可能限制,而且是仅仅是授权的,授权人也是最小需要。第二是要审查控制,要监控整个软件系统或者系统的活动,这些系统是包含了ePHI的。再者就是数据的完整性,你要有办法防止对ePHI的篡改和破坏,传输过程中要有安全防护、保护措施。比如说access control,比如电子病历访问提供唯一用户识别码,另外有一个紧急访问的程序,有些东西说白了医生没有权利访问,但是人命关天,所以还得有一个应急访问措施,事后再记录下来。另外还有自动登出功能,比如医生离开了几分钟,系统得能自动登出,这个功能在电子病历开发商那里都是都有认定。
11、notification requirements
Notification要求如果机构违反了HIPAA要通知,大概有几个情况需要通知:
第一电子病历被别人偷了,受影响的individuals/患者,医院就得一个个通知到。
第二得通知美国卫生部民权办,在某种情况下还得通知媒体,这个很要命,所以美国的医疗机构特别害怕。
另外,第一个通知是个笼统的规定,如果电子病历泄露了500人以上,要通知卫生部,同时要通知到患者,如果涉及到五百人以下,可以记录下来,按照年度来上报,而不用一次一报。
另外,是分层通知。BA、CE和subcontractors,CE就是刚才讲的清算公司,因为CE对BA负有责任,分包商又和BA发生关系,要一级级的往上通知,比如分包商发生HIPAA违约事件了,要通知他的BA,BA违反了hipaa,要通知他的医院CE,这样一级一级分层级通知,然后由CE上报给卫生部。同时,还有时间上的要求,必须在违约发生的60天内,按要求通知上述单位和个人,没有任何理由可以推迟。只有一种情况可以推迟,当执法部门认为通知会能会妨碍现在的有关调查时,可以延迟通知。
那么是不是这些保密信息都不可以使用呢?保密协议不是都不能透露,国家法律要求应该透露,不能保密,HIPAA法也有此规定,涉及到公益事业可以透露。
第一个是法律规定要求透露的。第二个就是为了公众健康需要透露的,比如说传染病。另外就是劳动就业监护、医疗监护等,这属于法律规定的Public Good。
12、HIPAA Is Not a Barrier to Good Care
当然了,HIPAA的宗旨以及所有的规定都不能成为Good Care的障碍,也就是HIPAA是服务于医疗而不是成为医疗的障碍。比如FDA现在要监控APP,国会说了,监控不是目的,监控如果妨碍了创新和应用就不行。这点逻辑得搞清楚。我们对法律的解读得是多维、多方面的,比如Privacy Rule规定,不禁止医生与护士之间为了治好病人相互交谈,另外就是overheard,不是故意的,意外的communications也是不可避免的,不是恶意的,在这种情况下,对这种偶然的、非故意的泄露,也是网开一面的,对此卫生部有自行量裁权。
13、违法及惩罚
我们通过这些实例什么叫违反HIPAA。第一,比如在公共场合或者大堂里面谈论患者,或者不该跟这个人谈。第二,比如纸张或者电子邮件、胶片或者笔记本被偷走、丢了,或者不正当的disposed了。第三,笔记本、PDA或者手机或者其他介质,里面有患者的敏感信息,被偷了,或者电脑系统你没有进行很好的防护,遭到黑客攻击也是违法的。比如发电子邮件、发传真,地址、号码发错了,发给错误的人或者错误号码了,这都不行。最后一个就是说,系统没有使用登出这个功能,让其他人看到不该看的信息,这都算违法。
我们再看看违法了怎么办?HIPAA法和相关法律里面规定挺详细,大概分四类。第一类是通过reasonabe diligence合法的努力不知道而且也没发现,这类违法行为罚100-50000美金,原来1996年HIPAA法最高是25000,最小也是100,现在改成50000了。第二个是事出有因违法,但不是故意的,这个每次违法罚1000-500000。第三是故意违法,但是你在30天之内纠错了,这个罚10000-50000。第四类就是故意的且又没有在30天之内纠错,每一个罚50000,最高罚150万。处罚是按照identical provision,是按条算的,可能触犯好几条,一条一年罚款150万,同时违反4条就乘4了,就是600万美元。而且这次修改96年的法律,按照人、按照天算,两千人和五千人是不一样的,这次泄露五万人是不一样的,泄露了十天和八天不一样,所以这个要命了。这两年罚钱很多就是因为这个,一,按条算;第二,按人算;第三,按天算。这是96年的法规所没有的。
除了民事责任罚款,还有刑事责任,最高可以罚十年,到蹲监狱十年,铁窗里面不好受。当然,作为医疗机构或者相关机构,损失了病人的信任,失去了别人的信任,要是BA谁还和你签合同,医院就不用你了。所以损失的不仅仅这些。
14、meaningful use
对于meaningful use,简单说一下,美国医疗的三个阶段,第一阶段是建立电子病历,第二阶段是达到信息交换和协同医疗,第三阶段是改善疗效,现在美国已经花了两百多亿美元,电子病历普及率已经从20%多提高到80%以上,电子病历是将来国家医疗信息的基本内容,临床信息才是核心信息,不是医院里面的收费信息、管理信息、抓药信息。现在国内的电子病历不叫电子病历,就是编辑器。我认为未来几年中国的电子病历有一个革命性的变革,这些就是对它的要求我就不再说了。
meaningful use还涉及到认证,电子病历也有要求,比如对应急访问、自动登出、自动记log,谁看了病历,每天都得自动记log,这些log将来就是审计、审核的依据。电子病历要求数据的完整性,怎么保证数据的完整性?第一,要有消息摘要,每一次要发信息的时候要有一个摘要。第二个要验证,第三要能检测。在传输的过程中要能检测,是不是被别人篡改了,或者审计的log是否被篡改。电子病历也要有授权机制,验证这个人是不是有权使用这个,还要加密,电子病历对泄露和透露要记录,为了治疗、付款、支付,合法的透露也要记,医生每次看PHI都有纪录。将来国内肯定也是这样要求。
stage2,这是2014年一些新的要求,一是门诊的电子系统发消息的时候也要加密,过去没有明确规定。第二个amendments,患者可以修改、完善自己的PHI,同时有防篡改、加密的功能,其次对于data at rest,静止不动的数据,不是传输时候的数据也得加密,stage1只规定传输时候要加密,现在规定静止不动的数据,保存在硬盘里的东西也要加密。第三,所有的action都要记录下来,另外要记录下来谁把log关了,什么时候关的,谁把加密功能关了,什么时候关的,这些都得记录下来。还有发送信息的时候,要安全的发送信息,也即是不能用没有加密的电子邮件,而且建议用hashing算法加密。HIPAA推荐了两种针对静止数据的加密方法,比如使用电子病历,敏感信息不会存在客户端,第二种方法就是加密后保存在本地。
美国卫生部提供了一个工具,一共十个步骤来检查企业是否符合HIPAA的规定,企业可以根据这十个步骤来一个一个的进行检查。我老说要学会站在巨人的肩膀上做,多看看先进国家的东西,站到巨人的肩膀上做事,事半功倍,我们只需要把这些东西看明白了,包括人家的创业史。美国人做创业有很好的例子,美国关于医疗IT创业的,加在一起我整理了18个加速器和孵化器,把那些孵化的项目看明白了,找一把就行了。我有时候和团队的小伙子说,就是方法论、效益,方法不当事倍功半,方法得当事半功倍。
美国的HIPAA法也有很多的挑战,首先privacy becomes difficult to define,privacy是一个臭名昭著、模糊、歧义、争议不休的词,说不明白,这就是当今很困惑的词,这里面包含了当今太容易混淆的问题,解释、权力、责任等等,我们做医疗信息交换又强调它的唯一性,是自己出钱还是国家授权等等,这些都增加了信息、隐私、保密、安全、信息使用这些复杂性。还有数据标准,我们最痛点是什么,是data standards,将来要交换、分析、挖掘、决策支持等,没有data standards怎么办,所以将来的瓶颈就是data standards。还有交流模式、通讯模式等等很多问题。在中国更是如此,中国也面临这样的挑战。
三、提问
李大韬:HIPAA好像特别复杂,我们之前做过两篇稿子,美国有两家创业公司,他就是帮着创业者,让APP或者服务可以符合HIPAA的要求。
赵新远:这两年干这个事的创业公司不少,因为HIPAA很难的,现在医疗机构也挺头疼,所以他们愿意把这件事情包出去,愿意付费,很多创业者看到这个机会,确实是很好的创业点。
提问:您说的那十步一步步走过来就能通过?
赵新远:没有通过这件事情,这是一个误解。法律不存在认证的问题。你不违法不就完了嘛,保证流程、人员培训以及行医活动中不违法,这个不存在认证的问题。说认证本身是错的,很多东西就是普通常理。
李大韬:和赵老师这两天一直在沟通,赵老师有两个观点让我特别感动,第一个他说杏树林实际上做了一件我们大家都没做的事情,把HIPAA这件事情以及相关的一些重要性让我们大家认识,我们应该为杏树林鼓鼓气。另外一个赵老师今天给我们聊的,在中国环境下,创业实际上是很难的,赵老师说我们所有的创业者都是勇士,在我们不鼓励创新的社会环境下去勇于突破自己的障碍,突破社会的障碍,尝试带来一些更美好的东西,所有的创业者都是值得尊敬、值得敬佩的人。
提问:谢谢赵老师精彩的介绍,我也是第一次接触这个,我是来自一家美国制药公司,我们制药公司有一些做临床实验,也会有患者的信息,如果临床实验患者信息系统里面,有这样的系统是不是也需要遵守HIPAA的法律?
赵新远:要的。而且像这种情况要和患者签相关的协议,不管是organization还是individual,你要保护自己一定要签协议,否则哪天他翻脸找你,美国很多律师整天就找案子。如果是来自医疗机构,你是属于BA,就要跟他签同意书。
提问:谢谢赵老师的精彩演讲,我是北医工卫研究生,一直在国内做健康管理,对象是高端的个人以及企业的健康管理,就是企业员工的健康管理。我有一个问题,比方说我的客户可能是一个跨国企业,我要通过系统收集一些海外员工的健康信息,这里面是不是涉及到一些政策方面的问题,另外像我要收集海外员工的信息的话,是不是必须要遵守这些东西?
赵新远:如果是涉及到海外员工的信息的话,要谨慎。因为怎么说呢,其实如果是海外,尤其是美国人,他们的隐私保护意识是非常强的,所以如果涉及这些东西一定要谨慎,甚至可能要咨询一些律师,请一些律师帮忙。
提问:我现在在做一个移动医疗的项目,涉及到急救的体系,也是涉及到电子病历,我问的问题是,无论是病历的电子化也好还是电子病历也好,归属权是归到机构还是患者自己的?
赵新远:其实这个问题挺敏感,前一段我们在卫计委“十三五”规划里面做一些项目大家也在谈。HIPAA法,并没有明确信息是谁的,难道美国人不会想这件事情,但是他为什么不去纠结这个问题?在美国,患者的信息可以让医院修改、甚至让你销毁这个,美国强调个人的想法、权力,没有纠结属于谁。美国到现在也没说电子病历归谁,昨天我看这个敏感性PHI,究竟保密多长时间,死后50年。我觉得这件事情,患者的权力是第一,我的命我做主,包括在医院治病也是这样,住进去签一个预留遗嘱,等到不清醒以后到时候谁决定来拔管,这个权力决定拔管不治疗、放弃治疗、放弃抢救的权力,他可以交给他的亲戚、儿女,交给任何一个他信任的人,医院一定是按那个人的意思执行。我的信息就在你这儿保存,国家规定你有权力去完善管理,只能用于什么。说是谁的,这事麻烦了,所以只规定谁有什么样的权力,大家只在法律规定的权力中活动就足以。
提问:我来自一家美国的医疗信息和咨询管理的公司,现在主管中国区数据部的业务有一个问题,我们公司收集很多市场上的医疗信息,尤其在中国有非常敏感的问题,他们会把受保人的信息用电子邮件传过来,我不知道首先第一步怎么处理这个信息,是删掉还是怎么样,到了公司已经是违规了,公司不允许存这个数据。第二个问题,美国公司不存在这个问题,他们有很强大的系统符合HIPAA的规范,但是在中国分公司data的处理做得并不是特别好。我不知道在中国,包括美国有一些云端的、第三方的服务,这些服务的提供商如果要用他们的云服务,应该是他们得到这些认证还是我们得到这些认证,如果有一些事件发生,应该是他们负责还是我们负责。另有这些服务提供商,国内哪些是值得信任的提供商不知道您有没有什么高见?
赵新远:如果是美国的话,法律定得很清楚,你先对照你是什么角色,刚才stage1,如果我是分包商你就按照分包商的规定,你对谁负责,你对你的BA负责,BA紧接着给CE,就是原来的CE,当然现在也是叫CE,就是一级级的关系,先辨别身份,辨别自己是不是受这个法律管辖,你就知道我和你什么关系,谁对你负责,或者你对谁负责,这个很清楚。包括层级报告,每个法律规定很明显,你不能越级,作为分包商直接报到美国卫生部说我违法了,不是的。你先报告BA,BA再报给CE,比如这个CE是医院,医院再上报,法律规定也是这样。受到HIPAA规定CE对BA负责。第二在国内也是,本身我们国家就是对个人隐私根本也是无奈,也没这个概念,你这边买车,那边就把你所有信息卖掉了,那边买房很多人就给你打电话了。这是两大问题,一个是不知知识产权为何物的国度,一个是不知隐私为何物的国度。今天我来和大家讲讲,我觉得我们这些人都是够前卫,你来听我讲这个,很多人说讲这个干什么在不知道隐私为何物的国度里。所以你和国外打交道就要按照他的,要谨慎。
提问:如果说是和国内这些云服务商合作的话,哪些您觉得是值得信赖的,这种责任是在他们要符合HIPAA,还是我们符合HIPAA,还是怎么样一个流程?
赵新远:因为国内现在云服务商也比较多,我和他们打交道并不很多,很难说谁做得最好,当然大公司,有钱的、要名的,一是大公司有钱,有能力干好这个事,第二他要脸,你跟谁干事,总找得一个要脸面的。
提问:所以其实责任还是在自己这方,我们要推着他们来做。
赵新远:推着他,数据放在他那儿责任是他的,东西放在他那儿,但是他又没有这种意识,也不知道怎么解决,所以你讲HIPAA法,我相信大公司做云服务的不懂HIPAA法。所以你跟他说,他说我不知道怎么弄,美国公司在美国弄,我们这里没这个东西,那你就告诉他美国公司怎么做的,有现成的合同,这些条文你能做到吗?他一看没事可以,以后说不定他和你签了这个合同,去忽悠人去了。
提问:刚才您说HIPAA不是一种认证,我在美国一些医疗服务的网站看到一些标志,在中国这种环境下我怎么能够把这个标志放在我的网站上?
赵新远:美国卫生部的网站规定如果企业满足了相关规定,就可以在自己的网站上说我遵从HIPAA,用的词要注意。刚才我谈了半天,企业按照十个step采取技术措施、管理措施,形成自己成文的规章制度,而且完全是按HIPAA来的,就可以声称遵从HIPAA。
提问:谢谢赵老师今天的分享,我做移动医疗的相关研究。我刚才听您说咱们国家现在也开始重视患者数据系统的安全问题,所以我就是想问一个偏政策性的问题,在你看来中国在这块会有什么样的进程,我们会不会之后也会有像HIPAA这样的法案保护或者强制企业遵从这样的规定?
赵新远:从趋势来看,可以肯定的说,不注意个人隐私、不注意信息安全保护的时代肯定慢慢要消亡,肯定不能延续。但是具体什么时候不好说。第一个,取决于我们这些人,我们就是民间的力量,今天我讲至少我们40多个人有了这个概念,所以为什么我到一些地方去讲,我就希望我们首先得传播,先让大家有这种意识。第二个,我觉得很重要的,政府部门引起高度重视。上次我讲HIPAA的时候,请到了卫计委主管处长长在听,我特别高兴。第三个卫计委既然做互联网下的医疗信息安全的研究项目,证明领导已经高度重视了。所以“十三五”规划里面会有有关东西,这就是一种进步。至于说什么时候能达到那个水平,天知道。
提问:赵老师您好,我是北京大学人民医院信息中心的,正在做一个OD的项目,给医生手机终端上看一些应用做电子病历,听您的演讲真是解决了我们的一些问题,但是医生提的问题我还是没想明白,大夫说这手机是我自己的,我能不能带回家看病历下医嘱,我们是支持还是不支持这个应用,是否涉及隐私保护?
赵新远:这个问题已经迫在眉睫了,院内的移动医疗、移动护理都在上,电信公司不惜赔本赚吆喝上wifi装医院内的局域网,这说明院内的移动医疗是趋势,医院再给医生配一个也不现实,医生自己用ipad、智能手机,医院只需要做好怎么保证安全就行了。
提问:假如说在美国有个患者,前面都在诊疗,那么这个公司就会有他的病历,假如说他参加了某个健康管理公司或者保险公司,他需要向健康管理公司或者保险公司提供他的病历或诊疗,作为患者本人是直接向霍普金斯强制要求还是怎么样,美国现在是什么模式。
第二个,在美国现在正在创业的健康管理公司,或者健康服务公司,他们怎么获得基础的病历的数据信息?我是泰康人寿保险公司的,主要是做医疗健康领域的投资和战略合作,所以我很关注这个问题。
赵新远:第一个问题,HIPAA法里面包括相关的法律里面都是这样,他要这信息的话你要三天给他,患者有权力要求各种介质,比如你可以给他拷一个光盘、U盘等。
提问:只能单线提供患者本人,还是我授权下直接提供保险公司,可以吗?
赵新远:不行,你得有手续,不能随随便便提供。保险公司如果做医疗保险的话,你就有他的PHI。患者本人可以向医疗机构要,他要规定的时间内给你,如果不给的话就是违法的。
提问:美国很多健康管理公司可以和他的用户签这种协议,由他们提供,是不是这样理解?
赵新远:法律是这样规定的,创业公司需要这些东西,那你是可以的。另外比如做电子病历、做云的,他本身一定是遵从HIPAA,只要是这样就没有问题。霍普金斯有位医生告诉我说因为使用认证的电子病历已经拿到三万美金政府的奖金。
三、感谢
1、感谢赵老师的主题分享,在将近3个小时后的时间里,赵老师详细的为大家解读了HIPAA的起源、逻辑、结构与框架。更有价值的信息则来自会后的分享,赵老师对创业者分享了他的学习方法论,对于如何快速的认知一个领域、如何站在巨人肩膀上成长,让大家受益匪浅。
2、本次沙龙是动脉网VB思享会与人民卫生出版社龙潭沙龙合作举办的。感谢龙潭沙龙的创办人张洋对本次沙龙的支持,他提供了本次沙龙的奖品是人卫社出版的几本经典图书。
3、感谢北京凯晨资本董事长季艳总友情赞助场地,这是一个充满艺术气息的ARTS Lounge。 季总2013年开始关注医疗健康和地产,也在做养老这方面的投资,目前在沈阳四个区已经有五万人的居家养老的数据,2015年在北京、天津、河北将建立八个健康管理中心,将会有30万左右的居家养老的数据,重点关注慢病管理包括居家养老服务的一些项目。
4、感谢君联资本汪剑飞、珍立拍Dr.2对本次主题沙龙的推荐,感谢健盟创始人沈奕青的支持。
5、感谢动脉网所有的亲友团。
6、感谢速记工作人员倩乐。
渝公网安备 50011202502165号
