Hầu hết các vi phạm dữ liệu về thông tin sức khỏe cá nhân do sơ suất nội bộ

Mối nguy hiểm bên trong

Nghiên cứu mới từ Đại học bang Michigan và Đại học Johns Hopkins cho thấy hơn một nửa số thông tin y tế cá nhân gần đây, hay được viết tắt là PHI, là những vi phạm dữ liệu do các vấn đề nội bộ với các nhà cung cấp dịch vụ y tế gây ra chứ không phải vì tin tặc hoặc yếu tố khác bên ngoài.

“Không có cách nào hoàn hảo để lưu trữ thông tin, nhưng hơn một nửa số trường hợp vi phạm dữ liệu mà chúng tôi xem xét không phải gây ra bởi các yếu tố bên ngoài - mà là do sự sơ suất nội bộ”, John (Xuefeng) Jiang, tác giả chính và phó giáo sư về hệ thống kế toán và thông tin tại Trường Kinh doanh Eli Broad của MSU.

Kết quả nghiên cứu

Nghiên cứu được công bố trên JAMA Internal Medicine, theo nghiên cứu chung năm 2017 về mức độ vi phạm dữ liệu bệnh viện tại Hoa Kỳ. Nghiên cứu cho thấy gần 1.800 lần xuất hiện các vi phạm dữ liệu lớn về thông tin bệnh nhân trong vòng bảy năm, với 33 bệnh viện trải qua nhiều lần vi phạm đáng kể.

Đối với báo cáo này, Jiang và đồng tác giả Ge Bai, giáo sư tại Trường Kinh doanh Carey của John Hopkins, đã nghiên cứu sâu hơn để xác định các yếu tố gây ra các vi phạm dữ liệu PHI. Họ đã xem xét gần 1.150 trường hợp từ tháng 10 năm 2009 đến tháng 12 năm 2017 đã gây ảnh hưởng đến hơn 164 triệu bệnh nhân.

“Mỗi lần bệnh viện xuất hiện một số loại vi phạm dữ liệu, họ cần phải báo cáo cho Sở Y tế và Dịch vụ Nhân sinh và phân loại những gì họ tin là nguyên nhân”, Jiang, tại Plante Moran Fellow, cho biết. “Những nguyên nhân này được chia thành sáu loại: trộm cắp, truy cập trái phép, bị tấn công hoặc sự cố CNTT, bị mất, xử lý không đúng cách hoặc ‘khác’”.

Sau khi xem xét các báo cáo chi tiết, đánh giá các ghi chú và phân loại lại các trường hợp với các tiêu chuẩn cụ thể, Jiang và Bai thấy rằng 53% là kết quả của các yếu tố nội tại trong các tổ chức y tế.

“Một phần tư của tất cả các trường hợp là do truy cập trái phép hoặc bị tiết lộ thông tin - hơn hai lần số vụ gây ra bởi tin tặc từ bên ngoài”, Jiang cho biết. “Đây có thể là nhân viên lấy PHI về nhà hoặc chuyển tiếp đến tài khoản cá nhân hoặc thiết bị truy cập dữ liệu mà không được ủy quyền hoặc có thể là do lỗi email, như gửi nhầm người nhận, tự động sao chép thay vì sao chép hoặc chia sẻ nội dung không được mã hóa.”

Trong khi một số lỗi có vẻ là thông thường, Jiang cho rằng những sai lầm lớn có thể dẫn đến tai nạn lớn hơn và những lỗi dường như vô hại có thể làm tổn hại đến dữ liệu cá nhân của bệnh nhân.

“Bệnh viện, phòng khám, công ty bảo hiểm, văn phòng bác sĩ nhỏ và thậm chí cả các nhà thuốc đều đang mắc các loại lỗi này và khiến bệnh nhân gặp rủi ro do thông tin cá nhân bị tiết lộ”, Jiang nói.

Trong số các vi phạm bên ngoài, hành vi trộm cắp chiếm 33%, trong đó số vụ tấn công bởi tin tặc chỉ chiếm 12%.

Hậu quả của vi phạm dữ liệu

Trong khi một số vi phạm dữ liệu có thể dẫn đến tác hại nhỏ, chẳng hạn như lấy số điện thoại của bệnh nhân, thì những vụ vi phạm dữ liệu khác có thể gây ra nhiều tác hậu quả nghiêm trọng. Ví dụ, khi Anthem Inc. bị vi phạm dữ liệu vào năm 2015, có đến 37,5 triệu hồ sơ đã bị xâm phạm.

Nhiều nạn nhân không được thông báo ngay lập tức, vì vậy, họ không biết tình hình cho đến khi họ nộp thuế và phát hiện ra rằng họ đã bị lừa đảo tài chính do dữ liệu họ bị thu thập từ Anthem.

Nhà cung cấp dịch vụ chăm sóc sức khỏe nên làm gì?

Trong khi bảo mật phần mềm và phần cứng chặt chẽ có thể bảo vệ dữ liệu khỏi trộm cắp và tin tặc, Jiang và Bai đề nghị các nhà cung cấp chăm sóc sức khỏe áp dụng các chính sách và quy trình nội bộ để có thể thắt chặt các quy trình và ngăn chặn các nguy cơ rò rỉ PHI từ nội bộ bằng cách làm theo một bộ các giao thức đơn giản. Các thủ tục để giảm thiểu vi phạm PHI liên quan đến lưu trữ bao gồm chuyển từ hồ sơ giấy sang hồ sơ y tế kỹ thuật số được lưu trữ an toàn, chuyển sang các chính sách cố định thông tin để thông tin được bảo vệ bởi bệnh nhân và thực hiện mã hóa. Các thủ tục liên quan đến giao tiếp PHI bao gồm xác minh bắt buộc người nhận thư, phải tuân theo giao thức “sao chép so với bản sao ẩn” (bcc vs cc) cũng như mã hóa nội dung.

Tiếp theo, Jiang và Bai dự định xem xét kỹ hơn các loại dữ liệu bị tấn công từ các nguồn bên ngoài để tìm hiểu chính xác những kẻ trộm kỹ thuật số hy vọng lấy cắp dữ liệu bệnh nhân nào.