我们介绍了关于保护患者信息和通过互联网发送的相关数据的问题。我们首先回顾关于医疗保健环境中的数据安全的讨论所必需的三个概念:隐私、机密性和同意。我们正在就如何保护本地数据提供一些建议。通过加密对电子邮件进行身份验证和隐私保护是由Pretty Good privacy (PGP)和Secure Multipurpose Internet Mail Extensions (S/MIME)提供的。事实上,用于加密基于web的信息交换的Internet标准是安全套接字层(SSL),最近被称为传输层安全或TLS。有一个公钥基础设施进程来“签署”消息,其中个人的私钥可以用于“散列”消息。然后可以根据发送方的公钥进行验证。这确保了数据的真实性和来源,而不涉及隐私,被称为“数字签名”。防范病毒的最佳方法是不要打开来自未知来源或包含不寻常邮件标题的电子邮件。
“隐私”是一个定义模糊的术语,在网络环境中,它包括个人有权:
确定收集了关于他们的哪些信息以及如何使用这些信息。有时我们不知道我们的哪些数据正在被收集(例如,通过网站上的“cookie”——参见术语表),也不知道这些数据可能被如何使用。例如,在一个网站上注册(即提供您的姓名、电子邮件地址、医疗注册号等),可以使该网站跟踪您(一个易于识别的个人)在网上浏览或消费的内容。这些信息可能会被传递给第三方。一些网站发布“隐私政策”,试图告知用户,并减少患者或医疗保健专业人员将其隐私置于风险中的机会。
访问有关他们的信息,并知道这些信息是准确和安全的。
匿名性(例如,不跟踪你的网络浏览习惯)。
发送和接收不会被预期收件人以外的人截获或读取的电子邮件信息或其他数据(例如信用卡号码)。加密(下面讨论)是确保这一点的一种方法。
有关互联网上隐私的更多信息,请参见
英国医学协会将保密的道德义务定义为"对个人在职业关系中提供的或关于个人的信息保密的原则" [
为储存及传送个人资料作出适当的保安安排。
在连接网络之前获取并记录专业建议。
确保电脑等设备处于安全区域。
请注意,Internet电子邮件可以被拦截。
就我们的目的而言,“同意”是指个人授权我们根据他们对我们意图的知情理解来处理有关他们的信息的方式。在没有患者明确同意的情况下,在电子邮件或网站上包含可识别的患者信息将构成对机密的违反。征得同意应包括让患者了解对其隐私的任何风险以及保护隐私的适当安排。因此,可识别的患者信息可以在患者知情同意的情况下通过互联网传输,并考虑到GMC(或同等专业机构)的建议和既定原则,如Caldicott的原则(见
关于可识别的患者信息:
说明使用保密信息的目的。
只有在绝对必要时才使用它。
使用所需的最小值。
访问权限应在严格的“需要知道”基础上进行。
每个人都必须明白自己的责任。
理解并遵守法律。
个人资料必须是:
公平合法地处理
为有限目的处理
适当的,相关的,不过分的
准确的
保存的时间不会超过必要的时间
根据数据主体的权利进行处理
安全
没有被转移到没有足够保护的国家。
有关更多信息,请参见:
无法识别个人身份的信息可能已被“匿名化”(删除标识符)或“聚合”(来自多个个人的数据被汇总)。The requirement for consent to transmit or place such information online in this event is less certain, but perhaps prudent, although such non-personal data are not subject to legal restriction (i.e. the Data Protection Act).
安全往往是丑闻的产物。几年前,美国中西部的一家银行收购了一家医院,并收购了医院的医疗记录。它冷静地将记录与个人银行账户进行了比较,并取消了所有被诊断患有癌症的账户持有人的贷款。这是一个商业的、简单的、无知的、残酷的例子,证明了医疗数据落入坏人之手可能造成的损害。如今,计算机“安全”通常被认为是指阻止黑客(那些试图未经授权访问计算机的人)和其他麻烦制造者获取你的私人数据。但如果这些麻烦制造者是系统的一部分,甚至是系统的所有者呢?
显然,简单的“警察和强盗”模型并不能提供足够的保护,这突出了在多个层面上确保数据安全的必要性。这些风险包括内部风险、外部风险和随机风险,并可能导致数据损坏、伪造、丢失或泄漏。将您所连接的系统想象成从您的键盘到接收者的数据流,并考虑过程中的风险,这是很有帮助的。
甚至在您连接之前,您的数据就处于危险之中。显然,你不希望你的联网临床系统或家用电脑被烧毁、被淹、被盗、被闪电击中、被第三方软件损坏,或者被未经培训的人员或不适当的人访问。您需要正确地备份它,保管备份,并定期从备份中重新构建系统,以便您知道如果需要它,它会正常工作。
确保当你离开你的终端或电脑一段合理的时间后,它处于注销状态。在这种情况下,大多数系统都可以设置为默认情况下自动注销,这很有意义。确保你的屏幕只向有权查看的人显示信息。
如果你在工作时连接到互联网(例如通过NHSnet),你可能希望确保你的电子邮件服务器对共享地址簿有中央控制,只有有限的访问权限来更改它和回复外部地址。这样做会阻止员工在工作时使用电子邮件与朋友交谈,这不仅降低了工作效率,还为病毒(见下文)和其他不受欢迎的材料提供了途径。
适当的建议及对策详列于别处[
将计算机连接在一起意味着您可以访问其他人的数据,但这不可避免地会允许其他人访问您自己系统上的数据。在个人电脑或网络连接在一起之前,它们就像电子数据的“岛屿”。数据岛的安全性很简单:可靠的边界将所有未经授权的进入者困住。但是,当您通过创建网络链接来构建桥接时,这种方法本身是不够的。当一台计算机连接到互联网时,它就失去了“边界”的完整性,从而失去了岛屿的地位。连接的任何潜在好处都必须与您自己数据的风险进行权衡。在医疗保健环境中,这些数据通常具有高度敏感性。即使是连接家用电脑也可能暴露你希望保密的数据,比如银行详细信息。
为什么要以如此开放的方式联系呢?为什么不将连接限制为“朋友”呢?换句话说,为什么我们不通过可信的网络链接只连接到可信的计算机,从而扩展我们自己的可信计算基础?进入内网。内部网适用于具有强制安全策略和严格人员控制的小型组织——这在大型健康服务中并不总是能够实现。它们本质上是限制性的,因为通过排斥实现的安全与网络在互联世界中增强医疗通信的潜力相冲突。内部网可能会提供一种虚假的安全感:由于电子小偷攻击链中最薄弱的环节,安全措施必须反映这一点。因此,一个适当安全的内部网需要这样的东西:为终端设置上锁的房间,对终端访问进行生理检查,以及装甲的、加压的电缆,以检测电缆的敲击。
虚拟专用网络(VPN)模糊了公共网络和私有网络之间的界限,它使用“隧道协议”和加密(见下文)通过Internet等公共网络发送私有数据。尽管通信方不需要投资专用网络基础设施,但他们无法控制所使用的网络,也无法保证服务标准。缺乏可互操作的实现是迄今为止部署vpn的主要障碍[
正如您不允许任何人偷听您的电话谈话一样,您也需要注意您的Web浏览会话和电子邮件交换。为此,您需要一个防火墙,以防止对您的系统造成损害。These software or hardware devices operate by recognizing the IP address that a message or system query comes from, and only allowing past those that are recognized as `good' or trusted. With the advent of higher-risk `always on' Internet connections, firewall solutions of varying complexity are readily obtainable.
无论您是连接到英国国家公共服务网络还是互联网,您的数据在传输过程中的安全威胁都是相同的;数据可能会丢失、延迟交付、损坏或受到攻击。对于损失或迟到,个人可以做的很少,但损害或攻击可以处理。您应该假设可以获得线路(或其他网络基础设施)——事实上确实可以——因此必须给您的数据一个隐喻的信封,以保持其完整性和隐私性。这正是密码学所能做到的。
保护传输中的消息的一种流行技术是所谓的非对称公钥基础设施(PKI)密码学。Alice和Bob(他们希望交换消息)各自使用一种基于非常大的素数的算法,通过输入一个密码短语来生成两个独立但相关的数字。两者最终都有一个字母数字代码,形成他们的“公共”密钥(他们发布的),以及一个字母数字代码,形成他们的“私有”密钥(只有他们自己知道,并由他们的密码短语表示)。如果Alice希望向Bob发送消息,她会找到他的公钥(通常是从目录中),写入消息,并将数据加密(地址)到Bob的公钥,从而产生一组唯一的数字数据。Bob以加密的形式接收数据,并使用他的私钥将数据提取回Alice的原始文本消息中。此过程说明在
在实际应用中,这比听起来要容易,并赋予数据的完整性(数据没有被操纵)、真实性(发送者的身份是已知的)、不可抵赖性(数据不能被否认)和隐私。任何干扰或破坏内容的尝试都会打乱数学运算,信息会变得难以理解,从而警告接收者不要相信它。如果密钥持有者的身份验证是以一种专断的方式进行的,那么消息的来源身份验证也得到了保证。如果只有Alice知道使交换生效的私有短语密钥,那么只有Alice可以发送消息。
通过加密对电子邮件进行身份验证和隐私保护由Pretty Good privacy (PGP)和Secure multi - purpose Internet Mail Extensions (S/MIME)提供,这两个都是提议的互联网标准。
使用公钥/私钥对加密消息有助于确保在传输过程中受到保护
当我们向浏览器可访问类型的电子病人记录迈进时,将出现保护数据交换免受泄漏和攻击的需求。互联网银行和商业的广泛应用开创了一个先例,其中必然涉及机密信息的传输。基于web的信息交换加密的事实上的互联网标准是安全套接字层(SSL),最近被称为传输层安全或TLS [
Web上的身份(认证)保证目前需要使用第三方证书颁发机构(如VeriSign Inc.)提供的证书:
英国读者应该注意到,NHS有自己的加密策略:
有一个更简单的PKI过程,使用上面提到的相同算法来“签署”消息,其中个人的私钥可以用于“散列”消息。然后可以根据发送方的公钥进行验证。这确保了数据的真实性和来源,而不涉及隐私,被称为“数字签名”。该过程如图2所示。在英国,《2000年电子通讯法例》为认可数码签署提供了法律架构[
使用公钥/私钥对验证数字签名
病毒是插入到计算机文件中的小段代码,通常带有恶意。受感染的文件可能会造成麻烦或数据丢失。理论上,你从互联网上下载的任何文件都是潜在的载体。病毒也可能存在于电子邮件附加的文件中(但不能通过纯文本电子邮件本身传播)。有许多抗病毒程序(有些是免费的)可以在电脑上被激活或有机会“复制”之前筛查并帮助你消除受感染的文件。当您使用受感染的程序时,有些病毒会被激活;另一些则只要求您查看受感染的文档。一个ntiviral programs act like the body's immune system in that they are always on the lookout for `foreign' material--in this case, foreign program code. However, even if your software is regularly updated it won't catch all viruses (especially new ones). Security should be based on the sound sense of not opening e-mails from unknown sources or those containing unusual message headers.
在一个互联的世界里,保护个人数据不太需要高科技应用程序或硬件,而是需要精心管理员工和相对常见的技术,以确保应对简单、频繁的风险。坚决的犯罪分子或政府机构会以某种方式获得访问权限,但对医生来说,重要的是确保我们以适合21世纪的方式处理我们收集的关于患者的数据。
这篇论文最初是作为一本书的章节发表的,在:布鲁斯c.麦肯齐(编)。医学与互联网,第三版牛津大学出版社,2002 http://www.oup.co.uk/isbn/0-19-851063-2转载经出版商善意许可。
没有宣布。