埃及信息学杂志22(2021)177审查电子健康记录的安全性和隐私性:问题和挑战Ismail Keshtaa,Israel,Ammar Odehba沙特阿拉伯利雅得AlMaarefa大学应用科学学院计算机科学和信息系统系b约旦安曼苏马亚公主技术大学计算机科学系阿提奇莱因福奥文章历史记录:收到2019年2020年7月9日修订2020年7月24日接受2020年8月4日网上发售保留字:电子健康记录隐私保密安全A B S T R A C T电子病历(EMR)如果被医疗机构采用,可以为医生、患者和医疗服务提供许多好处但是,对与患者信息相关的隐私和安全性的担忧保护大量在不同位置以不同形式敏感的健康数据是EMR的一大挑战本文提出了一个审查,以确定卫生组织它显示了在医疗保健环境中发生的IT安全事件该审查将使研究人员能够了解这些安全和隐私问题以及可用的解决方案©2021 THE COUNTORS.由Elsevier BV代表计算机和人工智能学院发布开罗大学法律系这是一篇CC BY-NC-ND许可证下的开放获取文章(http://creative-commons.org/licenses/by-nc-nd/4.0/)上提供。内容1.导言. 1772.对电子健康记录的隐私和安全的关注1793.当前EHR系统的安全和隐私功能1804.医疗保健环境中的信息技术安全事件1825.结论和今后的工作182竞争利益声明致谢182参考文献1821. 介绍电子健康记录被定义为由健康护理提供者保存的患者病史的电子版本*通讯作者:沙特阿拉伯利雅得AlMaarefa大学计算机科学与信息系统系。电子邮件地址:imohamed@mcst.edu.sa(I.Keshta),a. psut.edu.jo(A.Odeh)。开罗大学计算机和信息系负责同行审查。在一段时间内,它包括与特定提供者给予个体的护理一致的所有重要的管理临床数据,例如人口统计学、进展报告、问题、药物治疗、重要体征、病史、免疫报告、实验室数据和放射学报告[15]。使用在大多数健康护理设施和组织中,纸张作为记录健康数据的手段已经导致了广泛的纸张痕迹,并且大多数组织已经对从基于纸张的健康记录转变为电子健康记录产生了兴趣。 Carey等人[14]解释说,综合健康记录非常有效,具有更多好处,例如降低成本,提高医疗保健质量,促进循证医学的使用,帮助记录保存并确保记录的流动性。为了保持有效,电子健康记录系统必须满足以下要求:https://doi.org/10.1016/j.eij.2020.07.0031110-8665/©2021 THE COMEORS.由Elsevier BV代表开罗大学计算机和人工智能学院出版。这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。制作和主办:Elsevier可在ScienceDirect上获得目录列表埃及信息学杂志杂志主页:www.sciencedirect.comI. Keshta和A. Odeh埃及信息学杂志22(2021)177178一些要求,如实现完整的数据,故障恢复能力,高度可用性和与安全策略一致[4]。然而,有一些因素阻碍了电子健康档案的应用。它们包括资金技术、组织的某些方面和态度。由于预期的好处,许多政府已经对使用集成电子健康记录表现出兴趣;例如,美国政府在2004年做出决定,大多数美国人将在2014年之前连接到电子健康记录系统[31]。后来,2009年的《美国复苏和再 投 资 法 案 》 ( American Recovery and Reinvestment Act of2009)包括拨出总计190亿美元用于美国医疗记录的数字化。同样,根据2010年举行的高级别电子卫生会议,欧盟国家计划确保在2015年之前建立一个共同的欧盟国家的目标是共享患者电子健康记录数据,以实现优质高效的医疗服务[12]。然而,在制定政策以解决从使用纸张存储健康记录转变为也可以集成的电子健康记录所引起的隐私问题方面做得很少[55]。此外,信息和通信技术的发展导致了一种情况,即患者的健康数据正在影响安全和隐私威胁。目前,受保护的健康数据的隐私和安全性存在很多问题,这些问题是实施电子健康记录的最大障碍;因此,卫生组织需要找到可以帮助他们保护电子健康记录的策略[46]。电子健康档案也被称为电子医疗档案。电子病历(EMR)和他们的使用越来越受欢迎的主题下的电子健康[1]。电子医疗记录包含患者的健康相关数据,并被归类为电子健康应用的主要因素。电子病历是指在医院环境下形成的合法的病历记录。 这些数据被用作电子健康记录的主要数据来源[1]。即使医院在日常服务中使用电子病历系统,但卫生保健专业人员的经验使他们不能完全信任该系统。阿尔巴赫里[3]解释说,术语电子健康在21世纪初出现,它涉及利用现代信息和通信手段有效管理电子健康需要多学科团队,包括电信,仪器仪表,计算机科学,以实现更广泛的地理区域之间的医疗数据交换[39]。电子保健的使用使用户能够有更广泛的思维,并使医疗保健提供者能够有效地建立网络[35]。改善医疗保健具有诸如提高医疗保健操作的效率和提高向患者提供的医疗保健服务的质量等益处。‘Electronic medical record’ and ‘electronic health record’ areseparate terms that contains patients’ health related informationand is the basis of e-health application 这些记录对所有卫生专业人员都很有用[49]。电子健康记录允许利益相关者之间非常容易地共享医疗信息,并且在患者接受治疗时可以访问和更新患者信息。Alsalem等人[5]解释说,健康信息技术可以大大提高效率,患者安全和医疗保健结果,同时降低成本。EHR可以通过数字化数据系统来节省成本,并具有提供医疗数据的中心位置[5]。然而,长期以来,卫生统计主要是纸质记录。然而,在过去的三十年里,随着卫生信息技术的日益应用,发生了巨大的变化。文献已经讨论了来自信息和技术趋势的安全问题,例如在第三方云服务提供商运营的远程服务上保存健康记录[1,23]。健康信息技术是指用于存储、访问、处理、共享和传输健康信息或支持医疗保健提供和医疗保健系统管理的所有信息技术系统。健康信息技术包含的信息非常敏感,这些信息包括与患者检查、诊断、治疗相关的数据因此,确保这些信息的安全是非常重要的,这样,考虑到道德和法律责任,这些信息就不会被操纵,从而使患者能够继续分享与其健康和工作有关的信息。然而,确保健康记录的安全性受到健康信息技术环境的动态性的负面影响[57]。电子病历系统需要解决的常见问题是隐私、安全和保密性[2]。虽然安全和隐私密切相关,但它们在真正意义上是不同的。隐私权指的是某人必须自行决定何时、如何以及在何种级别上将访问个人信息转移或共享给他人,而另一方面,安全性被定义为限制访问某人的个人信息的级别在没有权限的情况下传输或共享敏感的健康数据可能会导致数据泄露。在许多情况下,通过在整个电子医疗基础设施中发生的不可预防的系统识别以及通过关注医疗保健工作者和患者行为的中央技术和各方,隐私也可能被破坏[57]。然而,在某些情况下,政府,雇主,制药公司,研究人员和实验室可能有正当理由访问患者的健康记录,以便获得一些数据,在此过程中,医疗保健提供者可能会意外或故意滥用健康记录访问[17]。Dehling和Sunyaev[21]还提出,三个基本的信息技术安全要求是机密性、完整性和可用性。保密可以定义为在存储、传输或处理期间将信息限制给无权访问数据的人员。可通过数据加密等技术手段或通过控制访问系统来实现保密。自信也可以通过道德倾向来实现,比如职业沉默[13]。然而,它是由[21]虽然加密主要用于通过暴露的网络发送的健康数据,但它很少应用于存储在移动设备和其他存储介质中的数据[21]。 保密的需要是对隐私问题的回应,隐私问题在医疗保健部门也非常重要,因为他们携带的患者和客户的数据非常敏感。Dehling和Sunyaev[21]提到,机密性确保信息受到保护,不会被授权用户未经授权的删除或修改以及不希望的修改。另一方面,可用性确保系统可以在授权人员需要使用它们的任何时刻被访问并完全运行。可用性意味着从可扩展性到弹性以及在数据因任何原因丢失的情况下数据的可恢复性的许多方面[21]。医生通常非常担心未经授权的人可以访问存储在电子医疗记录系统中的患者信息并滥用信息,从而导致违反患者Wikina[62]认为,医生比患者本身更关心安全和保密问题。大多数医生-I. Keshta和A. Odeh埃及信息学杂志22(2021)177179使用电子医疗记录的医生比电子医疗记录更喜欢纸质记录,因为他们认为纸质记录更安全和保密。这表明电子病历的隐私和安全问题受到了高度重视。如果患者的隐私没有得到保证,他们可以决定保留这些信息以防止不当使用[34]。因此,许多国家正在通过应用信息技术改革其医疗保健服务[42]。信息技术的使用帮助个人提高了他们的护理经验,改善了人群的健康状况,并降低了医疗保健成本[56]。目前信息技术的发展导致了数字化的健康记录,因此创造了一种新的或改进的方法来成功地收集,处理,存储,咨询和共享健康信息。数字化的健康信息更便于携带,可以在卫生保健组织之间共享,更容易为进行健康调查制定政策的公共卫生管理人员所用,也可供患者使用。到目前为止,大多数文献都表明数字化系统对医疗保健结果的积极影响[42]。然而,这些数字化的健康信息使健康记录暴露于与信息技术相关的安全漏洞[43]。健康信息技术的潜在用户非常关注与信息技术相关的安全和隐私,这对电子健康记录的信任产生了负面影响[43]。医疗保健专业人员和患者的信任度下降可能不完全欢迎使用电子健康记录,因此威胁到信息技术的重要性[43]。 这可能会导致无效的医疗保健服务[41]以及公共卫生监测或卫生研究[59]。Liu,Musen Chou[47]建议,在实施之前,必须充分存储在EHR中的信息非常敏感,因此,《经济和临床健康健康信息技术法案》和《健康保险便携性和责任(HIPAA)法案》启动了许多安全功能[24]。HIPAA概述了三大支柱,通过应用行政保障措施、物理保障措施和技术保障措施,确保受保护的健康信息保持安全[36]。这三大支柱也被称为医疗安全保障主题,它们的范围从保护计算机位置的技术值得注意的是,电子健康记录在许多发展中国家得到越来越多的使用,因为它不仅提高了医疗质量,而且具有成本效益。诸如此类的技术可能会产生危险,因此,保护系统中存在的信息的安全是一个真正的挑战。安全漏洞最近引起了人们对该系统的担忧。 尽管它变得越来越有用,人们对其采用的热情也越来越高,但很少有人关注可能因此而产生的安全和隐私问题。因此,作者对公共学术文献中报告的与EHR系统的隐私和安全功能相关的所有相关问题进行了深入分析,使用从ISO27799标准开发的比较框架。文献已经确定,从各种供应商获得的EHR解决方案通常具有一组已经具备的安全和隐私能力,并且当前的问题只能通过分析用作EHR的特定真实解决方案此外,作者坚信,如果在已出版的学术文献中发现的隐私和安全建议得到强调和分析,它们随后可以被用作可能的代理。真正的EHR隐私和安全建议。这项研究也可以为利益攸关方提供有用的信息,医疗保健系统以及其他机构需要实施、选择、开发和使用一些特定的电子健康记录,以增强所涉及患者的隐私和安全性。本文件同样适用于负责监督医疗保健部门信息系统安全和隐私的保管人。本论文亦可供其他学者参考,探讨如何在电子健康记录系统中加强病人的安全和隐私。本文件其余部分的组织如下。第2节强调了对电子健康记录隐私和安全的关注。第3节介绍了当前EHR系统的安全和隐私功能第4节说明了医疗保健环境中的信息技术安全事件最后,第五节将讨论本文2. 关注电子健康记录的隐私和安全许多调查报告了许多关于健康信息公开的问题Win[63]表示,近三分之二的客户关注个人健康记录的隐私,只有39%的受访者认为他们的健康数据是安全的。在某些情况下,受访者既不担心其数据的安全性,也不相信其数据是安全的[45]。Perera等人[52]进行了一项研究,其中一半的受访者解释说,他们对数据的安全性感到担忧,因为数据必须通过互联网传输。在Ancker等人进行的一项研究中,近一半的研究参与者认为交换他们的健康信息可能会恶化他们的健康信息隐私。与此同时,一些旨在调查个人对信息隐私的关注的研究意识到,他们在实现成功的电子健康记录技术中是必不可少的。物联网的隐私和安全挑战始于物联网网络的特定特征,这些特征使它们以自己的方式独特这些特征是异构性、不受控制的环境、受约束的资源以及对可伸缩性的更大需求。即使是最小的处理器平台目前也有一个非常好的加密引擎和足够的程序存储器来实现相关的安全功能。Lafky Horan[45]提出了物联网系统的安全要求,这取决于其独特的功能,并将这些要求分为以下设置:身份管理,网络安全,弹性和信任,最后是隐私。在这种情况下,作者特别考虑了研究界广泛提出的物联网架构,并分析了几种架构是否符合所需的安全措施。批判性分析表明,虽然没有一个架构涵盖了所有的安全需求,但还是认真考虑了几个安全需求[45]。最不受欢迎的是信任和隐私要求。只要存在计算机,就存在一个完全被接受的信息技术安全模型,该模型基于最期望的安全特征,通常缩写为CIA,机密性(例如试图防止对相关数据的任何形式的未经授权的访问),完整性(试图确保给定的数据不会以任何方式更改),最后是可用性(确保数据可以在任何需要的时候访问)。这三个属性已经以三角形的形式进行了深入的描述,其中属性被放置在顶点处。几十年来,该模型已经被修改了几个可能的主要属性,虽然非常主要的属性,CIA,I. Keshta和A. Odeh埃及信息学杂志22(2021)177180一直保留下来一些尚未充分突出的事实是,这三种性质不能以同时的方式完全实现,因为它们被认为是相互排斥的。例如,在提供相同数量的资源的情况下,不可能在不损害准确性、保密性或甚至两者的情况下提高总体可用性。对于一般的信息处理计算机系统,传统的安全性主要集中在所述属性的整体机密性上,尽管对于嵌入式系统以及物联网的一些系统,人们可以认为其他两个方面是最关键的,或者甚至更重要的是它在办公信息系统中[38]。另一个重要的观察是,在大多数情况下,方法的差异严重影响了标准IT系统和控制系统管理员之间Whetstone Goldsmith[61]证实,个人对其医疗记录的隐私和安全性的信心对他们建立电子健康记录的士气产生了积极的影响。Bansal等人[11]证实,对隐私的担忧对在线共享其健康信息的意图产生了负面Anderson Agarwal[8]进行的另一项研究确定,健康信息隐私问题对个人在提供个人健康信息方面的合作意愿存在另一方面,Dinev等人。[22]发现人们对健康信息隐私的关注与他们对电子健康记录的态度之间存在不良关系Angst Agarwal[9]也对接受电子健康记录得出了相同Ermakova等人[25]进行的一项研究表明,对健康信息隐私的担忧降低了患者允许医疗保健提供者在使用云计算技术时共享其医疗数据的意愿。隐私问题的存在使得信任在选择医疗保健时变得比折扣更重要,除了二次使用的情况Kuo等人[44]进行了一项研究,其结果证实,存在关于信息隐私保护响应(IPPR)的健康信息隐私的担忧,例如患者拒绝向医疗保健提供者提供其个人信息、向医疗机构伪造患者个人信息、要求删除患者个人信息、向其朋友发表负面言论、直接向医疗机构投诉、间接向第三方组织投诉Rohm和Milne[54]认为消费者与包含一般信息的列表相比,如果组织获得包含个人病史的列表,则增加。Zulman等人的一项研究[64]报告说,个人对共享其电子健康信息的偏好取决于要共享的信息类型。King等人[40]还认识到,有关隐私的问题因健康记录的具体项目而异。据证实,在保健设施中,人们更关心的项目包括不孕不育问题、堕胎、性传播疾病以及其他直接影响其家庭的问题。人们对健康记录上的一些信息,如宗教信仰、出生日期、血型、语言、性别、血压状况和癌症状况,表现出相对较低的隐私关注。3. 当前EHR系统安全保障的三个主题,即物质、技术和行政,已被用于分析一些的研究。这些主题包括医疗保健管理部门使用的一些安全策略,以提供更多的安全性,以安全的健康信息是在电子健康记录。行政保障的主题是第一个保障,包括相关的技术,如执行审计,雇用负责信息安全的官员,并提出应急计划[62]。这个主题有保障措施,重点是有一个符合安全程序和政策。另一个主题是物理保障措施,包括组织保障措施中列出的技术,此外,它还侧重于物理保护健康信息,使其软件或硬件不被未经授权的人员或可能滥用它们的人访问[62]。违反物理保障措施是安全破坏的主要原因之一,在总体上排名第二[47]。物理保障措施下的技术的例子包括指定安全角色[46]。技术保障是第三类主题,它们对卫生组织网络中的整个信息系统进行保护[47]。这一主题对于确保组织的安全至关重要,因为大多数安全漏洞都是通过使用计算机和其他可转移的电子设备通过电子媒体发生的[47]。这个主题已经得到了安全技术,如使用防火墙和加密,病毒检查和用于验证信息的措施[46]。然而,Lemke[46]认为防火墙和密码学是最常用的安全技术。其他值得注意的安全技术也被使用,包括防病毒软件,首席信息安全官和云计算,尽管它们的实施取决于预算[27]。从Liu等人的研究中。[47],人们意识到有物理保护措施,例如用于防止盗窃的物理访问控制,例如在计算机上使用锁,以及通过使用防火墙和加密来防止电子漏洞的技术保护措施。Amer[6]通过基因组信息和电子健康记录的伦理应用进行了信息学研究。他意识到加密可以提供技术保障,而行政保障则使用去识别收集的样本或研究的安全技术。技术保障也可通过防火墙实施;加密和解密,而通过实施全面的教育和安全计划以及聘请首席信息安全官来解决行政安全问题[37]。Wikina[62]提到,行政保障措施涉及管理人员批准发布包含患者信息的纸质数据,并就如何应对丢失的记录进行培训,而物理保障措施涉及安装安全摄像头。现代技术越来越先进,医疗保健组织也不断成为违反安全的目标。对于组织来说,坚持新技术和威胁并非常认真地进行风险管理非常重要,包括临床工程信息技术社区;美国临床工程学院;以及医疗保健信息和管理系统协会等组织[37]。以上列出的风险评估和管理步骤以及指定的组织确保医疗保健组织在电子健康记录中形成患者信息方面处于领先地位。认识到RFID应用带来的安全和隐私优势的医疗机构正在增长。RFID技术的一些示例包括在RFID标签内存储数据这些技术通过仅允许少数授权个人访问信息的限制提高了隐私和安全性[37]。充分利用首席信息安全官I. Keshta和A. Odeh埃及信息学杂志22(2021)177181可以帮助管理和协调电子健康记录中的所有安全方法和举措[37]。Firefox的使用是用于为医疗机构的信息技术系统提供保护的技术之一[18,19]。Firefox在保护组织的网络和确保现有网络上的健康信息受到保护方面非常有效。Firefox在保护企业免受可能干扰其信息网络的威胁时被用于内部和外部。它们以不同的形式出现[47]。使用等级网关是第三类防火墙。当IP网页在传递给最终用户之前被扫描是否存在任何威胁时,它们在组织的网络中起着看门人的作用。状态检查防火墙的外部网络连接可通过网关访问,从而防止外部网络进入组织提交平等网关已经成功地保护了电子健康记录,因为它们阻止黑客直接进入系统并获得受保护的健康信息。这组防火墙不容易被组织应用,因为它们的复杂性和所涉及的高成本,因此有必要对整个组织进行外部和内部分析,以确定防火墙是否适用于每个组织。最后,我们有一组防火墙,称为网络地址转换器。它通过隐藏组织的内部网IP地址来帮助他们,网络地址转换器在组织的内部网和局域网之间建立了屏障。虽然防火墙在确保电子健康记录的安全方面非常有效,但应用其避难策略的所有四个步骤仍然非常重要。这些步骤的顺序包括服务控制、方向控制、用户控制和行为控制[62]。一般来说,在使用任何形式的防火墙之前,组织必须进行全面的需求评估、萌芽评估和组织外部和内部的威胁评估,这一点很重要。一个组织没有进行上述评估或评估不完整四个安全计划中的任何一个都可能对患者电子健康记录的安全性甚至组织的整个信息系统产生负面影响密码学一直被用作一种保护或保护电子健康记录。加密技术的使用提高了电子健康记录在交换健康信息过程中的安全性。交换健康信息的过程有规范,要通过标准来遵循,这些标准通常要求在启用或禁用预防措施时记录组织要完成的交换程序[60]。《健康保险可携带性和责任法案》(HIPAA)设计了加密技术用于保护健康信息的方法[20]。2003年,美国卫生与公众服务部制定了《结论性规则》[58],HIPAA扩大了其安全标准。结论性规则使HIPAA能够扩展组织解密在确保患者的电子健康记录安全方面很有用[62]。数字签名的使用解决了当患者检查他们的个人信息时违反受保护的健康记录数字签名已被有效地应用于防止安全漏洞。电子健康记录变得更容易访问和安全,通过保护移动代理的患者数据,从一个设施传输到另一个[46]。使用用户名是另一种形式的密码术.它们可以通过将个人隐私集成到密码,并提倡密码用户经常更改这些密码[46]。必须避免使用常用的名称和日期,以防止黑客推测设置的密码。应用用户名和密码安全技术在实现控制的情况下是有用的。基于角色的控件,通过应用系统管理员创建的用户名和密码来限制用户访问数据。这种技术不能有效保护电子健康记录中的信息免受内部威胁[46]。一旦员工通过系统登录,必须进行记录,以确保未经授权的人员可以看到不断减少的健康事实[46]。其他常用的安全技术包括安装防病毒软件、云计算、初步风险评估排序器、雇用首席信息安全官和射频识别(RFID)[43,50]。远程患者监护(RPM)是另一项正在使用的新技术以确保电子健康记录中的记录的隐私和安全。在这种情况下,不同类型的传感器用于在家中执行对患者的重要体征的监测。他们使用可以佩戴或植入的传感器。这些传感器通过无线通信将信息发送到位于患者住所内的本地基站。该站确保信息得到评估并发出信号当与设定的正常限值存在差异时,中央监测站。然后,医疗保健提供者能够在报警后采取必要的措施来帮助患者。远程患者监护技术最适合的一些情况包括痴呆症、糖尿病和充血性心力衰竭。实施这些新技术可以在医疗保健领域带来许多进步,尽管有《健康保险携带和责任法案》(HIPAA)等法规,但它也会干扰个人隐私。电子健康记录的数据是通过互联网或无线连接以电子方式传送的,因此可能会遇到窃听、数据盗窃和数据滥用等威胁。最终,挑战包括严重的社会影响,例如雇主因雇员的医疗条件而不雇用或解雇他们,保险公司拒绝为病人提供保险技术的日益广泛使用导致了大量的研究在云计算上进行,以便集成到EHR系统中。云计算创建的基础设施使人们能够执行电子分配和信息共享,即存储和计算能力的“租用”。通过这种方式,医疗机构能够通过移动所有权来减少建立EHR系统的花费,从而避免维护成本,同时结合加密程序[43]。尽管云计算平台看起来很有前途,但防病毒软件是一种更常用的安全措施。Achampong[1]还指出,来自IT趋势的安全问题,例如在第三方云服务提供商运营的远程服务器上托管健康记录[33]。HITECH法案强调必须始终报告2009年的数据泄露事件,以及报告数据泄露时应使用的特定协议;例如,该法案要求实体在超过500人的数据泄露事件中发布具体细节[62]。通过HITECH法案,医疗保险和医疗补助服务中心(CMS)的受益人必须在2015年之前使用EHR,以便获得全额补偿。在2015年之前使用EPR的人以及未能在截止日期前接受处罚的人都收到国家协调员办公室(ONC)制定了三个“有意义的使用”阶段,这些阶段应该由使用EHR的有意义的使用评估了一个实体在使用EHR时与早期文档方法相比的水平[47]。I. Keshta和A. Odeh埃及信息学杂志22(2021)177182由于IT相关的安全问题,一直提出了随着时间的推移,医疗保健提供者实施HIT需要建立一个适当的安全系统。 该系统是一组安全机制,应该根据安全策略来完成,该策略通常包含允许或拒绝可能的动作,事件或与安全相关的任何内容的立法。一般来说,信息技术安全政策确保组织的IT资产(包括数据、人员、硬件和软件)是保密的,具有完整性,并符合所需的标准[53]。4. 医疗保健环境中的信息技术安全事件Infosec研究所报告说,近年来电子健康记录的采用显着增长并没有受到网络安全措施的保护,因此使医疗保健行业受到网络威胁的大量损害[51]。该报告得到了医院环境中经历的信息技术相关事件的其他报告的更多支持。信息安全媒体集团(2014)的一项调查结果表明,在美国75%的受调查医疗保健组织中,至少有一次影响不到500人的安全漏洞,21%的受调查医疗保健提供者至少有一次影响超过500人的事件[30]。医疗信息和管理系统协会(2015年)发现,在美国接受调查的医疗机构中,有68%的人表示他们最近经历了重大的安全事件[32]。这些报告的安全事件来自内部威胁(53.7%)和外部威胁(63.6%的医疗保健组织)。与IT相关的安全漏洞可能比报告的案例更多,考虑到还有其他未被发现或评估不佳的事件[30],以及组织可能少报安全事件[48]。有文件显示,医疗保健中的安全漏洞可能非常昂贵;例如,AbsoluteSoftware Corporation报告称,医疗保健数据泄露事件导致医院支付高达25万至250万美元的和解金。这只是这些事件造成的总体财政负担的一小部分[30]。对安全和隐私的担忧以及对相关责任的恐惧阻碍了医疗保健提供者使用信息和技术来改善其服务。因此,至关重要的是, 组织 改善 其在 医疗保 健设 施中的 HIT 安全 和 Liu , MusenChou[47]解释说,安全和隐私问题可以由愿意应用信息和技术来改善其医疗保健服务的组织解决,方法是制定符合其信息和技术发展计划的IT然而,一些研究发现,与外部威胁相比,内部威胁很难解决,因为内部威胁是由授权人员完成的,因此识别罪犯变得非常困难。信息和通信技术(ICT)帮助患者将其角色从传统的被动接受医疗服务者转变为更积极的角色,了解他们的健康记录,做出选择并参与决策过程[63]。这增加了对发行者和数据主体应享有的自由程度的挑战。通过在电子健康记录技术中实施隐私和安全以及问责制和密钥管理,可以解决一些已确定的挑战最近,安全和隐私已经导致了在电子健康记录的实施中的很多关注。5. 结论和今后的工作目前的工作已经进行了文献综述有关的安全和隐私的电子健康档案系统。本文分析了不同的安全和隐私以及使用电子健康记录所产生的问题,并探讨了潜在的解决方案。从文献中可以明显看出,电子健康记录允许在授权的医疗保健提供者之间容易地共享结构化的医疗数据,从而提高向患者提供的医疗保健服务的整体质量电子健康的使用使用户有更广泛的思维,并允许医疗保健提供者有效地联网。电子健康记录允许在利益相关者之间非常容易地共享医疗信息,并且在患者经历治疗时访问和更新患者信息然而,在这样的系统中,基于如果敏感信息被披露给第三方,患者可能面临严重问题的事实,安全和隐私问题是非常重要的根据所审查的文章和所分析的安全领域,很明显,电子健康记录中使用了与隐私和安全相关的不同法规和标准然而,需要对这些制度进行协调,以解决标准之间可能出现的冲突和不一致各种文章已经提出了许多加密算法。我们强烈建议在最新的电子健康记录上采用医护人员和病人都可以轻松应用的有效加密方案。电子健康档案系统中的访问控制模型首选RBAC,而最好的认证机制是密码/登录和数字签名。有效地管理电子健康记录需要多学科团队,包括仪器、仪表和计算机科学,以便在更广泛的地理区域内交换医疗数据。竞争利益作者声明,他们没有已知的竞争性财务利益或个人关系,可能会影响本文报告的工作。确认作者要感谢AlMaarefa大学在进行这项研究工作时提供的支持引用[1] 阿占蓬湾电子健康记录(EHR)和云安全:当前的问题。IJ- CLOSER2014;2(6):417-20.[2] 在高速计算时代满足电子医疗记录的安全要求。JMed Syst 2015;39(1):165.[3] Albahri OS等人,分类和基于优先级的传感器技术中实时远程健康监测系统的系统综述:分类学,开放挑战动机和建议。医学系统杂志2018;42(5):80。[4] Allard T , Anciaux N , Bouganim L , Guo Y , Folgoc LL , Nguyen B , et al.Securepersonal data servers:a vision paper. PVLDB 2010;3(1-2):25-35。[5] AlsalemMA等. 急性白血病自动多分类检测和分类系统在评价和基准、开放性挑战、问题和方法学方面的系统评价。医学系统杂志2018;42(11):204。[6] Amer K.信息学:基因组信息和电子病历的道德使用,美国护士协会2015年;20(2)。[7] AnckerJ,Silver M,Miller M,Kaushal R. 消费者对健康信息技术的体验和态度:一项全国性调查。美国医学信息学杂志2012;1:152-6。I. Keshta和A. Odeh埃及信息学杂志22(2021)177183[8] 安德森C,阿加瓦尔R。医疗保健的数字化:边界风险,情感和消费者披露个人健康信息的意愿。信息系统研究2011;22(3):469-90.[9] Angst C,Agarwal R,Downing J.定义PHR对研究和实践的重要性的实证检验。Robert H.史密斯学院研究论文编号RHS-06-011; 2006年。[10] BahtiyarS,,Mu. 电子卫生系统安全性的信任评估。Electron Commer Res Appl2014;13(3):164-77.doi:https://doi.org/10.1016/j网站。elerap.2013.10.003。[11] Bansal G,Zahedi F,Gefen D.个人倾向性对网 路 健康资讯披露之资讯敏感度、隐私关怀与信任之影响。Decis Support Syst2010;49(2):138-50.[12] 杨伟杰,杨伟杰,杨伟杰.患者控制加密:确保电子病历的隐私。In:Proc ACMworkshop on cloud computing security; 2009,p. 103比14[13] BrumenB,HericZurkoM,SevcZurnikarA,ZavršnikJ,HölblM.外包医疗数据分析:技术能克服法律、隐私和保密问题吗?J Med Internet Res 2013年12月16日;15(12):e283 [免费全文] [CrossRef][Medline]。[14] CareyDJ,Fetterolf SN,Davis FD,Faucett WA,Kirchner HL,Mirshahi U,等. GeisingerMyCode社区健康倡议:用于精准医学研究的电子健康记录相关生物库。Genet Med2016;18(9):906.[15] 医 疗 保 险 医 疗 补 助 服 务 中 心 。 电 子 健 康 记 录 。 网 址 :https://www.cms.gov/Medicare/E-health/EHealthRecords/index.html.[16] 陈春玲,黄培泰,邓玉燕,陈宏春,王玉春.云计算环境下智能设备应用的安全电子病历授权系统。以人为中心的计算信息科学。2020;10:1-31.[17] Cifuentes M,Davis M,Fernald D,Gunn R,Dickinson P,Cohen DJ.在整合行为健康和初级保健的实践中观察到的电子健康记录挑战,变通方法和解决方案。J AmBoard Fam Med 2015;28(增刊1):S63-72。[18] 科利尔河提高电子健康记录安全性的新工具。CMAJ 2014;186(4):251。d o i :https://doi.org/10.1503/cmaj.109-4715网站。 [PMC免费文章)。[19] 科利尔河美国健康信息泄露率上升137% Can Med Asphalt J 2014;186(6):412。doi:https://doi.org/10.1503/cmaj.109-4731网站。[20] 库 珀 T , 福 克 斯 K 。 医 疗 机 构 的 技 术 风 险 评 估 Biomed Instrumum Technol2013;47(3):202-7. doi:https://doi.org/10.2345/0899-8205-47.3.202。[21] Dehling T,Sunyaev A.在公共网络中安全提供以患者为中心的健康信息技术服务-利用 德 国 全 国 健 康 信 息 技 术 基 础 设 施 提 供 的 安 全 和 隐 私 功 能 。 ElectronMarkets2014;24(2):89-99.[22] Dinev T,Albano V,Xu H,D'Atri A,Hart P. Individual's attitudes towardselectronic health records - a privacy calculus perspective. Ann.信息系统 2012年。[23] Dorgham O,Al-Rahamneh B,Almomani A,Khatatneh KF.增强在云上交换和存储DICOM医学图像的安全性。Int. J. Cloud Appl. Computing(IJCAC)2018;8(1):154-72.[24] Edemekong PF , Haydel , MJ , 2018. 健 康 保 险 流 通 与 责 任 法 案 ( HealthInsurance Portability and Accountability Act)[25] 作者:J.J. T,J.在医疗保健数据共享场景中采用云计算的安全和隐私系统要求。2013年第19届美洲信息系统会议论文集。[26] Gupta BB.计算机和网络安全:原理,算法,应用和前景。计算机和网络安全:原理,算法,应用和前景。CRC Press,Taylor Francis; 2018,p.666.[27] Gupta BB,Agrawal DP,(编辑).《物联网中云计算和大数据应用研究手册》,IGI GlobalHershey; 2019年。[28] Haque Rafita,Hasan Sarwar,Rayhan Kabir S,Rokeya Forhat,MuhammadJafar Sadeq,Md Akhtaruzzaman,Nafisa Haque,医疗保健通信系统中基于区块链的电子医疗记录(EMR)信息安全,在:智能计算和数据科学创新,Springer,新加坡,2020年,pp.641-650[29] Härzen K,Saranto K,Nykänen P.电子健康记录的定义,结构,内容,使用和影响:研究文献综述。Int JMed Inform 2008;77(5):291-304。[30] 医疗保健信息安全。Princeton,NJ:ISMG; 2014.今天的医疗信息安全状况。HIPAA 综 合 合 规 性 更 新 , 保 护 患 者 数 据 URL : https : //www.healthcareinfosecurity.com/surveys/state-healthcare-information-security-today
我的内容管理
展开
