23年上半年,医疗机构连续发生了几起数据泄露的安全事件,引起了单位领导层的高度重视。
分管院领导紧急召开会议,部署信息中心,在全院开展一系列的数据安全自查自纠行动。
讲党课、调研走访、科室自查、全院排查等等,查漏补缺,最后形成整体的报告材料。
整个过程下来,我们单位的数据安全防范能力和水平得到了较大的提升,员工上下特别是我们信息中心的同事们,对数据安全有了更直观的感受和更具体的认知。
《中华人民共和国数据安全法》第三条,给出了数据和数据安全的定义:
数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
医疗机构要保护的,主要是患者的健康医疗数据。
3. 医疗数据涉及角色
针对特定数据特定场景,相关组织或个人可划分为四类角色:
根据《中华人民共和国数据安全法》第二十七条要求,
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全
因此,医疗机构建立数据安全保障体系,应包括三方面的工作:建立健全全流程数据安全管理制度、组织开展数据安全教育培训、应用数据安全技术和产品服务,来保障患者医疗健康数据的安全。
个人觉得,平常主要注重医疗效率的医疗机构,发生这类数据安全泄露事件,在意料之中。随着国家对数据要素的重视,数据安全问题也提到了一定的高度。
首先,我们得承认,安全和效率是天然冲突的。
要保障安全,就要牺牲效率。
我们的日常工作中的大部分场景,都是效率优先。安全方面,如果没有规则机制的约束,更多地是抱着一定的侥幸心理。
比如,在驾校里我们都学过,上车前要绕车一周,观察车况和车身周围情况,确保安全。可观察下我们身边,有多少人每次都会这么做?我就没有,效率优先嘛。(今后还确实是要注意)
然而,最近发生的几起安全事件,让我们意识到安全的重要性,并希望在牺牲一些效率上确保安全。
其次,安全投入是无止境的。
你无法评估安全所需要的最小成本,因为只有在发生安全事件之后,这个维护和补救的成本,才是你安全需要的投入。
但是事件没发生前,很难估计和量化损失。
可等到事件发生后,补救已经晚了。
我们也能理解,在遇到安全事件后我们的懊悔,没想到损失这么大。
大家都不想出事,一出事就是大事。
那么,如何最大概率避免数据泄露安全事故的发生,以及发生事故后将损失降到最低呢?
个人理解,应在事前开展风险评估和预防,事中进行应急处置,以及事后开展补救和总结。
而就跟火灾等各类风险一样,要在事前的预防上下功夫。
因此,工作的中心就是建立数据安全管理体系,通过压实责任,提升安全意识,在体制机制和技术方面,避免安全破绽。
会后,领导让我写一个整体的数据安全调研报告。盘点医院数据安全整体情况,探究如何构建坚实可靠的数据安全保障体系,实现安全的前提下,用好数据为临床和患者服务。
我觉得这个调研报告可以从以下几方面来构思:
我们医院分级分类包含哪些数据资产?
医院现有数据安全保障政策和措施是怎样的?
各类数据在采集、传输、存储、使用、交换和销毁的各个环节,是怎样流转处理的?
各个环节有哪些参与主体和参与介质?
数据全生命周期的各个环节,可能会存在哪些漏洞?
针对这些漏洞和问题,如何进行加固和补救?
沿着这个脉络,以基本情况、存在问题和对策建议为章节框架,来形成相对比较完整的数据安全管理调研报告。
