美国卫生与公共服务部加强数据泄露反馈机制

关键要点

美国卫生与公共服务部HHS的民权办公室OCR同意实施一种反馈机制，以在医疗机构收到的确认电子邮件中添加语言和联系信息。此外，OCR还计划要求其地区办公室定期审核并回应与报告数据泄露过程相关的电子邮件。此举是基于政府问责办公室GAO的建议，GAO最近的报告指出，HHS应设立反馈机制，以增强其医疗数据泄露报告过程的有效性。

报告回顾了自2015年以来向HHS报告的泄露事件及受影响的个人数量，检查了HHS评估受保护实体安全措施的审查过程，并提供了建议，以帮助HHS改善泄露报告的沟通。

OCR负责执行《健康保险携带性与问责法》HIPAA的隐私、安全和泄露通知规则，该规则规定了保护健康信息PHI的国家标准，并要求受保护实体及其业务合作伙伴在发生未加密的PHI泄露时通知HHS。

尽管OCR已制定了泄露通知过程，但并未提供受保护实体提供关于泄露报告过程的反馈的途径。报告中指出：“健康信息隐私副主任表示，该办公室收到信息的主要方法是通过泄露调查，并且没有正式的程序或平台供受保护实体或业务合作伙伴提供反馈。”

还提到，如果受保护实体或业务合作伙伴在泄露报告过程中遇到问题，可以采取以下三种措施之一安排会议，发送电子邮件至OCR可公开获取的电子邮件地址，或致信OCR。

根据GAO对受保护实体和业务合作伙伴进行的调查，80的受访者表示在泄露报告过程中遇到沟通相关的挑战。一些受访者建议，OCR可以提供“提交匿名问题的平台”，或者建立一个机制，直接征求医疗行业成员的反馈。

GAO在报告中指出：“解决这一不足之处将是改善或简化泄露以及调查过程某些方面的重要步骤，并防止在进行中的泄露报告调查期间出现长时间的沟通中断。”

自2015年以来PHI泄露事件稳步增加

除了建议建立反馈机制外，GAO报告还指出，自2015年以来，涉及未加密PHI的泄露事件数量稳步上升。2021年报告的健康信息泄露事件达到714起，几乎是2015年报告事件数量的三倍。

OCR的健康信息和隐私副主任表示，IT相关犯罪的增加，例如勒索软件攻击和商业电子邮件妥协，可能解释了报告的泄露事件数量上升的原因。此外，他还指出，在受保护实体和业务合作伙伴中缺乏对安全规则要求的遵守也是导致泄露事件数量增加的另一个因素。