电子健康纪录互通系统的网络安全及保障个人资料私隐网上研讨会
电子健康纪录统筹处(统筹处)于2020年8月13日举行了「电子健康纪录互通系统的网络安全及保障个人资料私隐网上研讨会」,讲解电子健康纪录互通系统(医健通)所涉及的资讯安全议题,以及医护机构在使用该系统时,如何能保障病人私隐,吸引了70多间医护机构共约200名资讯科技及行政人员参与。
统筹处邀请了香港警务处网络安全及科技罪案调查科督察陈智颖先生、医院管理局(医管局)高级系统经理(应用管理)王昱先生及香港个人资料私隐专员公署(私隐公署)高级个人资料主任陈香凝女士作主讲嘉宾,并由食物及卫生局总系统经理(卫生)梁启健先生致开场及欢迎辞。
保护医护行业的流动装置
香港警务处代表陈督察首先分享,他说,医护界不同的电子仪器或装置在数据转送和交换过程中,已经形成了医疗物联网,与此同时会增加仪器或装置数据外泄,或电脑病毒入侵整个医疗物联网的风险。他指出用家常犯的六个错误:使用仪器或装置预设的名称、时常开启仪器或装置的所有功能、仪器或装置只使用预设设定、未有安全设定路由器、仪器或装置使用预设或弱密码,和使用过期的韧体。
他提出了七个加强医疗物联网安全的方法:使用高强度密码、选用信誉良好厂商制造的仪器或装置、为仪器或装置选择高安全度及私隐设定、定时更新仪器或装置的安全设定、不要使用旧版作业程式、使用虚拟局部区域网络分割医疗物联网及内联网,以区隔仪器或装置,以及主动监察医疗物联网的运作情况。
在2019冠状病毒病的疫情中保障医健通的安全
接着由医管局代表王先生向与会者介绍有关医健通的保安措施,他强调系统在设计上具备严密的保安关卡及私隐控制,确保病人的健康纪录只会在病人同意的情况下,以「病人正接受其护理」及「有需要知道」作原则,授权让已登记的医护机构及医护专业人员取览。医健通采用纵深防御概念作架构,并设计多层次的重叠保护以减低网络攻击的风险。王先生提及医健通的保安控制措施会进行定期检讨,并将会推出新的保安措施,要求用户使用双重认证以加强控制。
王先生也介绍了新推出的手机应用程式,这应用程式提供了额外的渠道让病人方便地自行管理予医护机构的互通同意。他又分享了一些提示,让医护机构及医护专业人员能在这云端及物联网的时代更好地保护病人资料,提示包括定期进行系统更新的重要性,并提醒所有人要保持警觉,因网络攻击会从不同的方式及渠道进行威胁。医健通网页已载列了网络安全提示供医护机构及医护专业人员参考。
资料外泄事故与网络安全
私隐公署代表陈女士则谈及医健通内的电子健康纪录属个人资料,受《个人资料(私隐)条例》(私隐条例)保障。倘若收到有关医健通内怀疑违反私隐条例的投诉个案,私隐公署均会跟进,有需要时会展开调查。透过个案分享,陈女士介绍私隐条例的规定,以及私隐公署如何确保资料保安及网络安全。
她亦特别提到与医健通有关的资料保安建议,例如:当获授权的医护人员登入医健通时,须确保屏幕所显示的电子健康纪录不会被不相关的第三方取览;电子健康纪录下载或列印过程必须安全;医护机构应制订使用便携式储存装置的指引以防止个人资料外泄,以及采取适当措施确保其电脑资料系统具足够保护并能有效运作。
陈女士亦介绍了资料外泄事故的通报机制及涉事机构处理有关事故的步骤,并分享私隐保障趋势的发展及数据道德管理的价值。
最后陈女士补充,私隐公署特别为医健通分别制作了予 市民 和医护提供者及医护专业人员 的网上小册子,提醒大家在使用医健通时关在保障私隐须注意的事项及贴士。