電子健康紀錄互通系統的網絡安全及保障個人資料私隱網上研討會
電子健康紀錄統籌處(統籌處)於2020年8月13日舉行了「電子健康紀錄互通系統的網絡安全及保障個人資料私隱網上研討會」,講解電子健康紀錄互通系統(醫健通)所涉及的資訊安全議題,以及醫護機構在使用該系統時,如何能保障病人私隱,吸引了70多間醫護機構共約200名資訊科技及行政人員參與。
統籌處邀請了香港警務處網絡安全及科技罪案調查科督察陳智穎先生、醫院管理局(醫管局)高級系統經理(應用管理)王昱先生及香港個人資料私隱專員公署(私隱公署)高級個人資料主任陳香凝女士作主講嘉賓,並由食物及衞生局總系統經理(衞生)梁啟健先生致開場及歡迎辭。
保護醫護行業的流動裝置
香港警務處代表陳督察首先分享,他說,醫護界不同的電子儀器或裝置在數據轉送和交換過程中,已經形成了醫療物聯網,與此同時會增加儀器或裝置數據外洩,或電腦病毒入侵整個醫療物聯網的風險。他指出用家常犯的六個錯誤:使用儀器或裝置預設的名稱、時常開啟儀器或裝置的所有功能、儀器或裝置只使用預設設定、未有安全設定路由器、儀器或裝置使用預設或弱密碼,和使用過期的韌體。
他提出了七個加強醫療物聯網安全的方法:使用高強度密碼、選用信譽良好廠商製造的儀器或裝置、為儀器或裝置選擇高安全度及私隱設定、定時更新儀器或裝置的安全設定、不要使用舊版作業程式、使用虛擬局部區域網絡分割醫療物聯網及內聯網,以區隔儀器或裝置,以及主動監察醫療物聯網的運作情況。
在2019冠狀病毒病的疫情中保障醫健通的安全
接著由醫管局代表王先生向與會者介紹有關醫健通的保安措施,他強調系統在設計上具備嚴密的保安關卡及私隱控制,確保病人的健康紀錄只會在病人同意的情況下,以「病人正接受其護理」及「有需要知道」作原則,授權讓已登記的醫護機構及醫護專業人員取覽。醫健通採用縱深防禦概念作架構,並設計多層次的重叠保護以減低網絡攻擊的風險。王先生提及醫健通的保安控制措施會進行定期檢討,並將會推出新的保安措施,要求用戶使用雙重認證以加強控制。
王先生也介紹了新推出的手機應用程式,這應用程式提供了額外的渠道讓病人方便地自行管理予醫護機構的互通同意。他又分享了一些提示,讓醫護機構及醫護專業人員能在這雲端及物聯網的時代更好地保護病人資料,提示包括定期進行系統更新的重要性,並提醒所有人要保持警覺,因網絡攻擊會從不同的方式及渠道進行威脅。醫健通網頁已載列了網絡安全提示供醫護機構及醫護專業人員參考。
資料外洩事故與網絡安全
私隱公署代表陳女士則談及醫健通內的電子健康紀錄屬個人資料,受《個人資料(私隱)條例》(私隱條例)保障。倘若收到有關醫健通內懷疑違反私隱條例的投訴個案,私隱公署均會跟進,有需要時會展開調查。透過個案分享,陳女士介紹私隱條例的規定,以及私隱公署如何確保資料保安及網絡安全。
她亦特別提到與醫健通有關的資料保安建議,例如:當獲授權的醫護人員登入醫健通時,須確保屏幕所顯示的電子健康紀錄不會被不相關的第三方取覽;電子健康紀錄下載或列印過程必須安全;醫護機構應制訂使用便攜式儲存裝置的指引以防止個人資料外洩,以及採取適當措施確保其電腦資料系統具足夠保護並能有效運作。
陳女士亦介紹了資料外洩事故的通報機制及涉事機構處理有關事故的步驟,並分享私隱保障趨勢的發展及數據道德管理的價值。
最後陳女士補充,私隱公署特別為醫健通分別製作了予 市民 和醫護提供者及醫護專業人員 的網上小冊子,提醒大家在使用醫健通時關於保障私隱須注意的事項及貼士。