過去一年多,本地的數據外泄事件主要發生在醫療領域,爲了加強這領域的數據安全,衛生部將完全遵守公共機構數據安全檢討委員會的建議。凡是關系到數據等重要資料的醫療保健政策、研究分析和行政系統,都必須全面采納委員會提議的方案。
不過考慮到醫療人員在特定情況下仍須獲取患者的完整資料,一些醫療系統只須采納適用的特定方案,確保在數據受到保護的情況下,仍能爲患者提供良好的醫療服務。
公共機構數據安全檢討委員會的成立,事緣去年7月發生的新保集團網襲事件,之後相繼發生了愛之病帶原者個人資料外泄和衛生科學局血庫數據疏漏。再者,考慮到醫療數據的敏感性,委員會因此認爲,務必確保該領域的數據得到充分的保護和妥善管治。
爲此,委員會建議所有收集或使用醫療數據的醫療保健政策、研究分析和行政系統,都應該采納委員會提出的所有方案,確保這些數據的安全性。
委員會指出,衛生部致力于爲醫療數據加強安全保障,因此全盤接受所有建議。這些建議,連同衛生部正在制定的其他安全措施,將能提升整個醫療領域的防禦能力。
不過,醫療人員可能需要登錄患者醫療系統,獲取准確和完善資料以辨別個別患者,並作出正確的醫療診斷及提供適當治療。特別是在緊急情況時,必須確保醫療人員能盡快獲取這些資料。委員會舉例指出,如果爲這些醫療資料進行加密,就會影響到醫療人員的工作。
在這種情況下,與其采用委員會建議的技術流程等方案,衛生部將采用其他安全措施,確保這些重要數據在得到充分保護的同時,不會妨礙到醫療人員的工作。
本地公共醫療系統和大多數國家的醫療系統一樣,一般采用第三方供應商的商業性現成方案。
衛生部同供應商合作加強系統網安和數據安全水平
委員會指出,這些系統的數據安全達到相當高的國際水平,不過衛生部正同供應商合作,進一步加強這些系統的網安和數據安全水平,以更好地應付新趨勢。
衛生部接下來會發出醫療科技使用手冊,指導公共醫療機構如何采用委員會建議的具體網安方案。所有私人醫療機構也會收到網安提示(advisory),獲取如何確保系統和數據安全的相關資訊。
衛生部也會同這些醫療機構合作,在明年上半年制定更多針對性的網安准則,支持這些機構加強網絡和數據安全能力。
另外,也會咨詢管理醫療數據的機構,探討如何通過立法或執照框架等方式,進一步加強收集保管、使用和共享這些數據的安全性。