医疗服务提供者须遵守统一的网络和数据安全标准,确保安全使用国家电子健康记录系统的信息。
若业者不遵守《医疗信息法案》规定,可面对一系列执法行动,包括接警告信甚至被提控。医疗业者如涉及系统性的网络安全与数据安全失误,最高可被罚款100万元。
本地网安业者CyberSafe总裁古尔巴尼(Dave Gurbani)接受《联合早报》访问时指出,《医疗信息法案》对医疗业者的网络与数据安全要求,符合新加坡网络安全局的“网络安全基本能力标志”(Cyber Essentials Mark)原则,以及卫生部的指定要求。
相关安全保障包括:多重身份认证、网络安全补丁管理(patch management)、一旦发生网络安全事故须在两小时内通报卫生部,以及明确界定可查阅病人资料的人员权限等。
古尔巴尼指出,规模较小或系统较陈旧的诊所,须先进行数码化,才能落实相关网络安全措施;同时也须加强员工培训,让他们明白网络安全是保障病人安全的重要一环。
接下来,卫生部将与医疗服务提供者合作,协助解决他们在接入及使用国家电子健康记录系统过程中所面对的技术问题。
医疗业者须履行三大核心责任:提交 保护与通报
《医疗信息法案》规定,所有医疗业者须履行三大核心责任——提交、保护与通报。
首先,业者须准确、及时及完整地将病患的关键健康信息,上传至国家电子健康记录系统。
其次,业者须采取措施,确保资料的安全与正确使用,包括只允许获授权的医护人员查阅、收集或披露病人资料,并为员工提供相关培训及定期进行审查。
第三,一旦发现网络安全事故或病人资料外泄,业者须及时通知卫生部,让当局能够迅速介入处理。
必要时,卫生部可发出指令,要求相关医疗业者采取补救措施,纠正违规行为,或防止类似问题再次发生。
若业者未遵从指示,当局可发出提醒或警告信、暂停业者提交资料或登入系统的权限,或处以销案罚款;蓄意或屡次违规者,则可被提控。
一般未遵从卫生部指令者,一旦罪成,最高可罚款2万元,或监禁一年,或两者兼施。
若涉及未经授权查阅,或披露国家电子健康记录系统资料,最高可判罚款5万元,或监禁两年,或两者兼施;若属严重或重犯,刑罚可加倍。
新加坡保健服务集团曾在2018年遭网络袭击,导致约150万名病人的个人资料外泄。隔年,新保集团和负责公共医疗机构资讯通信系统的综合保健信息系统公司(新联科技前称),遭个人资料保护委员会重罚100万元。这是本地迄今最高的医疗数据泄露罚款数额。
