将隐私设计和安全设计纳入医疗技术开发

通过约翰Giantsidis， CyberActa, Inc.总裁

数字技术——传感器和可穿戴设备、机器学习和人工智能、联网医疗设备、软件即医疗设备(SaMD)——正在改变医疗保健。数字医疗的用户和消费者数量不断增加，这是由于人们对技术进步的贪得无厌，技术进步可以为世界各地的患者带来更好、更便宜的护理。

然而，开发和商业化努力必须解决同样增长的对安全和隐私的需求。医疗设备公司现在需要采取行动，展示其产品的网络弹性和隐私能力，不仅要解决无数的合规性和数据隐私法规，还要建立患者和护理人员对其产品的信心。展示隐私和网络安全能力为用户和/或购买者创造价值，带来市场差异化。

医疗设备公司应该如何设计和商业化提供隐私和网络安全功能的数字健康产品和软件?

隐私与网络安全的关系

首先，重要的是要明白，尽管网络安全和隐私是相关的，但它们并不等同。认识到隐私和网络安全之间的界限和重叠是确定何时可以应用现有网络安全来解决隐私问题以及需要填补空白的关键。

美国国家标准与技术研究院(NIST)将网络安全定义为“防止对电子信息和通信系统的损害、未经授权的使用、利用和(如果需要的话)恢复……以确保其可用性、完整性、身份验证、保密性和不可否认性。”有效的网络安全:

• 信息不提供或披露给未经授权的个人、实体或流程。
• 数据(存储的和传输中的)只能以指定和授权的方式更改。
• 数字健康产品/服务以不受损害的方式履行其预期功能，不受故意或无意的未经授权的操纵。
• 对获取或使用信息的干扰最小。

通过限制对数据的访问，一套强大的网络安全措施也可以帮助保护隐私，或者至少将个人数据被泄露的可能性降到最低。然而，隐私问题也可能产生于授权个人信息的处理。隐私适用于个人信息的收集、控制、保护、共享和使用。医疗器械隐私要求应定义设备提供的保护能力、其性能和行为特征，以及用于证明设备或软件满足这些要求的客观证据。因此，设计隐私可以带来:

• 可管理性:提供对用户信息进行细粒度管理的能力，包括更改、删除和选择性披露;
• 可分离性，使信息处理与个人或数字健康产品或服务无关;和
• 使个人能够作出可靠的假设并使信息系统能够对其进行处理的可预测性。

通过设计实现安全性

网络安全形势在不断发展，需要持续监控，而且不能以非正式或临时的方式进行管理。要使医疗设备具有网络安全，必须从一开始就考虑到网络安全，而不管开发模型是“瀑布”、敏捷还是其他迭代方法。医疗器械网络安全需要正式的、持续的流程来采取适当的纠正和/或预防措施，因为对患者和用户的潜在伤害可能包括身体伤害或错误的诊断。

网络安全必须内置到医疗设备中，而不是事后附加，这就要求实施“设计安全”原则，包括了解与设备相关的网络安全漏洞。有几个已知的网络安全框架，如NIST网络安全框架、互联网安全中心的关键控制(CIS)以及ISO/IEC 27001和27002，可用于构建医疗设备网络安全计划。没有一种正确的方法来执行这些原则;每个组织都将微调、修改和定制他们的医疗设备开发过程。尽管如此，采用或考虑SAFECode安全软件开发基本实践将是一个很好的起点，它使医疗设备公司能够生产安全的(或至少不太可能遭受)系统免受任何原因的攻击。

通过建立风险管理策略、标准应用和网络安全渗透测试，设计安全性进一步增强了开发和商业化计划。还需要考虑其他因素，例如使用设备或软件的环境(网络连接、数据传输或存储)，并结合用户体验(UX)和人为因素工程，以创建安全、直观和易于使用的产品。此外，为了更好地监控将影响给定设备或软件的漏洞，制造商应该维护软件材料清单(SBOM)，以便在发现漏洞时更好地评估风险。需要考虑的最具影响力的因素之一是最小化依赖于用户欺骗艺术的社会工程威胁(如网络钓鱼)。最后，您必须考虑到产品生命周期中的所有接触点和涉众，包括设计师、制造商、供应商、医院、医疗保健专业人员、患者等。准确和及时的信息是至关重要的，因为医疗设备网络安全除了是市场采用的试金石之外，还可能成为患者安全问题。

通过设计实现隐私

隐私设计是指从新设备的概念到详细的系统设计、实现和操作，在整个开发过程中都包含隐私要求。隐私保护必须是核心的、有机的功能，而不是在设计完成后添加的。建立产品隐私生命周期非常重要，在此期间，数据保护或数据问责制不应存在空白。医疗设备开发人员应明确确定所有与隐私相关的政策和程序的责任，以确保用户和患者都能根据承诺和目标操作与隐私相关的业务实践和技术控制。此外，极为重要的是为用户和患者建立和推广补救机制，除法律另有规定外，每个用户都应获得收集、使用或披露其信息的同意。

隐私设计包含七个关键原则:

1. 主动，而非被动;预防，而非补救:采取积极主动的方法，预测隐私风险，在隐私侵犯事件发生之前进行预防。
2. 隐私作为默认设置:自动保护医疗设备中的个人信息为默认设置。医疗设备应确保仅处理实现其特定目的所必需的数据，并在收集、存储、使用和传输过程中保护个人身份信息(PII)。此外，患者和用户不需要采取积极行动来保护他们的PII。
3. 嵌入设计的隐私:将隐私保护嵌入到任何医疗设备的设计中，确保隐私成为其核心功能之一。
4. 全功能-正和，而不是零和;以双赢的方式纳入所有合法的利益和目标，而不是通过零和(非此即彼)的方式。这将避免不必要的权衡，例如隐私与安全性，并证明两者都有可能。
5. 端到端安全-全生命周期保护:在所涉及的信息的整个生命周期中实施强有力的安全措施。安全地处理个人信息，然后在您不再需要时安全地销毁它。
6. 可见性和透明度——保持开放;确保医疗器械按照声明的承诺和目标运行，并可独立验证。让用户和患者充分了解所收集的个人信息及其目的。
7. 尊重用户隐私——以用户为中心;在任何系统或服务的设计和实现中，保持个人的利益至上。您可以通过提供强大的隐私默认值和用户友好的选项，以及确保提供适当的通知来做到这一点。

这些原则是指导医疗设备隐私计划的基本原则，组织必须将其转化为具体的实践。您可以从几个实用的框架(NIST隐私框架，OECD隐私框架，ISO 27001/27701)中进行选择，或者创建您自己的系统流程，以风险为导向，其目标是在受托处理个人数据的医疗设备的生命周期内通过设计将隐私原则转化为实际和可操作的术语。结果将使隐私成为医疗设备设计的一个组成部分，从而根据完全可实现的属性和功能定义隐私要求，并且以主动的方式管理已确定的任何隐私风险，以便使医疗设备具有可操作性是否提供方便的隐私尽可能

结论

隐私和网络安全往往是在医疗设备设计完成后才被纳入其中的，而不是设计过程中不可或缺的一部分。一些用户认为强大的安全性和隐私性阻碍了医疗设备的高效和用户友好操作。在设计中采用隐私和在设计中采用安全性，可以为隐私和安全性提供保障，同时实现高度的实用性和可用性，这反过来又可以增加消费者/用户的信心和信任。事实证明，这种信任推动了市场差异化，并扩大了提供网络安全和隐私功能的医疗设备的市场选择。

引用:

1. NIST 8062。联邦系统中的隐私工程和风险管理介绍(2017)。
2. 安省资讯及私隐专员(2009)私隐设计:七项基本原则(https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf）

作者简介:

John Giantsidis是CyberActa公司是一家精品咨询公司，为医疗设备、数字健康和制药公司的网络安全、隐私、数据完整性、风险、SaMD监管合规和商业化努力提供支持。他也是佛罗里达律师协会技术委员会的成员，也是美国海军陆战队的网络助理。他持有Clark University的理学学士学位，the University of New Hampshire的法学博士学位，以及the George Washington University的网络安全政策与合规工程硕士学位。可以联系到他john.giantsidis@cyberacta.com．