以下是一封在討論群組內的的回信,但因為資料和隱私主題似乎比較少在公開的網路看到誠懇的討論,因此我把一些零碎的想法記錄放在這。從操作的技術細節角度來看:
- HIPAA 雖明定18個項目要移除或是 “generalization”,但真正棘手的是再識別和 “Actual Knowledge” 的界線處理 [1] [2],裡面有個很好的四個例子,可能是台灣「聰明」一點的連鎖藥房或是藥局會嘗試的。
- 台灣過去有具體受罰的案例嗎?一個 data breach 可能會造成一筆資料要付上200美金起跳的罰鍰 [3]。
- 這邊有沒有 HIE (Health Information Exchange) 的專家?
- 醫療系統的軟體採購和是否符合法規要求,台灣有類似美國在州層級的 REC 單位在做「把關」嗎 [4]?
- 我把所有我看過關於 privacy 的網路連結都放在這裡 [5]
- 技術風險角度來看(還不到人權角度),這本書 [6] 應該是目前最合用的,長榮好像有一本
以上供參。
[1] http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/De-identification/guidance.html
[2] http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/De-identification/guidance.html#actualknowledge
[3] http://www.networkworld.com/article/2242765/security/data-breach-costs-top–200-per-customer-record.html
[4] http://www.healthit.gov/providers-professionals/regional-extension-centers-recs
[5] https://pinboard.in/u:schee/t:privacy/
[6] http://www.crcpress.com/product/isbn/9781466579064
T.H. Schee 