Cuprins:
- Băieții răi doresc înregistrări de asistență medicală electronică
- Securizarea datelor pacientului în repaus și în tranzit
- Confidențialitatea pacientului
- O ultimă considerație
Pentru cei care s-au înscris pentru îngrijirea sănătății în conformitate cu planurile federale sau de stat care s-au derulat la sfârșitul anului 2013, sper că experiența ta a fost mai bună decât a mea. Locuind în Minnesota, m-am înscris în MNsure, programul de stat. Procesul a durat șase ore.
Din păcate, site-urile web care funcționează slab nu sunt singura problemă digitală care afectează înscrierea în planul de sănătate. După ce au finalizat audituri ale site-urilor federale și de stat, agențiile guvernamentale și organizațiile independente declară că multe - inclusiv medicale.gov și MNsure.org - au o rată slabă atunci când vine vorba de protejarea informațiilor medicale sensibile.
De exemplu, un articol apărut în The Weekly Standard pe 24 ianuarie a raportat despre un efect imens de securitate pe site-ul federal, HealthCare.gov. Potrivit CEO-ului TrustedSec, David Kennedy, care este citat în piesă, site-ul de înscriere permite atacatorilor să creeze pagini Web funcționale și potențial dăunătoare în cadrul site-ului HealthCare.gov. (despre lansare - și despre declin - în De ce s-a prăbușit prima lansare a HealthCare.gov, o evaluare arhitecturală.)
Aproximativ în același timp cu lansarea federală HealthCare.gov, a fost raportată o încălcare importantă de securitate a datelor financiare personale deținute de Target. Se crede că pot fi afectate până la 40 de milioane de carduri de credit și debit.
Am menționat mai devreme că sunt din Minnesota, acasă la sediul țintei și site-ul web de înscriere în îngrijirile de sănătate, care este mai puțin stelar când vine vorba de securizarea datelor personale ale membrilor. Este greu să nu ne întrebăm dacă apare un model. Mai ales când MinnPost, un serviciu local de știri online, rulează o poveste despre lipsa de securitate în jurul înregistrărilor farmaciei de stat. La urma urmei, dacă Target nu poate proteja datele financiare, ce ne face să credem că pot păstra înregistrările de sănătate din calea răului?
Băieții răi doresc înregistrări de asistență medicală electronică
Pentru infractori, înregistrările electronice de asistență medicală (EHR), inclusiv registrele de identificare medicală, reprezintă un tezaur de informații acționabile. Articolul MinnPost abordează un motiv pentru care:
"O-numit" furt de identitate medicală "este o problemă din ce în ce mai mare la nivel național, deoarece hoții pot avea acces la numărul planului de sănătate al pacientului, la istoricul de prescripție medicală și la alte informații personale, care pot fi utilizate pentru a păcăli furnizorii de servicii medicale."
Articolul MinnPost citează apoi un expert de la Gartner, care spune că furtul de identitate medicală este deosebit de supărător, deoarece poate dura ani de zile pentru a le descoperi. Dacă, în această perioadă, infractorii reușesc să facă reclamații frauduloase, victima săracă va primi cel mai probabil creșteri premium și nu va avea un indiciu de ce; sau mai rău încă, presupunem că compania de asigurări face ceea ce face în mod normal - pur și simplu creșterea ratelor.
Creșterea în interesul EHR de către băieții răi nu a fost pierdută pe Symantec Corporation. În urmă cu câteva luni, compania a lansat o carte albă care a examinat „provocările și cerințele protejării online a datelor confidențiale ale pacienților, riscul de încălcări ale securității în lumea EHR și măsurile care trebuie luate de către organizațiile de îngrijire a sănătății pentru a realiza și menține conformitate."
Lucrarea începe cu o imagine de ansamblu asupra EHR, care explică faptul că principalele sale beneficii sunt capacitatea de a împărtăși datele despre pacienți rapid, precis și ușor între furnizorii de servicii medicale de oriunde în Statele Unite. Mai exact, EHR-urile ajută:
- Înregistrați continuitatea de la furnizor la furnizor
- Reduceți erorile din rețete
- Oferiți urmărire în timp real și alerte pentru o îngrijire mai eficientă și eficientă a pacientului
Securizarea datelor pacientului în repaus și în tranzit
Când lucrarea Symantec a început să vorbească despre securizarea datelor despre pacienți, autorii au făcut presupunerea că organizațiile de asistență medicală vor avea soluții adecvate de securitate pentru înregistrările pacientului păstrat. În ceea ce privește datele despre pacienți în tranzit, Symantec a oferit propria soluție,
"Pentru a proteja datele confidențiale ale pacienților de accesul neautorizat, organizațiile medicale au nevoie de o abordare sistematică a securității pe întreaga tranzacție online, atenuând astfel amenințările la mai multe niveluri."
Confidențialitatea pacientului
Când vine vorba de menținerea vieții private a pacienților, Symantec explică că principiile Legii privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) sunt proeminente în toată doctrina EHR. De asemenea, guvernele de stat și-au adăugat propriile statuturi, care tind să se concentreze pe confidențialitatea individuală, percepând amenzi grele dacă furnizorii tratează în mod incorect informațiile despre pacienți sau dacă notifică lent pacienții cu privire la încălcarea datelor.
Lucrarea presupune, de asemenea, că „mulți consumatori ar fi înclinați probabil să spună că securitatea datelor financiare ale acestora este de o mai mare preocupare decât confidențialitatea registrelor medicale”.
Poate. Dar care este cu adevărat mai rău?
La urma urmei, încălcările de date precum cele prin care cumpărătorii țintă sunt într-adevăr rele, dar daunele pot fi reparate. Este greu de spus același lucru pentru o încălcare a datelor care duce la furtul înregistrărilor medicale ale pacienților.
Potrivit Symantec, „Odată ce informațiile confidențiale sunt vărsate pe Internet, acestea nu pot fi readuse în sticlă. Prietenii, colegii, membrii familiei și potențialii angajatori ar putea să știe pentru totdeauna ceea ce trebuia să fie o problemă privată între dvs. și dvs. medic care duce la jenă, discriminare la locul de muncă și alte consecințe grave. "
Spre deosebire de încălcările datelor financiare, nicio sumă de bani nu poate repara daunele.
O ultimă considerație
Este important să înțelegem că furnizorii de servicii medicale, pentru a se conforma HIPAA, trebuie să țină o pistă de audit a celor care au accesat înregistrările, ce modificări au fost făcute și când. Deci, dacă ceva nu este în regulă, pacienții pot aștepta răspunsuri la întrebările legate de EHR. Este un lucru bun. Din păcate, până la acel moment, dauna poate fi deja făcută.
