Spisu treści:
- Bad Guys chcą elektronicznych zapisów opieki zdrowotnej
- Zabezpieczanie danych pacjenta w spoczynku i podczas transportu
- Prywatność pacjentów
- Ostatnia uwaga
Dla tych, którzy zapisali się na opiekę zdrowotną w ramach planów federalnych lub stanowych wprowadzonych pod koniec 2013 roku, mam nadzieję, że twoje doświadczenie było lepsze niż moje. Mieszkając w Minnesocie, zapisałem się do MNsure, programu państwowego. Cały proces trwał sześć godzin.
Niestety źle działające strony internetowe nie są jedynym cyfrowym problemem mającym wpływ na zapisanie się do planu opieki zdrowotnej. Po zakończeniu kontroli witryn federalnych i stanowych agencje rządowe i niezależne organizacje ogłaszają, że wielu - w tym health.gov i MNsure.org - słabo ocenia ochronę wrażliwych informacji medycznych.
Na przykład artykuł, który pojawił się w The Weekly Standard 24 stycznia, donosił o ogromnej usterce bezpieczeństwa na federalnej stronie internetowej HealthCare.gov. Według CEO TrustedSec, Davida Kennedy'ego, cytowanego w tym artykule, strona rejestracyjna pozwala atakującym na stworzenie funkcjonujących i potencjalnie złośliwych stron internetowych na stronie HealthCare.gov. (o wdrożeniu - i skutkach - w Dlaczego pierwsza prezentacja HealthCare.gov Crashed, ocena architektoniczna).
Mniej więcej w tym samym czasie, co federalne wdrożenie HealthCare.gov, zgłoszono poważne naruszenie bezpieczeństwa osobistych danych finansowych przechowywanych przez firmę Target. Uważa się, że mogło to mieć wpływ na 40 milionów kart kredytowych i debetowych.
Wspomniałem wcześniej, że pochodzę z Minnesoty, siedziby głównej firmy Target i państwowej witryny do rejestracji w służbie zdrowia, która jest mniej niż gwiezdna, jeśli chodzi o zabezpieczenie danych osobowych członków. Trudno się nie zastanawiać, czy pojawia się jakiś wzór. Zwłaszcza, gdy MinnPost, lokalny internetowy serwis informacyjny, opowiada historię o braku bezpieczeństwa w pobliżu danych dotyczących stanowej apteki. W końcu, jeśli Target nie może chronić danych finansowych, co sprawia, że sądzimy, że mogą przechowywać dokumentację medyczną z dala od szkody?
Bad Guys chcą elektronicznych zapisów opieki zdrowotnej
Dla przestępców elektroniczna dokumentacja medyczna (EHR), w tym dokumentacja medyczna, stanowią skarbnicę przydatnych informacji. Artykuł MinnPost dotyczy jednego powodu, dla którego:
„tak zwana„ kradzież tożsamości medycznej ”stanowi coraz poważniejszy problem w całym kraju, ponieważ złodzieje mogą uzyskać dostęp do numeru planu opieki zdrowotnej pacjenta, historii recept i innych danych osobowych, które mogą zostać wykorzystane do oszukiwania pracowników służby zdrowia”.
Artykuł w MinnPost cytuje eksperta z Gartner, który twierdzi, że kradzież tożsamości medycznej jest szczególnie kłopotliwa, ponieważ odkrycie może zająć lata. Jeśli w tym czasie przestępcom uda się wysunąć fałszywe roszczenia, biedna ofiara najprawdopodobniej otrzyma podwyżki premium i nie będzie miała pojęcia, dlaczego; lub jeszcze gorzej, załóżmy, że firma ubezpieczeniowa robi to, co zwykle - po prostu podnosi stawki.
Wzrost zainteresowania EHR przez złych facetów nie został utracony w Symantec Corporation. Kilka miesięcy temu firma opublikowała białą księgę, w której przeanalizowano „wyzwania i wymagania związane z ochroną poufnych danych pacjentów w Internecie, ryzyko naruszenia bezpieczeństwa w świecie EHR oraz środki, jakie organizacje ochrony zdrowia muszą podjąć, aby osiągnąć i utrzymać spełnienie."
Artykuł rozpoczyna się od przeglądu EHR, wyjaśniając, że jego głównymi zaletami są możliwość szybkiego, dokładnego i łatwego udostępniania danych pacjentów między dostawcami opieki zdrowotnej w dowolnym miejscu w Stanach Zjednoczonych. Mówiąc dokładniej, EHR pomagają:
- Nagrywaj ciągłość od dostawcy do dostawcy
- Zmniejsz liczbę błędów w receptach
- Zapewnij śledzenie w czasie rzeczywistym i alerty dla bardziej efektywnej i wydajnej opieki nad pacjentem
Zabezpieczanie danych pacjenta w spoczynku i podczas transportu
Kiedy artykuł firmy Symantec zaczął mówić o zabezpieczaniu danych pacjentów, autorzy przyjęli założenie, że organizacje opieki zdrowotnej będą dysponować odpowiednimi rozwiązaniami bezpieczeństwa dla przechowywanych danych pacjentów. Jeśli chodzi o przesyłane dane pacjentów, Symantec zaproponował własne rozwiązanie,
„Aby chronić poufne dane pacjentów przed nieautoryzowanym dostępem, organizacje opieki zdrowotnej potrzebują systematycznego podejścia do bezpieczeństwa w całej transakcji online, a tym samym łagodzą zagrożenia na wielu poziomach”.
Prywatność pacjentów
Jeśli chodzi o zachowanie prywatności pacjentów, Symantec wyjaśnia, że zasady zawarte w ustawie o przenośności i rozliczalności ubezpieczeń zdrowotnych (HIPAA) są widoczne we wszystkich doktrynach EHR. Rządy stanowe dodały również własne statuty, które zwykle koncentrują się na prywatności jednostki, nakładając wysokie grzywny, jeśli dostawcy nieprawidłowo przetwarzają informacje o pacjencie lub powolnie powiadamiają pacjentów o naruszeniu danych.
W artykule założono również, że „wielu konsumentów prawdopodobnie skłaniałoby się do stwierdzenia, że bezpieczeństwo ich danych finansowych jest ważniejsze niż prywatność ich dokumentacji medycznej”.
Może. Ale co jest naprawdę gorsze?
W końcu naruszenia bezpieczeństwa danych, takie jak cierpienia klientów docelowych, są rzeczywiście złe, ale szkody można naprawić. Trudno powiedzieć to samo o naruszeniu danych, które skutkuje kradzieżą dokumentacji medycznej pacjenta.
Według firmy Symantec: „Gdy poufne informacje zostaną rozlane do Internetu, nie można ich ponownie umieścić w butelce. Przyjaciele, współpracownicy, członkowie rodziny i potencjalni pracodawcy mogą na zawsze wiedzieć, co miało być sprawą prywatną między tobą a twoim lekarz prowadzący do zakłopotania, dyskryminacji zawodowej i innych poważnych konsekwencji ”.
W przeciwieństwie do naruszeń danych finansowych żadna kwota nie może naprawić szkody.
Ostatnia uwaga
Ważne jest, aby zrozumieć, że podmioty świadczące opiekę zdrowotną, aby zachować zgodność z HIPAA, muszą prowadzić ścieżkę audytu dotyczącą tego, kto uzyskał dostęp do danych, jakie zmiany i kiedy. Jeśli więc coś jest nie tak, pacjenci mogą spodziewać się odpowiedzi na pytania związane z EHR. To dobra rzecz. Niestety do tego czasu szkody mogą już zostać wyrządzone.
