Innholdsfortegnelse:
- Bad Guys vil ha elektroniske helseposter
- Sikring av pasientdata i ro og på vei
- Pasientens personvern
- En siste vurdering
For de som meldte seg på helsehjelp under de føderale eller statlige planene som rullet ut i slutten av 2013, håper jeg at opplevelsen din var bedre enn min. Bosatt i Minnesota, meldte jeg meg inn i MNsure, det statlige programmet. Prosessen tok seks timer.
Dessverre er ikke fungerende nettsteder det eneste digitale problemet som plager innmelding av helsevesenet. Etter å ha gjennomført tilsyn med føderale og statlige nettsteder, forkynner offentlige etater og uavhengige organisasjoner at mange - inkludert health.gov og MNsure.org - vurderer dårlig når det gjelder å ivareta sensitiv medisinsk informasjon.
For eksempel rapporterte en artikkel som ble vist i The Weekly Standard 24. januar om et enormt sikkerhetsfeil på det føderale nettstedet, HealthCare.gov. I følge TrustedSec-administrerende direktør David Kennedy, som er sitert i stykket, lar påmeldingsnettstedet angripere skape fungerende og potensielt ondsinnede websider på HealthCare.gov-nettstedet. (om utrullingen - og nedfallet - i Why the First Rollout of HealthCare.gov Crashed, a Architectectural Assessment.)
Omtrent samtidig med den føderale HealthCare.gov-utrullingen ble det rapportert om et stort sikkerhetsbrudd på personlige økonomiske data som Target har. Det antas at opptil 40 millioner kreditt- og debetkort kan ha blitt påvirket.
Jeg nevnte tidligere at jeg er fra Minnesota, hjem til Targets hovedkvarter og et statlig helsetjenester for innmelding som er mindre enn fantastisk når det gjelder å sikre medlemmers personopplysninger. Det er vanskelig å ikke lure på om et mønster dukker opp. Spesielt når MinnPost, en lokal online nyhetstjeneste, kjører en historie om mangelen på sikkerhet rundt statlige apotekjournaler. Når alt kommer til alt, hvis Target ikke kan beskytte økonomiske data, hva er det som får oss til å tro at de kan holde helsejournaler utenfor skadelig vei?
Bad Guys vil ha elektroniske helseposter
For kriminelle er elektroniske helseposter (EHR), inkludert medisinsk identifikasjonsregister, en skattekule av handlingsfull informasjon. MinnPost-artikkelen berører en årsak til at:
"O-kalt 'medisinsk identitetstyveri' er en økende bekymring landsdekkende, da tyvene kan få tilgang til pasientens helseplannummer, reseptbelagte historie og annen personlig informasjon, som kan brukes til å bedragere helsepersonell."
MinnPost-artikkelen siterer deretter en ekspert fra Gartner, som sier at tyveri av medisinsk identitet er spesielt plagsom fordi det kan ta år å oppdage. Hvis kriminelle i løpet av den tiden lykkes med å komme med uredelige krav, vil det fattige offeret mest sannsynlig motta premium fotturer, og ikke ha en anelse om hvorfor; eller verre ennå, antar at forsikringsselskapet gjør det det normalt gjør - ganske enkelt å øke prisene.
Bølgene i EHRs interesse økte ikke av Symantec Corporation. For noen måneder siden ga selskapet ut en hvitbok som undersøkte "utfordringene og kravene med å beskytte konfidensielle pasientdata på nettet, risikoen for sikkerhetsbrudd i EHRs verden og tiltakene helseorganisasjoner må ta for å oppnå og opprettholde samsvar."
Oppgaven starter med en oversikt over EHR, og forklarer at de viktigste fordelene er muligheten til å dele pasientdata raskt, nøyaktig og enkelt blant helsepersonell hvor som helst i USA. Mer spesifikt hjelper EHR:
- Registrer kontinuitet fra leverandør til leverandør
- Reduser feil i reseptene
- Gi sanntidsporing og varsler for mer effektiv og effektiv pasientbehandling
Sikring av pasientdata i ro og på vei
Da Symantec-papiret begynte å snakke om å sikre pasientdata, antok forfatterne at helseorganisasjoner vil ha tilstrekkelige sikkerhetsløsninger på plass for lagrede pasientjournaler. Når det gjelder pasientdata i transitt, tilbød Symantec sin egen løsning,
"For å beskytte konfidensielle pasientdata fra uautorisert tilgang, trenger helseorganisasjoner en systematisk tilnærming til sikkerhet på tvers av hele online transaksjonen, og dermed avbøte trusler på flere nivåer."
Pasientens personvern
Når det gjelder å opprettholde pasientens personvern, forklarer Symantec at grunnleggende faktorer i Health Insurance Portability and Accountability Act (HIPAA) er fremtredende i all EHR-doktrin. Statlige myndigheter har også lagt til sine egne vedtekter, som har en tendens til å fokusere på individuelt personvern, innkreve tunge bøter hvis tilbydere håndterer pasientinformasjon feil, eller er sakte med å varsle pasienter om et datainnbrudd.
Papiret antar også at "mange forbrukere sannsynligvis vil være tilbøyelige til å si at sikkerheten til deres økonomiske data er av større bekymring enn personvernet til helsepostene deres."
Kan være. Men som er virkelig verre?
Tross alt er datainnbrudd som hva målkjøpere lider gjennom riktignok dårlige, men skaden kan repareres. Det er vanskelig å si det samme for et datainnbrudd som resulterer i tyveri av pasienthelseposter.
I følge Symantec: "Når konfidensiell informasjon er sølt på Internett, kan den ikke settes tilbake i flasken. Venner, kollegaer, familiemedlemmer og potensielle arbeidsgivere vet kanskje for alltid hva som skulle være en privat sak mellom deg og din lege som fører til flauhet, diskriminering av jobben og andre alvorlige konsekvenser. "
I motsetning til brudd på økonomiske data, kan ikke noe beløp reparere skaden.
En siste vurdering
Det er viktig å forstå at helsepersonell, for å overholde HIPAA, må føre en revisjonsspor av hvem som fikk tilgang til hvilke poster, hvilke endringer som ble gjort og når. Så hvis noe ikke stemmer, kan pasienter forvente svar på spørsmål som gjelder EHR. Det er en god ting. Dessverre, innen den tid, kan skaden allerede være gjort.
