Casa Sicurezza Cartelle cliniche elettroniche: ecco la posta in gioco

Cartelle cliniche elettroniche: ecco la posta in gioco

Sommario:

Anonim

Per coloro che hanno aderito all'assistenza sanitaria ai sensi dei piani federali o statali introdotti alla fine del 2013, spero che la tua esperienza sia stata migliore della mia. Vivendo in Minnesota, mi sono iscritto a MNsure, il programma statale. Il processo è durato sei ore.


Sfortunatamente, i siti Web mal funzionanti non sono l'unico problema digitale che affligge l'iscrizione al piano sanitario. Avendo completato gli audit dei siti federali e statali, le agenzie governative e le organizzazioni indipendenti stanno proclamando che molti, tra cui healthcare.gov e MNsure.org, valutano male quando si tratta di salvaguardare le informazioni mediche sensibili.


Ad esempio, un articolo apparso su The Weekly Standard il 24 gennaio riportava un enorme problema di sicurezza nel sito Web federale HealthCare.gov. Secondo il CEO di TrustedSec David Kennedy, che è citato nel pezzo, il sito Web di iscrizione consente agli aggressori di creare pagine Web funzionanti e potenzialmente dannose all'interno del sito Web HealthCare.gov. (a proposito del lancio - e del fallout - in Why the First Rollout of HealthCare.gov Crashed, a Architectectural Assessment.)


Proprio nello stesso periodo dell'implementazione federale di HealthCare.gov, è stata segnalata una grave violazione della sicurezza dei dati finanziari personali detenuta da Target. Si ritiene che possano essere state colpite fino a 40 milioni di carte di credito e di debito.


Ho menzionato in precedenza che vengo dal Minnesota, sede del quartier generale di Target e di un sito Web per le iscrizioni alle cure sanitarie statali che è meno che eccezionale quando si tratta di proteggere i dati personali dei membri. È difficile non chiedersi se sta emergendo un modello. Soprattutto quando MinnPost, un servizio di notizie online locale, racconta una storia sulla mancanza di sicurezza nei registri delle farmacie statali. Dopotutto, se Target non è in grado di proteggere i dati finanziari, cosa ci fa pensare di poter tenere lontane le cartelle cliniche?

I cattivi vogliono le cartelle cliniche elettroniche

Per i criminali, le cartelle cliniche elettroniche (EHR), comprese le registrazioni di identificazione medica, sono un tesoro di informazioni fruibili. L'articolo di MinnPost tocca un motivo per cui:


"Il cosiddetto" furto di identità medica "è una preoccupazione crescente a livello nazionale, poiché i ladri possono accedere al numero del piano sanitario del paziente, alla storia delle prescrizioni e ad altre informazioni personali, che possono essere utilizzate per frodare i fornitori di assistenza sanitaria."


L'articolo di MinnPost cita quindi un esperto di Gartner, che afferma che il furto di identità medica è particolarmente problematico perché potrebbero essere necessari anni per scoprirlo. Se, durante quel periodo, i criminali riescono a presentare richieste fraudolente, molto probabilmente la povera vittima riceverà aumenti di premio e non avrà la minima idea del perché; o peggio ancora, supponiamo che la compagnia assicurativa stia facendo ciò che fa normalmente - semplicemente aumentando i tassi.


L'impennata nell'interesse dell'EHR da parte dei cattivi non è andata persa su Symantec Corporation. Qualche mese fa, la società ha pubblicato un white paper che esaminava "le sfide e i requisiti della protezione dei dati riservati dei pazienti online, il rischio di violazioni della sicurezza nel mondo della cartella clinica elettronica e le misure che le organizzazioni sanitarie devono adottare per raggiungere e mantenere conformità."


Il documento inizia con una panoramica dell'EHR, spiegando che i suoi principali vantaggi sono la capacità di condividere i dati dei pazienti in modo rapido, accurato e semplice tra i fornitori di assistenza sanitaria ovunque negli Stati Uniti. Più specificamente, gli EHR aiutano:

  • Registra la continuità da un fornitore all'altro
  • Ridurre gli errori nelle prescrizioni
  • Fornire monitoraggio e avvisi in tempo reale per una cura del paziente più efficace ed efficiente
Successivamente, Symantec ha esaminato quali processi sul posto garantiscono la privacy dei pazienti e la sicurezza delle informazioni dei pazienti.

Protezione dei dati dei pazienti a riposo e in transito

Quando il documento di Symantec ha iniziato a parlare della protezione dei dati dei pazienti, gli autori hanno ipotizzato che le organizzazioni sanitarie disporranno di adeguate soluzioni di sicurezza per i dati dei pazienti archiviati. Per quanto riguarda i dati dei pazienti in transito, Symantec ha offerto la propria soluzione,


"Al fine di proteggere i dati riservati dei pazienti da accessi non autorizzati, le organizzazioni sanitarie necessitano di un approccio sistematico alla sicurezza nell'intera transazione online, mitigando così le minacce a più livelli".

Privacy del paziente

Quando si tratta di mantenere la privacy dei pazienti, Symantec spiega che i principi della Health Insurance Portability and Accountability Act (HIPAA) sono importanti in tutta la dottrina della cartella clinica elettronica. I governi statali hanno anche aggiunto i propri statuti, che tendono a concentrarsi sulla privacy individuale, imponendo pesanti multe se i fornitori gestiscono le informazioni dei pazienti in modo errato o sono lenti nel notificare ai pazienti una violazione dei dati.


Il documento presume anche che "molti consumatori sarebbero probabilmente inclini a dire che la sicurezza dei loro dati finanziari è di maggiore preoccupazione rispetto alla privacy delle loro cartelle cliniche".


Può essere. Ma quale è veramente peggio?


Dopotutto, le violazioni dei dati come quelle di cui soffrono gli acquirenti Target sono davvero cattive, ma il danno può essere riparato. È difficile dire lo stesso per una violazione dei dati che porta al furto delle cartelle cliniche dei pazienti.


Secondo Symantec, "Una volta che le informazioni riservate vengono diffuse su Internet, non possono essere rimesse nella bottiglia. Amici, colleghi, familiari e potenziali datori di lavoro possono sapere per sempre ciò che doveva essere una questione privata tra te e il tuo medico che porta a imbarazzo, discriminazione sul lavoro e altre gravi conseguenze. "


A differenza delle violazioni dei dati finanziari, nessuna somma di denaro può riparare il danno.

Un'ultima considerazione

È importante comprendere che i fornitori di assistenza sanitaria, al fine di conformarsi all'HIPAA, devono tenere una pista di controllo su chi ha avuto accesso a quali registri, quali modifiche sono state apportate e quando. Quindi, se qualcosa non va, i pazienti possono aspettarsi risposte alle domande relative alla EHR. È una buona cosa. Sfortunatamente, a quel punto, il danno potrebbe essere già stato fatto.

Cartelle cliniche elettroniche: ecco la posta in gioco