บันทึกสุขภาพอิเล็กทรอนิกส์: นี่คือสิ่งที่อยู่ในความเสี่ยง

สำหรับผู้ที่ลงทะเบียนเพื่อรับการดูแลสุขภาพภายใต้แผนของรัฐบาลกลางหรือรัฐที่เปิดตัวในปลายปี 2013 ฉันหวังว่าประสบการณ์ของคุณดีกว่าของฉัน ฉันอาศัยอยู่ในมินนิโซตาฉันลงทะเบียนใน MNsure ซึ่งเป็นโปรแกรมของรัฐ กระบวนการนี้ใช้เวลาหกชั่วโมง

น่าเสียดายที่เว็บไซต์ที่ใช้งานไม่ได้ไม่ได้เป็นเพียงปัญหาทางดิจิตอลที่ทำให้เกิดการลงทะเบียนแผนการดูแลสุขภาพ หลังจากการตรวจสอบเว็บไซต์ของรัฐบาลกลางและรัฐเสร็จแล้วหน่วยงานราชการและองค์กรอิสระได้ประกาศว่าหลาย ๆ คนรวมถึง Healthcare.gov และ MNsure.org มีอัตราที่ไม่ดีเมื่อต้องปกป้องข้อมูลทางการแพทย์ที่มีความละเอียดอ่อน

ตัวอย่างเช่นบทความที่ปรากฏใน The Weekly Standard วันที่ 24 มกราคมรายงานว่ามีข้อผิดพลาดด้านความปลอดภัยจำนวนมากในเว็บไซต์ Federal คือ HealthCare.gov David Kennedy CEO ของ TrustedSec ผู้ซึ่งอ้างถึงในเอกสารดังกล่าวระบุว่าเว็บไซต์การลงทะเบียนอนุญาตให้ผู้โจมตีสร้างการทำงานและเว็บเพจที่อาจเป็นอันตรายภายในเว็บไซต์ HealthCare.gov (เกี่ยวกับการเปิดตัว - และผลกระทบ - ในสาเหตุที่การเปิดตัวครั้งแรกของ HealthCare.gov ล้มเหลว, การประเมินผลทางสถาปัตยกรรม)

ในช่วงเวลาประมาณเดียวกันกับ Federal HealthCare.gov การเปิดตัวการละเมิดความปลอดภัยที่สำคัญของข้อมูลทางการเงินส่วนบุคคลที่ถือโดยเป้าหมายได้รับรายงาน เชื่อกันว่าอาจได้รับผลกระทบมากถึง 40 ล้านเครดิตและบัตรเดบิต

ฉันได้กล่าวก่อนหน้านี้ว่าฉันมาจากมินนิโซตาซึ่งเป็นที่ตั้งของสำนักงานใหญ่ของ Target และเว็บไซต์การลงทะเบียนการดูแลสุขภาพของรัฐซึ่งน้อยกว่าตัวเอกเมื่อพูดถึงการรักษาความปลอดภัยข้อมูลส่วนบุคคลของสมาชิก มันไม่ยากเลยที่จะสงสัยว่าลวดลายจะออกมาหรือไม่ โดยเฉพาะอย่างยิ่งเมื่อ MinnPost บริการข่าวออนไลน์ในท้องที่มีเรื่องราวเกี่ยวกับการขาดความปลอดภัยเกี่ยวกับเวชระเบียนของรัฐ ท้ายที่สุดถ้า Target ไม่สามารถปกป้องข้อมูลทางการเงินอะไรทำให้เราคิดว่าพวกเขาสามารถเก็บบันทึกสุขภาพให้พ้นอันตรายได้

คนเลวต้องการบันทึกสุขภาพอิเล็กทรอนิกส์

สำหรับอาชญากรบันทึกการดูแลสุขภาพอิเล็กทรอนิกส์ (EHR) รวมถึงบันทึกทางการแพทย์ที่ระบุเป็นขุมสมบัติของข้อมูลที่สามารถดำเนินการได้ บทความ MinnPost มีเหตุผลเพียงประการเดียวดังนี้:

"o- เรียกว่า 'การขโมยข้อมูลส่วนตัวทางการแพทย์' เป็นปัญหาที่เพิ่มขึ้นทั่วประเทศเนื่องจากโจรอาจเข้าถึงหมายเลขแผนสุขภาพของผู้ป่วยประวัติใบสั่งยาและข้อมูลส่วนบุคคลอื่น ๆ ซึ่งอาจใช้ในการฉ้อโกงผู้ให้บริการด้านสุขภาพ"

บทความจาก MinnPost เสนอราคาผู้เชี่ยวชาญจากการ์ตเนอร์ซึ่งกล่าวว่าการขโมยข้อมูลประจำตัวทางการแพทย์เป็นปัญหาโดยเฉพาะอย่างยิ่งเพราะอาจต้องใช้เวลาหลายปีกว่าจะค้นพบ หากในช่วงเวลานั้นอาชญากรประสบความสำเร็จในการเรียกร้องการฉ้อโกงเหยื่อที่น่าสงสารมักจะได้รับการไต่ระดับพรีเมี่ยมและไม่มีเงื่อนงำว่าทำไม; หรือแย่กว่านั้นสมมติว่า บริษัท ประกันภัยกำลังทำสิ่งที่ปกติทำ - เพียงแค่เพิ่มอัตรา

ไซแมนเทคคอร์ปอเรชั่นไม่ได้สูญเสีย EHR ไปโดยคนเลว ไม่กี่เดือนที่ผ่านมา บริษัท ได้เปิดตัวเอกสารทางเทคนิคที่ตรวจสอบ "ความท้าทายและข้อกำหนดในการปกป้องข้อมูลผู้ป่วยที่เป็นความลับออนไลน์ความเสี่ยงของการละเมิดความปลอดภัยในโลกของ EHR และมาตรการด้านการดูแลสุขภาพองค์กรต้องดำเนินการเพื่อให้บรรลุ การปฏิบัติตาม."

กระดาษเริ่มต้นด้วยภาพรวมของ EHR อธิบายว่าประโยชน์หลักของมันคือความสามารถในการแบ่งปันข้อมูลผู้ป่วยได้อย่างรวดเร็วถูกต้องและง่ายดายในหมู่ผู้ให้บริการด้านการดูแลสุขภาพที่ใดก็ได้ในสหรัฐอเมริกา โดยเฉพาะอย่างยิ่ง EHRs ช่วย:

• บันทึกความต่อเนื่องจากผู้ให้บริการไปยังผู้ให้บริการ
• ลดข้อผิดพลาดในใบสั่งยา
• ให้การติดตามและการแจ้งเตือนตามเวลาจริงเพื่อการดูแลผู้ป่วยที่มีประสิทธิภาพและมีประสิทธิภาพยิ่งขึ้น

ถัดไปไซแมนเทคพิจารณาว่ากระบวนการแบบใดที่ช่วยให้มั่นใจถึงความเป็นส่วนตัวของผู้ป่วยและความปลอดภัยของข้อมูลผู้ป่วย

การรักษาความปลอดภัยข้อมูลผู้ป่วยที่พักผ่อนและระหว่างทาง

เมื่อกระดาษของไซแมนเทคเริ่มพูดถึงการรักษาความปลอดภัยข้อมูลของผู้ป่วยผู้เขียนได้ตั้งสมมติฐานว่าองค์กรด้านการดูแลสุขภาพจะมีวิธีแก้ไขปัญหาความปลอดภัยที่เพียงพอสำหรับบันทึกข้อมูลผู้ป่วยที่เก็บไว้ สำหรับข้อมูลผู้ป่วยระหว่างทางไซแมนเทคนำเสนอโซลูชันของตนเอง

"เพื่อปกป้องข้อมูลผู้ป่วยที่เป็นความลับจากการเข้าถึงโดยไม่ได้รับอนุญาตองค์กรด้านการดูแลสุขภาพจำเป็นต้องมีวิธีการที่เป็นระบบเพื่อความปลอดภัยในการทำธุรกรรมออนไลน์ทั้งหมดจึงช่วยลดภัยคุกคามในหลายระดับ"

ความเป็นส่วนตัวของผู้ป่วย

เมื่อพูดถึงการรักษาความเป็นส่วนตัวของผู้ป่วยไซแมนเทคอธิบายว่าหลักสำคัญของพระราชบัญญัติประกันสุขภาพพกพาและพระราชบัญญัติความรับผิดชอบ (HIPAA) มีความโดดเด่นในหลักคำสอน EHR ทั้งหมด รัฐบาลของรัฐยังได้เพิ่มกฎเกณฑ์ของตนเองซึ่งมีแนวโน้มที่จะมุ่งเน้นไปที่ความเป็นส่วนตัวของแต่ละบุคคลการเรียกเก็บค่าปรับจำนวนมากหากผู้ให้บริการจัดการข้อมูลผู้ป่วยอย่างไม่ถูกต้องหรือช้าในการแจ้งให้ผู้ป่วยทราบว่า

กระดาษยังสันนิษฐานว่า "ผู้บริโภคจำนวนมากอาจจะมีแนวโน้มที่จะบอกว่าการรักษาความปลอดภัยของข้อมูลทางการเงินของพวกเขามีความกังวลมากขึ้นกว่าความเป็นส่วนตัวของบันทึกการดูแลสุขภาพของพวกเขา"

อาจจะ. แต่สิ่งที่แย่กว่านั้นจริงๆ?

ท้ายที่สุดข้อมูลรั่วไหลเหมือนที่ผู้ซื้อเป้าหมายกำลังประสบอยู่นั้นเป็นสิ่งที่ไม่ดี แต่ความเสียหายนั้นสามารถซ่อมแซมได้ มันยากที่จะพูดแบบเดียวกันสำหรับการละเมิดข้อมูลที่เกิดขึ้นในการขโมยบันทึกการดูแลสุขภาพของผู้ป่วย

จากข้อมูลของไซแมนเทค "เมื่อข้อมูลที่เป็นความลับรั่วไหลลงบนอินเทอร์เน็ตจะไม่สามารถนำกลับมาใส่ในขวดได้เพื่อนเพื่อนร่วมงานสมาชิกในครอบครัวและนายจ้างที่มีศักยภาพอาจรู้ว่าสิ่งใดควรเป็นเรื่องส่วนตัวระหว่างคุณกับคุณ แพทย์นำไปสู่ความอับอายการแบ่งแยกงานและผลกระทบร้ายแรงอื่น ๆ "

แตกต่างจากการละเมิดข้อมูลทางการเงินจำนวนเงินไม่สามารถซ่อมแซมความเสียหาย

การพิจารณาครั้งสุดท้าย

สิ่งสำคัญคือต้องเข้าใจว่าผู้ให้บริการด้านสุขภาพเพื่อให้สอดคล้องกับ HIPAA จะต้องติดตามหลักฐานการตรวจสอบของผู้ที่เข้าถึงว่าบันทึกใดมีการเปลี่ยนแปลงอะไรบ้างและเมื่อใด ดังนั้นหากบางสิ่งไม่ถูกต้องผู้ป่วยสามารถคาดหวังคำตอบสำหรับคำถามที่เกี่ยวข้องกับ EHR นั่นเป็นสิ่งที่ดี น่าเสียดายที่ในเวลานั้นความเสียหายอาจเกิดขึ้นแล้ว