Rumah Keamanan Catatan kesehatan elektronik: inilah yang dipertaruhkan

Catatan kesehatan elektronik: inilah yang dipertaruhkan

Daftar Isi:

Anonim

Bagi mereka yang mendaftar untuk perawatan kesehatan di bawah rencana federal atau negara bagian yang diluncurkan pada akhir 2013, saya berharap pengalaman Anda lebih baik daripada pengalaman saya. Tinggal di Minnesota, saya mendaftar di MNsure, program negara. Prosesnya memakan waktu enam jam.


Sayangnya, situs web yang berfungsi buruk bukan satu-satunya masalah digital yang mengganggu pendaftaran rencana layanan kesehatan. Setelah menyelesaikan audit di situs federal dan negara bagian, lembaga pemerintah dan organisasi independen menyatakan bahwa banyak orang - termasuk health.gov dan MNsure.org - memiliki nilai yang buruk ketika harus melindungi informasi medis yang sensitif.


Sebagai contoh, sebuah artikel yang muncul di The Weekly Standard pada 24 Januari melaporkan tentang kesalahan keamanan besar di situs web federal, HealthCare.gov. Menurut CEO TrustedSec David Kennedy, yang dikutip dalam artikel ini, situs web pendaftaran memungkinkan penyerang untuk membuat halaman Web yang berfungsi dan berpotensi jahat dalam situs web HealthCare.gov. (tentang peluncuran - dan dampaknya - di Mengapa Peluncuran Pertama HealthCare.gov Hancur, sebuah Penilaian Arsitektur.)


Sekitar waktu yang sama dengan peluncuran HealthCare.gov federal, pelanggaran keamanan utama dari data keuangan pribadi yang dimiliki oleh Target dilaporkan. Dipercaya bahwa hingga 40 juta kartu kredit dan debit mungkin terkena dampaknya.


Saya sebutkan sebelumnya bahwa saya berasal dari Minnesota, rumah bagi markas Target dan situs web pendaftaran perawatan kesehatan negara bagian yang tidak terlalu terkenal dalam hal mengamankan data pribadi anggota. Sulit untuk tidak bertanya-tanya apakah suatu pola muncul. Terutama ketika MinnPost, sebuah layanan berita online lokal, memuat berita tentang kurangnya keamanan di sekitar catatan apotek negara. Lagi pula, jika Target tidak dapat melindungi data keuangan, apa yang membuat kita berpikir mereka dapat menyimpan catatan kesehatan dari bahaya?

Orang Jahat Ingin Catatan Kesehatan Elektronik

Bagi para penjahat, catatan perawatan kesehatan elektronik (EHR), termasuk catatan identifikasi medis, adalah harta karun berupa informasi yang dapat ditindaklanjuti. Artikel MinnPost menyentuh satu alasan mengapa:


"O-disebut 'pencurian identitas medis' adalah masalah yang berkembang di seluruh negeri, karena pencuri dapat memperoleh akses ke nomor rencana kesehatan pasien, riwayat resep, dan informasi pribadi lainnya, yang dapat digunakan untuk menipu penyedia layanan kesehatan."


Artikel MinnPost lalu mengutip seorang ahli dari Gartner, yang mengatakan bahwa pencurian identitas medis sangat menyusahkan karena mungkin perlu bertahun-tahun untuk menemukannya. Jika, selama waktu itu, penjahat berhasil membuat klaim penipuan, korban yang miskin kemungkinan besar akan menerima kenaikan premi, dan tidak tahu mengapa; atau lebih buruk lagi, anggaplah perusahaan asuransi melakukan apa yang biasanya dilakukannya - hanya menaikkan tarif.


Lonjakan minat EHR oleh orang-orang jahat tidak hilang di Symantec Corporation. Beberapa bulan yang lalu, perusahaan mengeluarkan kertas putih yang meneliti "tantangan dan persyaratan untuk melindungi data pasien rahasia secara online, risiko pelanggaran keamanan di dunia EHR, dan tindakan yang harus diambil organisasi perawatan kesehatan untuk mencapai dan mempertahankan pemenuhan."


Makalah ini dimulai dengan gambaran EHR, menjelaskan bahwa manfaat utamanya adalah kemampuan untuk berbagi data pasien dengan cepat, akurat, dan mudah di antara penyedia layanan kesehatan di mana saja di Amerika Serikat. Lebih khusus lagi, EHR membantu:

  • Catat kontinuitas dari penyedia ke penyedia
  • Kurangi kesalahan dalam resep
  • Memberikan pelacakan dan peringatan waktu nyata untuk perawatan pasien yang lebih efektif dan efisien
Selanjutnya, Symantec melihat proses apa yang dilakukan untuk memastikan privasi pasien dan keamanan informasi pasien.

Mengamankan Data Pasien saat Istirahat dan dalam Transit

Ketika kertas Symantec mulai berbicara tentang mengamankan data pasien, penulis membuat asumsi bahwa organisasi perawatan kesehatan akan memiliki solusi keamanan yang memadai untuk catatan pasien yang disimpan. Adapun data pasien dalam perjalanan, Symantec menawarkan solusinya sendiri,


"Untuk melindungi data rahasia pasien dari akses tidak sah, organisasi layanan kesehatan memerlukan pendekatan sistematis terhadap keamanan di seluruh transaksi online, sehingga mengurangi ancaman di berbagai tingkatan."

Privasi Pasien

Ketika datang untuk menjaga privasi pasien, Symantec menjelaskan bahwa prinsip-prinsip dari Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) menonjol dalam semua doktrin EHR. Pemerintah negara bagian juga telah menambahkan undang-undang mereka sendiri, yang cenderung berfokus pada privasi individu, mengenakan denda besar jika penyedia menangani informasi pasien secara tidak benar, atau lambat dalam memberi tahu pasien tentang pelanggaran data.


Makalah ini juga mengasumsikan bahwa "banyak konsumen mungkin akan cenderung mengatakan bahwa keamanan data keuangan mereka lebih memprihatinkan daripada privasi catatan kesehatan mereka."


Mungkin. Tapi mana yang benar-benar lebih buruk?


Bagaimanapun, pelanggaran data seperti apa yang diderita pembeli Target memang buruk, tetapi kerusakannya dapat diperbaiki. Sulit untuk mengatakan hal yang sama untuk pelanggaran data yang mengakibatkan pencurian catatan perawatan kesehatan pasien.


Menurut Symantec, "Setelah informasi rahasia tumpah ke Internet, itu tidak dapat dimasukkan kembali ke dalam botol. Teman, rekan kerja, anggota keluarga, dan calon majikan mungkin selamanya tahu apa yang seharusnya menjadi masalah pribadi antara Anda dan Anda dokter yang menyebabkan rasa malu, diskriminasi pekerjaan, dan konsekuensi serius lainnya. "


Tidak seperti pelanggaran data keuangan, tidak ada jumlah uang yang dapat memperbaiki kerusakan.

Satu Pertimbangan Terakhir

Penting untuk dipahami bahwa penyedia layanan kesehatan, untuk mematuhi HIPAA, harus menyimpan jejak audit tentang siapa yang mengakses catatan mana, perubahan apa yang dilakukan, dan kapan. Jadi, jika ada sesuatu yang tidak benar, pasien dapat mengharapkan jawaban untuk pertanyaan terkait EHR. Itu hal yang baik. Sayangnya, pada saat itu, kerusakan mungkin sudah dilakukan.

Catatan kesehatan elektronik: inilah yang dipertaruhkan