جدول المحتويات:
- الأشرار يريدون سجلات الرعاية الصحية الإلكترونية
- تأمين بيانات المرضى أثناء الراحة وفي العبور
- خصوصية المريض
- واحد آخر النظر
بالنسبة لأولئك الذين سجلوا للحصول على الرعاية الصحية بموجب الخطط الفيدرالية أو خطط الولايات التي تم نشرها في أواخر عام 2013 ، آمل أن تكون تجربتك أفضل من تجربتي. أعيش في مينيسوتا ، لقد التحقت في برنامج MNsure ، وهو برنامج الولاية. استغرقت العملية ست ساعات.
لسوء الحظ ، فإن المواقع الضعيفة الأداء ليست هي المشكلة الرقمية الوحيدة التي تعترض تسجيل خطة الرعاية الصحية. بعد الانتهاء من عمليات تدقيق المواقع الفيدرالية والمواقع الحكومية ، تعلن الوكالات الحكومية والمنظمات المستقلة أن العديد من الأشخاص - بما في ذلك healthcare.gov و MNsure.org - سيئ التقييم عندما يتعلق الأمر بحماية المعلومات الطبية الحساسة.
على سبيل المثال ، نشرت مقالة نُشرت في The Weekly Standard في 24 كانون الثاني (يناير) عن خلل أمني هائل في موقع الويب الفيدرالي ، HealthCare.gov. وفقًا لرئيس مجلس إدارة TrustedSec ، ديفيد كينيدي ، الذي نقلت عنه المقالة ، فإن موقع التسجيل يسمح للمهاجمين بإنشاء صفحات ويب فعالة ، وربما ضارة ، في موقع HealthCare.gov على الويب. (حول بدء التشغيل - وتداعياته - في "لماذا تحطمت النسخة التجريبية الأولى من HealthCare.gov ، تقييم معماري.)
في نفس الوقت تقريبا مع بدء تطبيق HealthCare.gov الفيدرالي ، تم الإبلاغ عن خرق أمني كبير للبيانات المالية الشخصية التي تحتفظ بها Target. من المعتقد أن ما يصل إلى 40 مليون بطاقة ائتمان وخصم قد تكون تأثرت.
لقد ذكرت في وقت سابق أنني من ولاية مينيسوتا ، موطن المقر الرئيسي لشركة Target وموقع تسجيل الرعاية الصحية للولاية وهو أقل من ممتاز عندما يتعلق الأمر بتأمين البيانات الشخصية للأعضاء. من الصعب ألا نتساءل عما إذا كان هناك نمط آخذ في الظهور. خاصةً عندما تقوم MinnPost ، وهي خدمة إخبارية محلية عبر الإنترنت ، بعرض قصة حول انعدام الأمن حول سجلات الصيدليات الحكومية. بعد كل شيء ، إذا لم يتمكن Target من حماية البيانات المالية ، فما الذي يجعلنا نعتقد أنه يمكنهم الاحتفاظ بالسجلات الصحية بعيدًا عن الضرر؟
الأشرار يريدون سجلات الرعاية الصحية الإلكترونية
بالنسبة للمجرمين ، تعد سجلات الرعاية الصحية الإلكترونية (EHR) ، بما في ذلك سجلات تحديد الهوية الطبية ، بمثابة كنز من المعلومات العملية. تتناول مقالة MinnPost أحد أسباب ذلك:
"o" سرقة الهوية الطبية "هي مصدر قلق متزايد في جميع أنحاء البلاد ، حيث قد يتمكن اللصوص من الوصول إلى رقم الخطة الصحية للمريض وتاريخ الوصفات الطبية وغيرها من المعلومات الشخصية ، والتي يمكن استخدامها للاحتيال على مقدمي الرعاية الصحية."
يستشهد مقال MinnPost بعد ذلك بخبير من Gartner ، يقول إن سرقة الهوية الطبية مزعجة بشكل خاص لأنها قد تستغرق سنوات لاكتشافها. إذا نجح المجرمون خلال تلك الفترة في رفع دعاوى احتيالية ، فمن المرجح أن يحصل الضحية الفقيرة على زيادة كبيرة وليس لديه أدنى فكرة عن السبب ؛ أو ما هو أسوأ من ذلك ، افترض أن شركة التأمين تفعل ما تفعله عادة - ببساطة زيادة المعدلات.
لم تضيع الزيادة في مصلحة EHR من قبل الأشرار في شركة Symantec. قبل بضعة أشهر ، أصدرت الشركة ورقة بيضاء بحثت فيها "التحديات والمتطلبات المتعلقة بحماية بيانات المرضى السرية عبر الإنترنت ، وخطر الانتهاكات الأمنية في عالم EHR ، والتدابير التي يجب على منظمات الرعاية الصحية اتخاذها لتحقيقها والمحافظة عليها الالتزام."
تبدأ الورقة بإلقاء نظرة عامة على EHR ، موضحة أن فوائدها الرئيسية هي القدرة على مشاركة بيانات المرضى بسرعة ودقة وسهولة بين مقدمي الرعاية الصحية في أي مكان في الولايات المتحدة. بشكل أكثر تحديدًا ، تساعد سجلات الصحة الإلكترونية على:
- سجل الاستمرارية من مزود إلى مزود
- تقليل الأخطاء في الوصفات الطبية
- توفير تتبع وتنبيهات في الوقت الحقيقي للحصول على رعاية أكثر فعالية وكفاءة للمرضى
تأمين بيانات المرضى أثناء الراحة وفي العبور
عندما بدأت ورقة Symantec في الحديث عن تأمين بيانات المرضى ، افترض المؤلفون أن مؤسسات الرعاية الصحية سيكون لديها حلول أمنية مناسبة لسجلات المرضى المخزنة. أما بالنسبة لبيانات المرضى أثناء النقل ، فقد قدمت سيمانتك حلها الخاص ،
"من أجل حماية بيانات المرضى السرية من الوصول غير المصرح به ، تحتاج مؤسسات الرعاية الصحية إلى منهج منظم للأمن عبر المعاملة عبر الإنترنت بالكامل ، وبالتالي تخفيف التهديدات على مستويات متعددة."
خصوصية المريض
عندما يتعلق الأمر بالحفاظ على خصوصية المريض ، تشرح Symantec أن المبادئ الأساسية لقانون قابلية قابلية التأمين الصحي والمساءلة (HIPAA) لهما دور بارز في جميع مبادئ EHR. أضافت حكومات الولايات أيضًا قوانينها الخاصة ، والتي تميل إلى التركيز على الخصوصية الفردية ، وفرض غرامات باهظة إذا تعامل المزودون مع معلومات المريض بشكل غير صحيح ، أو كانوا بطيئين في إخطار المرضى بانتهاك البيانات.
تفترض الصحيفة أيضًا أنه "من المحتمل أن يميل العديد من المستهلكين إلى القول إن أمان بياناتهم المالية يمثل مصدر قلق أكبر من خصوصية سجلات الرعاية الصحية الخاصة بهم."
يمكن. ولكن ما هو أسوأ حقا؟
بعد كل شيء ، خروقات البيانات مثل ما يعاني منه المتسوقون المستهدفون أمر سيء بالفعل ، ولكن يمكن إصلاح الضرر. من الصعب أن نقول الشيء نفسه عن خرق البيانات مما أدى إلى سرقة سجلات الرعاية الصحية للمرضى.
وفقًا لسيمانتيك ، "بمجرد تسرب المعلومات السرية على الإنترنت ، لا يمكن إعادتها إلى الزجاجة. قد يعرف الأصدقاء وزملاء العمل وأفراد الأسرة وأصحاب العمل المحتملون إلى الأبد ما كان من المفترض أن يكون مسألة خاصة بينك وبينك. طبيب يؤدي إلى الحرج ، والتمييز الوظيفي ، وغيرها من العواقب الوخيمة ".
على عكس خروقات البيانات المالية ، لا يمكن لأي مبلغ من المال إصلاح الضرر.
واحد آخر النظر
من المهم أن نفهم أن مقدمي الرعاية الصحية ، من أجل الامتثال ل HIPAA ، يجب أن يحتفظوا بسجل تدقيق لمن قام بالوصول إلى السجلات ، وما هي التغييرات التي تم إجراؤها ومتى. لذا ، إذا كان هناك شيء غير صحيح ، فيمكن للمرضى توقع إجابات عن الأسئلة المتعلقة بالـ EHR. هذا امر جيد. لسوء الحظ ، بحلول ذلك الوقت ، قد يكون الضرر قد حدث بالفعل.