Inhaltsverzeichnis:
- Bad Guys wollen elektronische Patientenakten
- Sichern von Patientendaten in Ruhe und auf dem Transportweg
- Privatsphäre des Patienten
- Eine letzte Überlegung
Für diejenigen, die sich im Rahmen der Ende 2013 eingeführten Bundes- oder Länderpläne für die Gesundheitsversorgung angemeldet haben, hoffe ich, dass Ihre Erfahrung besser war als meine. Als ich in Minnesota lebte, schrieb ich mich in MNsure, dem staatlichen Programm, ein. Der Vorgang dauerte sechs Stunden.
Leider sind schlecht funktionierende Websites nicht das einzige digitale Problem, das bei der Registrierung von Krankenversicherungsplänen auftritt. Nach Abschluss der Prüfungen von Websites auf Bundes- und Landesebene geben Regierungsbehörden und unabhängige Organisationen an, dass viele - einschließlich healthcare.gov und MNsure.org - beim Schutz sensibler medizinischer Informationen eine schlechte Bewertung haben.
Zum Beispiel berichtete ein Artikel, der am 24. Januar in The Weekly Standard erschien, über eine große Sicherheitslücke auf der föderalen Website HealthCare.gov. Laut David Kennedy, CEO von TrustedSec, der in dem Artikel zitiert wird, können Angreifer auf der Registrierungs-Website funktionierende und potenziell bösartige Webseiten auf der HealthCare.gov-Website erstellen. (Über den Rollout - und den Fallout - in Warum der erste Rollout von HealthCare.gov abgestürzt ist, eine architektonische Bewertung.)
Ungefähr zur gleichen Zeit wie die Einführung von HealthCare.gov durch die US-Bundesregierung wurde ein schwerwiegender Sicherheitsverstoß gegen die von Target gespeicherten persönlichen Finanzdaten gemeldet. Es wird angenommen, dass bis zu 40 Millionen Kredit- und Debitkarten betroffen sind.
Ich habe vorhin erwähnt, dass ich aus Minnesota komme, wo sich das Hauptquartier von Target befindet und eine staatliche Website für die Registrierung von Gesundheitsfürsorge, die in Bezug auf die Sicherung der persönlichen Daten der Mitglieder alles andere als herausragend ist. Es ist schwer, sich nicht zu wundern, ob ein Muster auftaucht. Besonders wenn MinnPost, ein lokaler Online-Nachrichtendienst, eine Geschichte über die mangelnde Sicherheit in Bezug auf staatliche Apothekenakten veröffentlicht. Wenn Target nicht in der Lage ist, Finanzdaten zu schützen, warum können wir dann davon ausgehen, dass Gesundheitsakten nicht in die Quere kommen?
Bad Guys wollen elektronische Patientenakten
Für Kriminelle sind elektronische Patientenakten (Electronic Healthcare Records, EHR), einschließlich Krankenakten, eine Fundgrube verwertbarer Informationen. Der MinnPost-Artikel spricht einen Grund an, warum:
"Der sogenannte" medizinische Identitätsdiebstahl "ist im ganzen Land ein wachsendes Problem, da Diebe möglicherweise Zugriff auf die Krankenversicherungsnummer, die Verordnungshistorie und andere persönliche Informationen eines Patienten erhalten, die zum Betrug von Leistungserbringern verwendet werden können."
Der MinnPost-Artikel zitiert dann einen Experten von Gartner, der sagt, dass medizinischer Identitätsdiebstahl besonders problematisch ist, da es Jahre dauern kann, bis er entdeckt wird. Wenn es Kriminellen in dieser Zeit gelingt, betrügerische Anschuldigungen zu erheben, erhält das arme Opfer höchstwahrscheinlich Prämienerhöhungen und hat keine Ahnung, warum; oder noch schlimmer, nehmen Sie an, die Versicherungsgesellschaft tut das, was sie normalerweise tut - einfach die Sätze erhöhen.
Der Anstieg des EHR-Interesses durch Bösewichte ging für die Symantec Corporation nicht verloren. Vor einigen Monaten veröffentlichte das Unternehmen ein Whitepaper, in dem die Herausforderungen und Anforderungen des Schutzes vertraulicher Patientendaten im Internet, das Risiko von Sicherheitsverletzungen in der Welt von EHR und die Maßnahmen untersucht wurden, die Gesundheitsorganisationen ergreifen müssen, um diese zu erreichen und aufrechtzuerhalten Beachtung."
Der Aufsatz beginnt mit einem Überblick über EHR und erläutert, dass seine Hauptvorteile in der schnellen, genauen und einfachen Weitergabe von Patientendaten an Gesundheitsdienstleister in den USA liegen. Genauer gesagt, EHRs helfen:
- Rekordkontinuität von Anbieter zu Anbieter
- Reduzieren Sie Fehler in Rezepten
- Bieten Sie Echtzeit-Nachverfolgung und Warnungen für eine effektivere und effizientere Patientenversorgung
Sichern von Patientendaten in Ruhe und auf dem Transportweg
Als das Symantec-Papier begann, über die Sicherung von Patientendaten zu sprechen, gingen die Autoren davon aus, dass Gesundheitsorganisationen über angemessene Sicherheitslösungen für gespeicherte Patientenakten verfügen. Symantec bot eine eigene Lösung für die Übermittlung von Patientendaten an.
"Um vertrauliche Patientendaten vor unbefugtem Zugriff zu schützen, benötigen Organisationen des Gesundheitswesens einen systematischen Sicherheitsansatz für die gesamte Online-Transaktion, um Bedrohungen auf mehreren Ebenen zu minimieren."
Privatsphäre des Patienten
In Bezug auf die Wahrung der Privatsphäre von Patienten erklärt Symantec, dass die Grundsätze des Gesetzes über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (Health Insurance Portability and Accountability Act, HIPAA) in allen EHR-Doktrinen eine herausragende Rolle spielen. Die Landesregierungen haben auch eigene Gesetze hinzugefügt, die sich in der Regel auf die Privatsphäre des Einzelnen konzentrieren und hohe Bußgelder erheben, wenn die Anbieter falsch mit Patienteninformationen umgehen oder Patienten nur langsam über einen Datenverstoß benachrichtigen.
Das Papier geht auch davon aus, dass "viele Verbraucher wahrscheinlich eher sagen würden, dass die Sicherheit ihrer Finanzdaten ein größeres Problem darstellt als die Vertraulichkeit ihrer Gesundheitsakten."
Könnte sein. Aber was ist wirklich schlimmer?
Schließlich sind Datenverletzungen, wie sie Kunden von Target erleiden, in der Tat schlimm, aber der Schaden kann repariert werden. Es ist schwer, dasselbe für einen Datenverstoß zu sagen, der zum Diebstahl von Patientenakten im Gesundheitswesen führt.
Laut Symantec "können vertrauliche Informationen, die erst einmal in das Internet gelangt sind, nicht mehr in die Flasche zurückgegeben werden. Freunde, Mitarbeiter, Familienmitglieder und potenzielle Arbeitgeber wissen möglicherweise für immer, was zwischen Ihnen und Ihnen eine private Angelegenheit sein sollte Arzt, der zu Verlegenheit, Diskriminierung am Arbeitsplatz und anderen schwerwiegenden Folgen führt. "
Im Gegensatz zu Verstößen gegen Finanzdaten kann kein Geldbetrag den Schaden reparieren.
Eine letzte Überlegung
Es ist wichtig zu verstehen, dass Gesundheitsdienstleister, um die HIPAA einzuhalten, einen Prüfpfad darüber führen müssen, wer auf welche Aufzeichnungen zugegriffen hat, welche Änderungen vorgenommen wurden und wann. Wenn also etwas nicht stimmt, können Patienten Antworten auf EHR-bezogene Fragen erwarten. Das ist gut. Leider kann der Schaden zu diesem Zeitpunkt bereits angerichtet sein.
