Mục lục:
- Kẻ xấu muốn hồ sơ chăm sóc sức khỏe điện tử
- Bảo mật dữ liệu bệnh nhân khi nghỉ ngơi và chuyển tuyến
- Quyền riêng tư của bệnh nhân
- Một cân nhắc cuối cùng
Đối với những người đã đăng ký chăm sóc sức khỏe theo các kế hoạch của liên bang hoặc tiểu bang đã triển khai vào cuối năm 2013, tôi hy vọng kinh nghiệm của bạn tốt hơn của tôi. Sống ở Minnesota, tôi đã đăng ký vào trường MNsure, chương trình của tiểu bang. Quá trình này mất sáu giờ.
Thật không may, các trang web hoạt động kém không phải là vấn đề kỹ thuật số duy nhất gây khó khăn cho việc đăng ký kế hoạch chăm sóc sức khỏe. Sau khi hoàn thành kiểm toán các trang web liên bang và tiểu bang, các cơ quan chính phủ và các tổ chức độc lập đang tuyên bố rằng nhiều người - bao gồm chăm sóc sức khỏe và MNsure.org - đánh giá kém khi bảo vệ thông tin y tế nhạy cảm.
Ví dụ, một bài báo xuất hiện trên tờ Tiêu chuẩn hàng tuần vào ngày 24 tháng 1 đã báo cáo về một trục trặc an ninh lớn trong trang web liên bang, HealthCare.gov. Theo Giám đốc điều hành TrustedSec David Kennedy, người được trích dẫn trong phần này, trang web đăng ký cho phép kẻ tấn công tạo ra các trang web hoạt động và có khả năng độc hại trong trang web HealthCare.gov. (về buổi giới thiệu - và sự sụp đổ - trong lý do tại sao buổi giới thiệu đầu tiên của HealthCare.gov bị sụp đổ, một Đánh giá kiến trúc.)
Ngay trong cùng thời điểm triển khai HealthCare.gov của liên bang, một vi phạm an ninh lớn đối với dữ liệu tài chính cá nhân do Target nắm giữ đã được báo cáo. Người ta tin rằng có tới 40 triệu thẻ tín dụng và thẻ ghi nợ có thể đã bị ảnh hưởng.
Tôi đã đề cập trước đó rằng tôi đến từ Minnesota, nơi đặt trụ sở của Target và một trang web đăng ký chăm sóc sức khỏe của tiểu bang ít hơn sao khi nói về việc bảo mật dữ liệu cá nhân của các thành viên. Thật khó để không tự hỏi nếu một mô hình đang nổi lên. Đặc biệt là khi TrinPost, một dịch vụ tin tức trực tuyến địa phương, thực hiện một câu chuyện về sự thiếu an ninh xung quanh hồ sơ dược phẩm nhà nước. Rốt cuộc, nếu Target không thể bảo vệ dữ liệu tài chính, điều gì khiến chúng tôi nghĩ rằng họ có thể giữ hồ sơ sức khỏe tránh khỏi tác hại?
Kẻ xấu muốn hồ sơ chăm sóc sức khỏe điện tử
Đối với tội phạm, hồ sơ chăm sóc sức khỏe điện tử (EHR), bao gồm cả hồ sơ nhận dạng y tế, là một kho tàng thông tin hành động. Bài báo của TrinPost chạm đến một lý do tại sao:
"o được gọi là 'hành vi trộm cắp danh tính y tế' đang là mối lo ngại ngày càng tăng trên toàn quốc, vì những tên trộm có thể truy cập vào số chương trình sức khỏe của bệnh nhân, lịch sử kê đơn và thông tin cá nhân khác, có thể được sử dụng để lừa gạt các nhà cung cấp dịch vụ chăm sóc sức khỏe."
Bài báo của TrinPost sau đó trích dẫn một chuyên gia từ Gartner, người nói rằng hành vi trộm cắp danh tính y tế đặc biệt rắc rối vì có thể mất nhiều năm để khám phá. Nếu trong thời gian đó, bọn tội phạm thành công trong việc đưa ra các yêu cầu gian lận, nạn nhân nghèo rất có thể sẽ nhận được các khoản tăng giá cao, và không có manh mối về lý do tại sao; hoặc tệ hơn nữa, giả sử công ty bảo hiểm đang làm những gì nó thường làm - đơn giản là tăng tỷ lệ.
Sự gia tăng lợi ích của EHR bởi những kẻ xấu đã không bị mất trên Symantec Corporation. Vài tháng trước, công ty đã phát hành một tờ giấy trắng kiểm tra "những thách thức và yêu cầu bảo vệ dữ liệu bệnh nhân bí mật trực tuyến, nguy cơ vi phạm an ninh trong thế giới của EHR và các biện pháp mà các tổ chức chăm sóc sức khỏe phải thực hiện để đạt được và duy trì tuân thủ."
Bài viết bắt đầu với một cái nhìn tổng quan về EHR, giải thích rằng lợi ích chính của nó là khả năng chia sẻ dữ liệu bệnh nhân nhanh chóng, chính xác và dễ dàng giữa các nhà cung cấp dịch vụ chăm sóc sức khỏe ở bất cứ đâu tại Hoa Kỳ. Cụ thể hơn, EHRs giúp:
- Ghi liên tục từ nhà cung cấp đến nhà cung cấp
- Giảm sai sót trong đơn thuốc
- Cung cấp theo dõi và cảnh báo theo thời gian thực để chăm sóc bệnh nhân hiệu quả hơn, hiệu quả hơn
Bảo mật dữ liệu bệnh nhân khi nghỉ ngơi và chuyển tuyến
Khi bài báo Symantec bắt đầu nói về việc bảo mật dữ liệu bệnh nhân, các tác giả đã đưa ra giả định rằng các tổ chức chăm sóc sức khỏe sẽ có giải pháp bảo mật đầy đủ để lưu trữ hồ sơ bệnh nhân. Đối với dữ liệu bệnh nhân đang vận chuyển, Symantec đưa ra giải pháp riêng,
"Để bảo vệ dữ liệu bệnh nhân bí mật khỏi sự truy cập trái phép, các tổ chức chăm sóc sức khỏe cần một cách tiếp cận có hệ thống để bảo mật trên toàn bộ giao dịch trực tuyến, do đó giảm thiểu các mối đe dọa ở nhiều cấp độ."
Quyền riêng tư của bệnh nhân
Khi nói đến việc duy trì quyền riêng tư của bệnh nhân, Symantec giải thích rằng các nguyên lý của Đạo luật Trách nhiệm và Trách nhiệm Giải trình về Bảo hiểm Y tế (HIPAA) là nổi bật trong tất cả các học thuyết EHR. Chính phủ tiểu bang cũng đã bổ sung các đạo luật riêng, có xu hướng tập trung vào quyền riêng tư cá nhân, phạt tiền nặng nếu nhà cung cấp xử lý thông tin bệnh nhân không chính xác hoặc chậm trong việc thông báo cho bệnh nhân vi phạm dữ liệu.
Bài viết cũng giả định rằng "nhiều người tiêu dùng có thể sẽ có khuynh hướng nói rằng tính bảo mật của dữ liệu tài chính của họ là mối quan tâm lớn hơn sự riêng tư của hồ sơ chăm sóc sức khỏe của họ."
Có lẽ. Nhưng cái nào thực sự tồi tệ hơn?
Rốt cuộc, các vi phạm dữ liệu như những gì người mua sắm Target đang phải chịu là thực sự tồi tệ, nhưng thiệt hại có thể được sửa chữa. Thật khó để nói điều tương tự đối với vi phạm dữ liệu dẫn đến việc đánh cắp hồ sơ chăm sóc sức khỏe của bệnh nhân.
Theo Symantec, "Một khi thông tin bí mật được đưa lên Internet, nó không thể được đưa trở lại vào chai. Bạn bè, đồng nghiệp, thành viên gia đình và chủ lao động tiềm năng có thể mãi mãi biết đâu là vấn đề riêng tư giữa bạn và bạn bác sĩ dẫn đến sự bối rối, phân biệt công việc và những hậu quả nghiêm trọng khác. "
Không giống như vi phạm dữ liệu tài chính, không có khoản tiền nào có thể sửa chữa thiệt hại.
Một cân nhắc cuối cùng
Điều quan trọng là phải hiểu rằng các nhà cung cấp dịch vụ chăm sóc sức khỏe, để tuân thủ HIPAA, phải theo dõi kiểm toán xem ai đã truy cập hồ sơ nào, những thay đổi nào được thực hiện và khi nào. Vì vậy, nếu có gì đó không đúng, bệnh nhân có thể mong đợi câu trả lời cho các câu hỏi liên quan đến EHR. Đó là một điều tốt. Thật không may, vào thời điểm đó, thiệt hại có thể đã được thực hiện.