תוכן עניינים:
למי שנרשם לטיפול רפואי במסגרת התוכניות הפדרליות או הממלכתיות שיצאו בסוף 2013, אני מקווה שהניסיון שלך היה טוב משלי. גרתי במינסוטה, נרשמתי ל MNsure, התוכנית הממלכתית. התהליך ארך שש שעות.
לרוע המזל, אתרים בעלי תפקוד לקוי אינם הבעיה הדיגיטלית היחידה הנוגעת להרשמה של תוכנית הבריאות. לאחר שבוצעו ביקורת באתרים פדרליים וממלכתיים, סוכנויות ממשלתיות וארגונים עצמאיים מכריזים שרבים - כולל health.gov ו- MNsure.org - מדרגים באופן גרוע בכל מה שקשור לשמירה על מידע רפואי רגיש.
לדוגמא, מאמר שהופיע בכתב העת השבועי ב- 24 בינואר דיווח על תקלה ביטחונית ענקית באתר הפדרלי, HealthCare.gov. לדברי מנכ"ל TrustedSec, דייוויד קנדי, המצוטט בקטע, אתר ההרשמה מאפשר לתוקפים ליצור דפי אינטרנט מתפקדים, ועלולים להיות זדוניים, באתר HealthCare.gov. (על ההפעלה - והנפילה - מדוע ההשקה הראשונה של HealthCare.gov Crash, הערכה אדריכלית).
בערך באותה תקופה עם ההפעלה הפדרלית של HealthCare.gov, דווח על הפרה ביטחונית משמעותית של נתונים פיננסיים אישיים שבידי Target. ההערכה היא כי עד 40 מיליון כרטיסי אשראי וחיוב עשויים להיות מושפעים.
ציינתי קודם כי אני ממינסוטה, בית המטה של טארגט, ובאתר הרשמה לבריאות המדינה הוא פחות מהמם בכל מה שקשור לאבטחת המידע האישי של החברים. קשה שלא לתהות אם תבנית מתהווה. במיוחד כאשר MinnPost, שירות חדשות מקוון מקוון, מנהל סיפור על חוסר האבטחה סביב רשומות בית מרקחת ממלכתיות. אחרי הכל, אם היעד לא יכול להגן על נתונים פיננסיים, מה גורם לנו לחשוב שהם יכולים להרחיק את רישומי הבריאות?
חבר'ה רעים רוצים רשומות בריאות אלקטרוניות
בעיני עבריינים, רשומות רפואיות אלקטרוניות (EHR), כולל רישומי זיהוי רפואי, הן אוצר של מידע רב-מעשי. המאמר של MinnPost נוגע בסיבה אחת לכך:
"המכונה 'גניבת זהות רפואית' היא דאגה הולכת וגוברת בפריסה ארצית, מכיוון שגנבים עשויים לקבל גישה למספר תוכנית הבריאות של המטופל, היסטוריית המרשם ומידע אישי אחר, העשוי לשמש להונאת נותני שירותי הבריאות."
מאמר MinnPost מצטט אז מומחה מגרטנר, שאומר כי גניבת זהות רפואית היא בעייתית במיוחד מכיוון שעשויות לקחת שנים עד שגילתה. אם במהלך אותה תקופה, עבריינים מצליחים להגיש תביעות הונאה, הקורבן האומלל יקבל ככל הנראה העלאות פרמיה, ולא יהיה לו מושג מדוע; או גרוע מכך, נניח שחברת הביטוח עושה את מה שהיא עושה בדרך כלל - פשוט מגדילה את התעריפים.
הזינוק בעניין של EHR על ידי הרעים לא אבד בחברת סימנטק. לפני מספר חודשים פרסמה החברה נייר לבן שבחן את "האתגרים והדרישות של הגנה על מידע סודי על מטופלים באופן מקוון, את הסיכון לפריצות אבטחה בעולם ה- EHR ואת האמצעים שארגוני הבריאות צריכים לנקוט כדי להשיג ולתחזק הענות."
העיתון מתחיל עם סקירה כללית של EHR, והסביר כי היתרונות העיקריים שלו הם היכולת לשתף את נתוני המטופלים במהירות, במדויק ובקלות בין נותני שירותי הבריאות בכל מקום בארצות הברית. ליתר דיוק, EHRs עוזרים:
- רשום המשכיות מספק לספק
- צמצם טעויות במרשמים
- ספק מעקב והתראות בזמן אמת לטיפול יעיל יותר בחולים
אבטחת נתוני חולים במנוחה ובמעבר
כאשר העיתון של Symantec החל לדבר על אבטחת נתוני מטופלים, הכריחו המחברים כי לארגוני שירותי הבריאות יהיו פתרונות אבטחה נאותים עבור רשומות המטופלים המאוחסנות. באשר לנתוני מטופלים במעבר, סימנטק הציעה פיתרון משלה,
"כדי להגן על נתוני מטופלים חסויים מפני גישה בלתי מורשית, ארגוני שירותי בריאות זקוקים לגישה שיטתית לאבטחה בכל העסקה המקוונת, ובכך להקל על האיומים ברמות מרובות."
פרטיות המטופל
כשמדובר בשמירה על פרטיות המטופלים, סימנטק מסביר כי עקרונות חוק הניידות וחוק האחריות של ביטוח הבריאות (HIPAA) בולטים בכל תורת ה- EHR. ממשלות המדינה הוסיפו גם חוקים משלהן, הנוטים להתמקד בפרטיות הפרט, להטיל קנסות כבדים אם ספקים מטפלים במידע על המטופל בצורה לא נכונה, או מאטים להודיע לחולים על הפרת נתונים.
העיתון גם מניח כי "צרכנים רבים ככל הנראה נוטים לומר כי אבטחת הנתונים הכספיים שלהם מעוררת דאגה גדולה יותר מאשר פרטיותם של רשומות הבריאות שלהם."
אולי. אבל מה באמת גרוע יותר?
אחרי הכל, הפרות נתונים כמו מה שעובר על ידי קונים היעד אכן גרועים, אך ניתן לתקן את הנזק. קשה לומר את אותו דבר לגבי הפרת נתונים שגרמה לגניבה של רישומי הבריאות של המטופלים.
לדברי סימנטק, "ברגע שנשפך מידע סודי באינטרנט, לא ניתן להחזיר אותו לבקבוק. חברים, עמיתים לעבודה, בני משפחה ומעסיקים פוטנציאליים עשויים לדעת לנצח מה היה אמור להיות עניין פרטי בינך לבין שלך רופא המוביל למבוכה, אפליה בעבודה והשלכות חמורות אחרות. "
בשונה מהפרות נתונים פיננסיים, שום סכום כסף לא יכול לתקן את הנזק.
שיקול אחרון
חשוב להבין כי ספקי שירותי הבריאות, על מנת לעמוד ב- HIPAA, חייבים לעקוב אחר מסלול הביקורת של מי ניגש לאילו רשומות, אילו שינויים בוצעו ומתי. לכן, אם משהו לא בסדר, המטופלים יכולים לצפות לתשובות לשאלות הקשורות ל- EHR. זה דבר טוב. למרבה הצער, עד אז, ייתכן שהנזק כבר ייגרם.
