¿Qué significa el aumento de la accesibilidad EHR para la ciberseguridad?
Por
Los registros de salud electrónicos (EHR, por sus siglas en inglés) ofrecen muchos beneficios, como centralizar la información de un paciente y simplificar la comunicación. Estos beneficios solo crecerán a medida que continúen los avances técnicos en la atención médica. Por ejemplo, en una sesión de preguntas y respuestas después de su discurso principal de HIMSS, Eric Schmidt de Google habló sobre el papel fundamental que ha desempeñado la adopción de EHR en la centralización de los datos del paciente, lo que hará posible el uso de tecnologías como la inteligencia artificial y el aprendizaje automático en el espacio de la salud. . Hoy en día, más del 95% de los hospitales utilizan EHR, y el 38% de los directores de información de los hospitales citan la integración de EHR con otros sistemas como una de las principales prioridades.
El truco para los proveedores de atención médica y otras entidades cubiertas por la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) es garantizar que, a medida que estos registros se utilizan más ampliamente, se comparten y son interoperables, existen controles de seguridad suficientes para garantizar el cumplimiento y el cumplimiento del paciente. intimidad. Esto es especialmente cierto a medida que surgen nuevas iniciativas para hacer que los datos sean más accesibles para los pacientes.
El Reglamento General de Protección de Datos (GDPR)es uno de estos El reglamento define los 3 tipos de datos personales relacionados con el cuidado de la salud de los residentes de la Unión Europea que están sujetos al reglamento específico: datos genéticos, datos que se refieren a la salud física o mental y datos biométricos. El GDPR prohíbe la recolección innecesaria de datos personales por parte de las organizaciones de salud y define 4 categorías de sentido común donde se permite la recolección:
- Los datos se han dado con el consentimiento expreso del propietario.
- Los datos son necesarios para el bien de la salud pública.
- El procesamiento es necesario para los fines de la medicina preventiva u ocupacional.
- El procesamiento de los datos es necesario para los “intereses vitales” del paciente y del proveedor.
Habilitando un mayor acceso a los EHRs
Los EHR, al proporcionar una mayor visibilidad del historial médico a los propios pacientes, están demostrando un valor real. Tradicionalmente, los pacientes no han podido acceder a su archivo médico almacenado por su médico. Sin embargo, los programas recientes buscan aumentar la participación del paciente en su atención al permitirles un mayor acceso a su información médica a través de los EHR.
Uno de estos programas es MyHealthEData . Está destinado a dar a los pacientes un mayor acceso a los datos de EHR a través de varios dispositivos o aplicaciones de su elección. Los pacientes podrán recibir copias completas de sus EHR y compartirlas fácilmente con quien quieran. Este programa también hace hincapié en poner énfasis en las mejoras de interoperabilidad.
La Ley de acceso seguro de los pacientes a los registros de atención médica, se introdujo en un esfuerzo por brindar a los pacientes un mejor acceso a historias clínicas completas a través de centros de información de registros médicos. Estos centros de información tienen registros sobre los planes de tratamiento, diagnósticos y más, mientras procesan las transacciones de miles de proveedores médicos en los Estados Unidos. Esto significa que tienen todos estos datos médicos ya compilados en una sola ubicación. Este proyecto de ley alteraría la forma en que se describen las cámaras de compensación según HIPAA, permitiéndoles divulgar los datos del paciente de acuerdo con las normas de seguridad y privacidad.
Sin embargo, todos los intentos de hacer que la información de salud sea más accesible solo tendrán éxito si los pacientes se sienten realmente seguros al recibir estos registros. Un estudio reciente encontró que el 25% de los pacientes a los que se les ofreció acceso a registros médicos en línea optaron por no recibirlos debido a preocupaciones de seguridad y privacidad. Para alentar la participación del paciente a través de EHR, los proveedores deben asegurarse de que existan controles y estrategias de seguridad que protejan la privacidad del paciente y mantengan el cumplimiento normativo.
Recomendaciones para asegurar EHRs
Los proveedores deben tener especial cuidado para asegurar la información de salud protegida (PHI) a medida que los EHR se pueden compartir para mitigar el riesgo de una violación de datos y la pérdida de la confianza del consumidor. Esto significa asegurarse de que los proveedores sigan las mejores prácticas e incorporen controles efectivos para asegurar los registros en las bases de datos de salud y en tránsito a los pacientes, independientemente de cómo soliciten acceder a ellos, como a través de una aplicación, correo electrónico o cualquier otro medio.
Sin embargo, primero, los proveedores deben determinar la madurez de su programa de seguridad, obtener el compromiso de la organización y una comunicación abierta con proveedores externos.
Realización de una evaluación de ciberamenazas. destaca posibles brechas en la protección de la red que pueden comprometer los datos. Además, los proveedores deben construir una cultura en torno a la seguridad, educar a los empleados sobre los factores de riesgo y cómo evitarlos, y asegurarse de que siguen el protocolo cuando se trata de compartir información y dar acceso a los registros. Los proveedores también querrán revisar las pautas de HIPAA antes de implementar cualquier herramienta de EHR. Luego, cuando se trabaja con desarrolladores externos de EHR, los proveedores pueden garantizar que el cumplimiento y la seguridad se tengan en cuenta en cada iteración.
A continuación, los proveedores deben utilizar un enfoque en capas para mejorar la seguridad de EHR. Existen muchas herramientas de seguridad que se pueden usar para proteger los EHR y generar confianza entre los usuarios.
- Acceso seguro . Para garantizar que solo las partes necesarias tengan autorización para acceder a los datos privados, los proveedores de atención médica deben implementar un sistema para autenticar a los usuarios. Una solución de administración de acceso a la identidad efectiva incorporará características tales como la autenticación de 2 factores, así como la administración de invitados y de su propio dispositivo.
- Encriptación .El cifrado es crucial para garantizar que la PHI no pueda ser interceptada y leída en tránsito.
- Cortafuegos de segmentación interna .Los proveedores pueden usar cortafuegos de segmentación interna para asegurar que la PHI y los EHR se almacenen en la red. Esto aísla los datos privados detrás de una capa adicional de seguridad para garantizar que cualquier amenaza que atraviese el perímetro no pueda comprometer los datos privados de los pacientes. Esto será cada vez más importante a medida que la interoperabilidad entre dispositivos asuma un papel más importante en la atención médica.
- Seguridad de aplicaciones web . Los ciberdelincuentes apuntan regularmente a aplicaciones web. La seguridad efectiva de las aplicaciones, como un firewall, asegurará que las aplicaciones vulnerables en los dispositivos móviles de los pacientes no puedan aprovecharse para comprometer los datos de los pacientes al usar una aplicación de EHR.
- Protección de punto final .La protección de punto final proporciona visibilidad de todos los dispositivos conectados que acceden a la red y les permite segmentarse según sus permisos de datos. Además, la seguridad de punto final permite respuestas en tiempo real a malware y ataques controlados por explotaciones.
Un futuro seguro
Los EHR son un gran activo tanto para los proveedores de atención médica como para los pacientes, ya que mejoran la eficiencia y el acceso a información importante de salud. Sin embargo, una mayor accesibilidad requiere una mayor seguridad para que los pacientes confíen más en la tecnología y los proveedores sigan cumpliendo con las múltiples regulaciones. Una estrategia de controles de seguridad en capas satisfará las necesidades de ambas partes. Las recomendaciones anteriores ayudarán a los pacientes y sus cuidadores a avanzar con confianza hacia el futuro de la atención médica.