Η τήρηση των κανονισμών αποτελεί επιβαρυντικό καθήκον για οποιοδήποτε τμήμα πληροφορικής στον τομέα της υγείας, συμπεριλαμβανομένης της συμμόρφωσης με την HIPAA, ειδικά όταν είναι συνδεδεμένο με μετρητά ή με χαμηλό αριθμό εργαζομένων. Τι μπορούν λοιπόν να κάνουν; Μεταξύ της ταχέως εξελισσόμενης νομοθεσίας για την ασφάλεια φορητότητας και λογοδοσίας των ΗΠΑ (HIPAA), των κανονισμών για την προστασία του καταναλωτή (CCPA) και των κανονισμών περί γενικής προστασίας δεδομένων (GDPR), είναι πλέον απαραίτητο (και δύσκολο) σύμφωνα με τους κανόνες και τα πρότυπα του κλάδου. Η μη συμμόρφωση με κανονισμούς όπως αυτές δεν θα μπορούσε μόνο να οδηγήσει σε νομικά ζητήματα και σοβαρά πρόστιμα, αλλά και ζητήματα ιδιωτικού απορρήτου. Αυτό περιλαμβάνει τα πάντα, από την υπονόμευση ευαίσθητων διαπιστευτηρίων της εταιρείας έως την έκθεση στους επιτιθέμενους Dark Web – δεδομένα ασθενών και πελατών, τα οποία τώρα αξίζουν 10 φορές περισσότερα από τα στοιχεία της πιστωτικής κάρτας.
Ο Max Pruger , Γενικός Διευθυντής Συμμόρφωσης στην Kaseya, εξηγεί πώς οι οργανισμοί υγειονομικής περίθαλψης μπορούν να βεβαιωθούν ότι είναι ενημερωμένοι σχετικά με τα πρότυπα συμμόρφωσης της βιομηχανίας με τον πλέον οικονομικά αποδοτικό τρόπο.
Πώς επηρεάζουν οι κανόνες απορρήτου τον τομέα ΤΠ της υγειονομικής περίθαλψης;
Max Pruger: Η HIPAA έχει λάβει την ευθύνη για την επιβάρυνση των φορέων παροχής υπηρεσιών υγείας και των οργανισμών που πρέπει να συντονίζουν τη φροντίδα μεταξύ διαφορετικών ομάδων φροντιστών και οργανισμών. Αποτελεί επίσης εμπόδιο στην ανταλλαγή πληροφοριών με τους φίλους και τα μέλη της οικογένειας των ασθενών με προβλήματα ψυχικής υγείας και κατάχρησης ουσιών. Η σύνθεσή του είναι ένας ξεχωριστός νόμος με τίτλο 42 CFR Part 2, ο οποίος παρέχει υψηλότερα επίπεδα προστασίας σε ασθενείς που αναζητούν θεραπεία κατάχρησης ουσιών.
Στο πλαίσιο της πρωτοβουλίας της για τη μείωση των κανονιστικών βαρών, η σημερινή διοίκηση πρότεινε την εξάλειψη της απαίτησης για τους γιατρούς και τα νοσοκομεία να λαμβάνουν έγγραφες βεβαιώσεις από ασθενείς που λαμβάνουν ειδοποίηση περί πρακτικών ιδιωτικού απορρήτου. Θεωρούν ότι η απαίτηση αυτή είναι περιττή, με ελάχιστες ή καθόλου επιπτώσεις στη βελτίωση της περίθαλψης των ασθενών.
Ποιες είναι οι συνέπειες της μη συμμόρφωσης με τους νέους κανόνες;
Pruger: Δεν υπήρξαν νέοι κανόνες από το άρθρο Omnibus το 2013. Πέρυσι το OCR έστειλε ένα αίτημα για πληροφορίες και σχόλια σχετικά με την τροποποίηση του Κανόνα Προστασίας Προσωπικών Δεδομένων. Τα σχόλια ζητήθηκαν και πρέπει να γίνουν τον Φεβρουάριο του 2019, αλλά μέχρι στιγμής δεν έχουν γίνει αλλαγές.
Ποιοι είναι οι κίνδυνοι έκθεσης των ασθενών;
Pruger: Για μια καλυμμένη οντότητα, η έκθεση των ασθενών μέσω παραβίασης μπορεί να οδηγήσει σε βαριά πρόστιμα, αγωγές, απώλεια φήμης και πιθανή πτώχευση. Για έναν ασθενή του οποίου τα αρχεία έχουν εκτεθεί, ο πρωταρχικός κίνδυνος είναι η κλοπή ταυτότητας. Οι εγκληματίες του κυβερνοχώρου με δεδομένα περί υγειονομικής περίθαλψης μπορούν να υποβάλλουν ψευδείς φορολογικές δηλώσεις, να κάνουν ψευδείς ασφαλιστικές αξιώσεις, να κάνουν αίτηση για πιστωτικές κάρτες και να λάβουν δάνεια. Σε αντίθεση με μια συμβιβασμένη πιστωτική κάρτα, είναι πολύ δύσκολο για έναν ασθενή να ακυρώσει τα ιατρικά αρχεία. Αυτός είναι ο λόγος για τον οποίο κλεμμένα ιατρικά αρχεία τυπικά πωλούνται για 8 έως 10 φορές περισσότερο από μια κλεμμένη πιστωτική κάρτα στο σκοτεινό ιστό.
Ποιες είναι οι απειλές για τις οποίες πρέπει να προσέξουμε;
Pruger: Κλοπή δεδομένων, ransomware, συμβιβασμός ηλεκτρονικού ταχυδρομείου για επιχειρήσεις και μη εξουσιοδοτημένη πρόσβαση, εσωτερική ή εξωτερική, αποτελούν όλες τις συνήθεις απειλές για τους οργανισμούς υγειονομικής περίθαλψης.
Από πού προέρχονται αυτές οι απειλές;
Pruger: Αυτές οι απειλές προέρχονται τόσο από εσωτερικές όσο και από εξωτερικές πηγές. Οι εσωτερικοί κίνδυνοι μπορεί απλά να είναι άνθρωποι που κάνουν λάθη ή δεν είναι κατάλληλα εκπαιδευμένοι για να αναγνωρίσουν ύποπτα ηλεκτρονικά μηνύματα. Μπορούν επίσης να είναι δυσαρεστημένοι ή κακόβουλοι υπάλληλοι που επιθυμούν συμβιβασμό και κλέβουν δεδομένα ασθενών σε αντάλλαγμα για νομισματικό ή προσωπικό κέρδος. Εξωτερικές πηγές είναι συνήθως εγκληματίες στον κυβερνοχώρο που θέλουν να κερδίσουν χρήματα με την πώληση πολύτιμων αρχείων ασθενών ή την κρυπτογράφηση δεδομένων για λύτρα.
Διαβάστε όλες τις τελευταίες Ειδήσεις για την υγεία από την Ελλάδα και τον ΚόσμοΑκολουθήστε το healthweb.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις
Ακολουθήστε το healthweb.gr στο κανάλι μας στο YouTube