Tabla de contenido:
- Los malos quieren registros electrónicos de atención médica
- Asegurar los datos del paciente en reposo y en tránsito
- Privacidad del paciente
- Una última consideración
Para aquellos que se inscribieron para recibir atención médica bajo los planes federales o estatales que se implementaron a fines de 2013, espero que su experiencia sea mejor que la mía. Viviendo en Minnesota, me inscribí en MNsure, el programa estatal. El proceso tomó seis horas.
Desafortunadamente, los sitios web que funcionan mal no son el único problema digital que afecta la inscripción en el plan de atención médica. Después de haber completado auditorías de sitios federales y estatales, agencias gubernamentales y organizaciones independientes están proclamando que muchas, incluyendo healthcare.gov y MNsure.org, tienen una calificación baja cuando se trata de salvaguardar información médica confidencial.
Por ejemplo, un artículo que apareció en The Weekly Standard el 24 de enero informó sobre una gran falla de seguridad en el sitio web federal, HealthCare.gov. Según el CEO de TrustedSec, David Kennedy, citado en el artículo, el sitio web de inscripción permite a los atacantes crear páginas web funcionales y potencialmente maliciosas dentro del sitio web HealthCare.gov. (sobre el lanzamiento - y las consecuencias - en Por qué se estrelló el primer lanzamiento de HealthCare.gov, una evaluación arquitectónica).
Justo al mismo tiempo que el lanzamiento federal de HealthCare.gov, se informó una violación de seguridad importante de los datos financieros personales en poder de Target. Se cree que hasta 40 millones de tarjetas de crédito y débito pueden haber sido afectadas.
Mencioné anteriormente que soy de Minnesota, hogar de la sede de Target y un sitio web de inscripción de atención médica estatal que es menos que estelar cuando se trata de proteger los datos personales de los miembros. Es difícil no preguntarse si está surgiendo un patrón. Especialmente cuando MinnPost, un servicio local de noticias en línea, cuenta una historia sobre la falta de seguridad en los registros de farmacias estatales. Después de todo, si Target no puede proteger los datos financieros, ¿qué nos hace pensar que pueden mantener los registros de salud fuera de peligro?
Los malos quieren registros electrónicos de atención médica
Para los delincuentes, los registros electrónicos de atención médica (EHR), incluidos los registros de identificación médica, son un tesoro de información procesable. El artículo de MinnPost menciona una razón por la cual:
"El llamado 'robo de identidad médica' es una preocupación creciente en todo el país, ya que los ladrones pueden obtener acceso al número de plan de salud del paciente, el historial de recetas y otra información personal, que puede usarse para defraudar a los proveedores de atención médica".
El artículo de MinnPost cita a un experto de Gartner, quien dice que el robo de identidad médica es especialmente problemático porque puede llevar años descubrirlo. Si, durante ese tiempo, los delincuentes tienen éxito en hacer reclamos fraudulentos, la víctima pobre probablemente recibirá aumentos de primas, y no tendrá idea de por qué; o peor aún, suponga que la compañía de seguros está haciendo lo que normalmente hace: simplemente aumentar las tarifas.
El aumento en el interés de EHR por los malos no se perdió en Symantec Corporation. Hace unos meses, la compañía lanzó un libro blanco que examinó "los desafíos y requisitos de proteger los datos confidenciales de los pacientes en línea, el riesgo de violaciones de seguridad en el mundo de EHR y las medidas que las organizaciones de atención médica deben tomar para lograr y mantener conformidad."
El documento comienza con una descripción general de EHR, explicando que sus principales beneficios son la capacidad de compartir datos de pacientes de forma rápida, precisa y fácil entre los proveedores de atención médica en cualquier lugar de los Estados Unidos. Más específicamente, los EHR ayudan:
- Registrar la continuidad de un proveedor a otro
- Reduce los errores en las recetas
- Proporcione seguimiento y alertas en tiempo real para una atención al paciente más efectiva y eficiente
Asegurar los datos del paciente en reposo y en tránsito
Cuando el documento de Symantec comenzó a hablar sobre la seguridad de los datos de los pacientes, los autores asumieron que las organizaciones de atención médica contarán con soluciones de seguridad adecuadas para los registros de pacientes almacenados. En cuanto a los datos de pacientes en tránsito, Symantec ofreció su propia solución,
"Para proteger los datos confidenciales de los pacientes del acceso no autorizado, las organizaciones de atención médica necesitan un enfoque sistemático de seguridad en toda la transacción en línea, mitigando así las amenazas en múltiples niveles".
Privacidad del paciente
Cuando se trata de mantener la privacidad del paciente, Symantec explica que los principios de la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) son prominentes en toda la doctrina de EHR. Los gobiernos estatales también han agregado sus propios estatutos, que tienden a centrarse en la privacidad individual, imponiendo fuertes multas si los proveedores manejan la información del paciente incorrectamente, o son lentos en notificar a los pacientes sobre una violación de datos.
El documento también supone que "muchos consumidores probablemente se sentirían inclinados a decir que la seguridad de sus datos financieros es motivo de mayor preocupación que la privacidad de sus registros de atención médica".
Tal vez. Pero, ¿cuál es realmente peor?
Después de todo, las violaciones de datos como las que sufren los compradores de Target son realmente malas, pero el daño puede repararse. Es difícil decir lo mismo para una violación de datos que resulta en el robo de registros de atención médica del paciente.
Según Symantec, "una vez que la información confidencial se derrama en Internet, no se puede volver a poner en la botella. Amigos, compañeros de trabajo, familiares y empleadores potenciales pueden saber para siempre lo que se suponía que era un asunto privado entre usted y su médico que provoca vergüenza, discriminación laboral y otras consecuencias graves ".
A diferencia de las violaciones de datos financieros, ninguna cantidad de dinero puede reparar el daño.
Una última consideración
Es importante comprender que los proveedores de atención médica, para cumplir con HIPAA, deben mantener un registro de auditoría de quién accedió a qué registros, qué cambios se realizaron y cuándo. Entonces, si algo no está bien, los pacientes pueden esperar respuestas a preguntas relacionadas con EHR. Eso es bueno. Desafortunadamente, para ese momento, el daño ya puede estar hecho.
