5 طرق لدفع الامتثال لقانون خصوصية المريض من داخل مؤسستك

بقلم إسحاق كوهين ، نُشر في الأصل في HFMA

  • ابدأ من الداخل للتخفيف من مخاطر بيانات الرعاية الصحية الكبرى.
  • حماية بيانات المريض في بيئة رعاية صحية ديناميكية مليئة بالتحديات الفريدة.
  • من تسرب البيانات العرضي إلى السرقة الخبيثة ، يعتبر المطلعون مسئولون عن الغالبية العظمى من انتهاكات البيانات المتعلقة بالرعاية الصحية.

عندما تفشل مؤسسات الرعاية الصحية في حماية المعلومات الشخصية للمرضى ، فإنها قد تواجه ضررًا لسمعتها وتفقد المرضى لمقدمي الرعاية الصحية الآخرين الذين يعتبرهم الجمهور أكثر مسؤولية وموثوقية. بالإضافة إلى ذلك ، عند انتهاك قوانين الخصوصية ، فإن العقوبات المالية والعقوبات الأخرى قد تجعل الأمر في النهاية أكثر صعوبة لمقدمي الرعاية الصحية لتقديم رعاية جيدة للمرضى.

في حين أنه من المنطقي حماية البيانات الخاصة بصحة المرضى وأرقام الضمان الاجتماعي وعناوين المنازل من الجهات الخارجية السيئة ، فإن أهم التهديدات موجودة في الداخل. من تسرب البيانات العرضي إلى السرقة الخبيثة ، بحسب أ مجلة HIPAA مقال 3 أبريل 2018 ، يمثل المطلعون الغالبية العظمى من انتهاكات البيانات المتعلقة بالرعاية الصحية.

يحتاج مقدمو الرعاية الصحية إلى تطوير خطط لحماية معلومات المرضى. لسوء الحظ ، لا يوجد حل سحري يضمن أمانًا بنسبة 100٪ في جميع الظروف ، ولكن يمكن لكل مؤسسة القيام بعمل أفضل لحماية بيانات المريض.

فيما يلي خمس خطوات يجب على كل مقدم رعاية صحية اتخاذها للحماية من التهديدات الداخلية في عام 2020.

1. كشف ومنع التهديدات من الداخل. تعد تهديدات المطلعين أكثر من مجرد فكرة مجردة ، وهي تحدث بانتظام مخيف من الكشف عن البيانات العرضي والسرقة الخبيثة.

وفقًا لتقرير Verizon لعام 2018 بشأن التهديدات الداخلية ، تأثر أكثر من نصف شركات الرعاية الصحية بتهديد من الداخل ، والإهمال هو أحد المذنبين الرئيسيين. كل شيء من الوصول الشامل إلى تكنولوجيا الهاتف المحمول إلى الخطوط غير الواضحة بين البيانات الشخصية والمهنية يخلق بيئة مهيأة لإساءة استخدام البيانات.

على سبيل المثال ، يستخدم ما يقرب من 30٪ من جميع أعضاء فريق الرعاية الصحية الأجهزة الشخصية لنقل معلومات المريض ، وهي ممارسة تخلق مخاوف بشأن خصوصية البيانات على عدة مستويات ، وفقًا لمقال في العوامل البشرية JMIR.

في هذه البيئة الرقمية المشكوك فيها ، لا يمكن أن يُتوقع من مسؤولي تكنولوجيا المعلومات حماية ما لا يمكنهم تحديده. لحسن الحظ ، هناك العديد من المؤشرات على وجود تهديد من الداخل ، وحلول برمجية ، مثل برامج المراقبة القوية ، التي يمكنها اكتشاف هؤلاء العناصر السيئة مع منعهم من إساءة استخدام المعلومات الصحية الشخصية (PHI) ومعلومات التعريف الشخصية (PII).

بغض النظر عن نية الموظف ، تتحمل شركات الرعاية الصحية مسؤولية اكتشاف ومنع إساءة استخدام البيانات ، ونشر الأدوات المناسبة هو الخطوة الأولى في العملية.

2. تقديم مبادئ توجيهية وسياسات لسوء إدارة البيانات. إذا كان من المتوقع أن يقوم الموظفون بحماية بيانات المرضى ، فيجب على مؤسسات الرعاية الصحية تقديم إرشادات وسياسات واضحة للمساعدة في منع سوء إدارة البيانات. قد تشمل هذه:

  • تحديد الأجهزة التي يمكن استخدامها للوصول إلى بيانات المريض
  • تحديد الوقت والمكان المناسبين للوصول إلى البيانات
  • الحفاظ على موقف الحاجة إلى المعرفة تجاه بيانات الرعاية الصحية
  • إعطاء الأولوية لتقدير عند نقل معلومات المريض
  • الاستفادة من قنوات الاتصال المعتمدة للخطاب المهني

في الوقت نفسه ، يحتاج قادة الرعاية الصحية إلى تزويد الموظفين بالوعي في الوقت الفعلي لتنفيذ هذه الأولوية.

حماية بيانات المريض في بيئة رعاية صحية ديناميكية مليئة بالتحديات الفريدة. حتى الأفضل-
يمكن للموظفين المقصودين انتهاك لوائح الخصوصية لقانون HIPAA ، لذا فإن عمليات التحقق والتوازنات مثل التنبيهات في الوقت الفعلي لتعزيز الوعي بالبيانات مفيدة وضرورية.

بالإضافة إلى ذلك ، فإن الضمانات التقنية الآلية التي تتحكم في الوصول إلى المعلومات الصحية المحمية يمكن أن تقلل بشكل كبير من تعرض بيانات المريض مع تقليل احتمالية انتهاك الامتثال.

3. التدريب وإعادة التدريب القائم على البيانات. تتطلب HIPAA أن تقوم الشركات التي تتعامل مع PHI و PII بإعداد موظفيها للتعامل مع هذه المعلومات. بينما تتطلب لائحة HIPAA من الشركات “تدريب جميع أفراد القوى العاملة على سياسات وإجراءات الخصوصية الخاصة بها ، حسب الضرورة والمناسبة لهم لتنفيذ وظائفهم” ، فإن التعبير الملموس عن هذا التدريب متروك إلى حد كبير للكيانات الفردية.

بغض النظر عن المنهجية ، يجب أن يكون التدريب على أمن البيانات والخصوصية متسقًا وواضحًا وخاضعًا للمساءلة. لا يكفي توجيه اليوم الأول والاجتماعات السنوية لحماية المعلومات الصحية المحمية ومعلومات التعريف الشخصية.

يجب أن يتم دمجها في روح الشركة ، وهذا يحدث فقط مع التكرار والتعليمات المنتظمة.

تشمل المفاتيح الأخرى المتعلقة بالتدريب ما يلي:

  • يجب أن يكون التدريب على أمن البيانات محددًا وقائمًا على البيانات ، مما يضمن استعداد الموظفين لحماية بيانات المريض.
  • يمكن لشركات الرعاية الصحية الاستفادة من برنامج المراقبة الخاص بها لمعالجة أوجه القصور المحددة داخل المنظمة.

على سبيل المثال ، تشير التقديرات إلى أن ما يقرب من 500000 سجل تتعرض للاختراق يوميًا بسبب الأجهزة المحمولة مجلة HIPAA. إذا وجدت الشركة أن موظفيها يصلون بشكل روتيني إلى بيانات المريض من جهاز محمول ، فيمكنهم توجيه تدريبهم لتقييد أو إعطاء الأولوية للوصول إلى البيانات من هذه الأجهزة.

4. منع فقدان بيانات نقطة النهاية. كلما كان ذلك ممكنًا ، يعتبر منع حدث فقدان البيانات أولوية قصوى لمسؤولي تكنولوجيا المعلومات في الرعاية الصحية ، والبرمجيات هي أفضل سلاح في هذه المعركة المستمرة. يمكن أن يوفر برنامج مراقبة الموظفين إخطارات في الوقت الفعلي لنشاط البيانات المشبوه. يمكن أن يؤدي ذلك إلى تقليل وقت الاستجابة من ساعات أو أيام إلى دقائق ، مما قد يمنع كارثة البيانات قبل أن تبدأ.

ببساطة ، من المهم تحديد التهديدات المحتملة ، ولكن الهدف هو منعهم من سرقة أو الكشف عن البيانات الحساسة.

5. الأدلة الجنائية المتعلقة بتقنية المعلومات في أعقاب خرق البيانات. بالطبع ، يعد أمن البيانات تهديدًا متطورًا له العديد من المظاهر ، وعندما يحدث خطأ ما ، يحتاج مقدمو الرعاية الصحية إلى التعلم من الحلقة وإظهار عبء الإثبات.

يسمح برنامج مراقبة الموظفين اليوم للمستشفيات ومقدمي الرعاية الصحية الآخرين بإصدار تقارير مفصلة عن الحوادث مستمدة من تسجيلات الجلسات وسجلات الوصول ونقاط البيانات الأخرى. يمكن مشاركة هذه المعلومات مع مسؤولي الخصوصية ويمكن تحليلها لتحسين أفضل الممارسات في المستقبل.

وفي الوقت نفسه ، تسمح الأدلة الجنائية الخاصة بتكنولوجيا المعلومات للشركات بتحميل الجناة المسؤولية ، مما يضمن الكشف عن سرقة البيانات الضارة ومعاقبتهم بشكل مناسب.

لحماية بيانات المريض بشكل مناسب ، تحتاج شركات الرعاية الصحية إلى توجيه انتباهها إلى التهديدات الداخلية المحتملة ، وتنفيذ المبادئ التوجيهية والسياسات الخاصة بسوء إدارة البيانات ، والتركيز على تدريب الموظفين وإعادة تدريبهم ، ومنع فقدان البيانات في المقام الأول ، وتمكين الأدلة الجنائية لتقنية المعلومات من إدارة وتحليل انتهاكات البيانات .

تم نشر هذه المقالة في الأصل على HFMA وأعيد طبعها بإذن.

قد يعجبك ايضا