Bài viết: “Cách hệ thống y tế có thể bảo vệ quyền riêng tư bệnh nhân tốt hơn – TechToday”
Hashtag: #BảoVệQuyềnRiêngTưBệnhNhân
Tiến sĩ Eric Liederman, giám đốc thông tin y tế cho The Permanente Medical Group, cho biết việc giao tiếp tốt với bệnh nhân về bảo vệ an ninh mạng là điều cần thiết – ngay cả khi rủi ro về thông tin sức khỏe được bảo vệ đang gia tăng do các nhóm đối tác nội bộ và từ bên ngoài.
Sự bất an ngày càng tăng của bệnh nhân khi chia sẻ thông tin sức khỏe
Ngoài các sự cố trong hệ thống y tế như ransomware có thể gây nguy hại đến dữ liệu bệnh nhân, tội phạm mạng ngày càng tấn công vào từng bệnh nhân cá nhân. Một số người biết rằng họ là “mục tiêu” và không tiết lộ thông tin sức khỏe của mình cho nhà cung cấp dịch vụ y tế, Liederman nói.
Trước khi tăng mạnh cuộc tấn công vào lĩnh vực y tế bắt đầu từ năm 2015, “có một số bệnh nhân không thoải mái khi cung cấp toàn bộ thông tin cho bác sĩ của mình”, ông nói với những người tham dự tại Hội nghị An ninh mạng Y tế HIMSS ở Boston trong tháng này.
Theo một khảo sát năm 2014, 10% bệnh nhân không tin tưởng công nghệ y tế, Liederman nói, nhưng một khảo sát gần đây khác cho thấy 87% bệnh nhân không sẵn lòng tiết lộ toàn bộ thông tin y tế của mình.
Người ta không chỉ kiểm soát “mối tổn thương tâm lý” khi không cung cấp thông tin sức khỏe, mà sự không tin tưởng rằng hệ thống y tế có thể bảo vệ họ khiến họ tìm dịch vụ chăm sóc sức khỏe ở nơi khác.
“Làm thế nào chúng ta có thể làm cho bệnh nhân và nhân viên hiểu rằng chúng ta đang bảo vệ họ?”
Việc triển khai các cơ chế để đảm bảo an toàn dữ liệu – từ bên trong tổ chức ra ngoài – và truyền tải về các nỗ lực bảo vệ mạng đã đem lại kết quả tốt, Liederman cho biết.
Phân quyền chung mang lại sự bảo vệ tốt hơn cho bệnh nhân
Liederman đặt niềm tin phân quyền chung đã giúp tạo sự tin tưởng cao hơn giữa bệnh nhân và nhân viên.
Với phân quyền chung, có sự tăng cường giao tiếp rằng “Chúng ta cùng nhau trong điều này – cho đến các cấp cao của tổ chức”, ông nói.
Tại Kaiser Permanente, các thành viên từ mọi phần của tổ chức đóng vai trò trong bảo mật dữ liệu, và có quyết định chung dẫn đến “giảm ma sát”, ông nói.
“Chúng ta có những kết quả tốt hơn vì các biện pháp kiểm soát được triển khai để giảm rủi ro đã được đồng ý hoặc thỏa thuận hợp tác”, Liederman nói. “Và do đó, chúng giảm thiểu rủi ro mà không làm hỏng hoạt động của chúng tôi, đặc biệt là chăm sóc bệnh nhân, và nâng cao khả năng phản ứng trong trường hợp khẩn cấp vì mọi người hiểu rõ tình hình”.
“Chúng ta triển khai các biện pháp kiểm soát nhanh hơn vì mọi người không phản đối”, ông thêm. “Và có rủi ro nghề nghiệp giảm, đặc biệt là đối với CISO, phải không?”
Ông Liederman nhấn mạnh tầm quan trọng của việc giúp bệnh nhân và nhân viên hiểu rõ những gì hệ thống y tế đang làm để bảo vệ họ và khuyến nghị có đội ngũ truyền thông làm đối tác HIT, ông nói.
“Bạn đều có mặt ở đây, bạn đều có thể trực tiếp liên quan đến việc bảo vệ tổ chức của mình hoặc hỗ trợ các tổ chức trong việc bảo vệ dữ liệu của họ. Người ta có biết bạn đang làm gì không?”
Bảo vệ khỏi mối đe dọa từ bên trong
Trong khi an ninh mạng thiết kế để bảo vệ khỏi các mối đe dọa từ bên ngoài, mối đe dọa từ bên trong cũng là một nguyên nhân đáng bận tâm, đặc biệt là trong lĩnh vực y tế.
“Có đủ sự chú ý được trả vào đó không?” Liederman hỏi.
Đối với mối đe dọa từ bên trong, “Có hai loại nhân tố đe dọa từ bên trong,” ông nói. Trong khi một loại rất tương tự với kẻ tấn công từ bên ngoài, chẳng hạn như nhân viên không hài lòng, “những người đó thực sự chỉ chiếm một số ít”.
Liederman lưu ý rằng trong khi các chuyên gia mạng cố gắng tập trung vào tìm hiểu và giảm thiểu những rủi ro từ người bên trong và ngăn chặn hành động của họ, cũng cần xem xét “những con người đôi khi, đôi lúc bị cám dỗ sử dụng thông tin đăng nhập của mình để tra cứu thông tin không nên xem”.
Đó là một người họ biết, người họ biết đến hoặc ai đó nổi tiếng trong cộng đồng đang nhập viện. “Đang diễn ra chuyện gì? Tôi muốn biết, đúng không?”
Mối đe dọa từ bên trong – việc lùng sục – rất khác biệt so với nỗ lực an ninh mạng thông thường, Liederman nói.
Nhân viên cung cấp dịch vụ chăm sóc sức khỏe đôi khi bị cám dỗ để xem hồ sơ sức khỏe của những người họ biết – bạn bè, gia đình và đồng nghiệp. Nhưng sau đó còn những người họ đã nghe đến.
“Tôi nói về những người nổi tiếng và nổi tiếng không chỉ là những người nổi tiếng. Không chỉ là thị trưởng hoặc người nổi tiếng. Có thể là một tên sát nhân hàng loạt đã bị bắt và bị bắn và hiện đang ở phòng cấp cứu của bạn”, Liederman nói.
“Đây chỉ là những con người bình thường bị cám dỗ. Và chúng ta muốn giúp họ ngăn chặn việc phá hoại sự nghiệp của họ và việc xâm phạm quyền riêng tư của người khác.”
Liederman nhấn mạnh rằng ở giai đoạn trước HIPAA, ông làm việc tại một cơ sở y tế học thuật nơi mọi người có quyền truy cập vào kết quả xét nghiệm và báo cáo chẩn đoán hình ảnh một cách dễ dàng.
“Trong vài tuần sau khi đến đó, một đồng nghi
Nguồn: https://techtoday.co/how-health-systems-can-better-protect-patient-privacy/
Dr. Eric Liederman, director of medical informatics for The Permanente Medical Group, says good communications with patients about cybersecurity protection is essential – even as risks to protected health information are on the rise, from external bad actors and insider threats.
Growing patient discomfort in sharing health information
Beyond health system disruptions such as ransomware that can compromise patient data, cybercriminals are increasingly going after individual patients. Some know they have a “target” on their backs and remain tight-lipped with their healthcare providers, said Liederman.
Before what he referred to as the major ramp up in attacks against healthcare that began in 2015, there was “an appreciable minority of patients who were uncomfortable providing all their information to their doctors,” he told attendees at the HIMSS Healthcare Cybersecurity Forum in Boston earlier this month.
According to one 2014 survey, 10% of patients distrusted health technology, Liederman said, but another recent survey found 87% of patients are unwilling to divulge all their medical information.
It’s not only “a sense of psychic harm” they seek to control in holding back health information, a sense of distrust that their health system can protect them has them seeking care elsewhere.
“How do we impress upon our patients and our workforce that we’re protecting them?”
Implementing mechanisms to ensure the safety of data – from the inside of organizations out – and communicating about cyber protection efforts has resulted in better outcomes, Liederman said.
Joint governance leads to better patient protection
Liederman credited joint governance for helping to facilitate a higher sense of trust among patients and the workforce.
With joint governance, there’s increased dialogue that says, “We’re all together on this – all the way to the top of the organization,” he said.
At Kaiser Permanente, members from all parts of the organization play a role in data security, and there’s joint decision-making that results in “reduced friction,” he said.
“We have better outcomes because the controls that get implemented to mitigate risk are controls that are jointly agreed to or collaboratively agreed to,” said Liederman. “And so they mitigate risk without impairing our operations, or especially patient care, and improve our crisis response because everybody understands what’s at stake.
“We have faster implementation for controls because people don’t push back,” he added. “And there’s reduced career risk, especially for the CISO, right?
“You’re one bad day away from having to look for a new job. It shouldn’t be that way.”
Liederman stressed how critical it is to impress upon both patients and the workforce what health systems are doing to protect them and advised having the communications team as an HIT partner, he said.
“You’re all here, you all are presumably either directly involved with protecting your organizations or supporting organizations in protecting their data. Do people know what you’re doing?”
Protecting against insider threats
While cybersecurity is designed to protect against external threats, insider threats are a significant cause for concern, especially in healthcare.
“Is there sufficient attention paid there?” Liederman asked.
For the insider threats, “There’s two kinds of insider threat actors,” he said. While one is very similar to the external attacker, such as a disgruntled employee, “those folks are really a small minority.”
Liederman noted that, while cyber professionals try to focus on finding and mitigating these insider risks and blocking their actions, there are also the “human beings who sometimes, occasionally get tempted to use their credentials to look up information they shouldn’t look at” to consider.
It’s somebody they know, somebody they know of or somebody prominent in the community who is hospitalized. “What’s going on? I want to know, right?”
That insider threat – snooping – is substantially different from typical cybersecurity efforts, said Liederman.
Healthcare provider employees are tempted to occasionally look at the health records of people they know – friends, family and coworkers. But then there are the people they’ve heard of.
“I say famous and infamous. It isn’t just famous people. It isn’t just the mayor or celebrities. It might be a mass murderer who’s been arrested and shot and is now in your emergency department,” Liederman said.
“These are just human beings who get tempted. And so we want to help them deter themselves from ruining their careers and breaching the privacy of others.”
Liederman noted that earlier in his career – pre-HIPAA – he worked at an academic medical facility where access to lab results and radiology reports was wide open.
“Within a few weeks of being there, I had a colleague approach me, telling me that a coworker had congratulated her on her pregnancy before she even knew of the pregnancy test result herself.
“And then the next week, somebody told me that they learned of their cancer diagnosis from a coworker giving them tools. That’s how they learn they had cancer, right?
“This was a toxic culture,” he said.
Despite being 100 miles from another health system, two-thirds of employees sought care elsewhere, he said.
Over the next few years, Liederman said that he shut off access to certain departmental systems, implemented an electronic health record with audit trails and began an audit-monitoring program for snooping.
Addressing insider snooping
Access restrictions are a disaster that puts patients at risk, Liederman said. At most risk are the patients who are very sickest and are considered high-risk-for-breach “VIPs.”
To safely address insider snooping you have to record all the views and actions, which HIPAA requires anyway.
But, with “smart surveillance” – using the audit trail and focusing on where people are tempted to look – cybersecurity teams can suss out offenders, he said,
The point of implementing an auditing program and letting people know about it is not to fire half of the workforce – “these are skilled, talented, experienced people. You want them to keep working there, you want them to keep their licenses.”
The goal is culture change, he said.
“It’s a different mindset from protecting against the outside attackers,” he said.
“The goal here is not to find everybody. The goal here is to have a program where you find enough people so that everybody knows there’s a program and they deter themselves.”
He outlined the basic steps for launching an auditing program:
- Tell everybody that you have an auditing program.
- Tell them you’re auditing before you start the program, so that you tamp down on the temptation-based snooping before you even start looking.
- Overcommunicate about your auditing program.
“It works really well and works really fast,” he said, noting that within weeks the number of snooping events drops by more than 90% – “and stays that way.”
Andrea Fox is senior editor of Healthcare IT News.
Email: [email protected]
Healthcare IT News is a HIMSS Media publication.
[ad_2]
