Согласно исследованию Kroll, средняя цена утечки данных в сфере здравоохранения составляет 6,75 миллиона долларов .

В наши дни вам не нужно быть знаменитостью, делающей селфи, чтобы беспокоиться о безопасности вашей личной информации и файлов.

Фактически, по мере того, как второй этап осмысленного использования и Obamacare вынуждают все больше и больше практик использовать программное обеспечение для электронных медицинских карт , врачам и офис-менеджерам необходимо уделять все больше и больше внимания безопасности цифровых записей своих пациентов.

Но у многих это получается плохо.

Недавние исследования показали, что 90% больниц и клиник теряют данные о своих пациентах.

Если вы небольшой практикующий врач, вы можете подумать, что у вас нет времени или опыта, чтобы должным образом защищать конфиденциальные медицинские записи.

К счастью, ты ошибаешься.

Выполнив всего несколько основных процедур и приняв некоторые простые меры предосторожности (помимо тех, которые требуются HIPAA ), вы можете защитить информацию о своих пациентах от рук злонамеренных хакеров.

Вот как:

1. Выберите безопасную программную систему EMR.

Поскольку ваше время ценно, это самая важная, самая важная вещь, которую вы можете сделать для защиты медицинских карт пациента.

Хороший поставщик EMR позаботится о многих вопросах безопасности, включая шифрование файлов, защиту резервных копий и ведение журнала активности для будущих аудитов. Поскольку это их основная работа, они могут уделять ей гораздо больше времени и ресурсов, чем вы, что делает этот вид аутсорсинга безопасности идеальным для занятого врача.

Вот что нужно искать в безопасном EMR:

• SaaS или веб-предложение: это гарантирует, что на вашем компьютере нет локальных файлов NPI / ePHI. При использовании облачного программного обеспечения все эти файлы будут храниться в центрах обработки данных поставщика, где биометрическая безопасность и высокий уровень шифрования обеспечат их безопасность.

• Постоянные обновления: системы общественного здравоохранения потеряли 4,5 миллиона имен и номеров социального страхования в результате взлома, потому что они не обновили свои системы для защиты от ошибки Heartbleed. Обязательно ознакомьтесь с графиком обновлений поставщика, чтобы узнать, как часто они исправляют программное обеспечение и исправляют любые недостатки безопасности. Часто вы можете найти обновления, перечисленные в блоге поставщика или в разделе новостей на его веб-сайте.

• Сертифицировано для значимого использования: поскольку для значимого использования требуется EMR для соответствия определенным стандартам безопасности, это хороший показатель того, насколько безопасно программное обеспечение. Многие поставщики размещают это свидетельство на своих веб-сайтах . Если нет, попросите показать сертификат поставщика (или найдите его в государственном списке сертифицированных ИТ-продуктов для здравоохранения ).

Хотя получение первоклассного EMR должно быть вашим главным приоритетом с точки зрения безопасности, имейте в виду : это не панацея, и вы по-прежнему несете ответственность за безопасность любых данных в вашем офисе и локальных компьютерах, а также любых файлов, которые вы передаете между компьютерами. или между вашей локальной системой и EMR.

Не позволяйте тому, что у вас есть отличное программное обеспечение EMR, лениться, когда дело касается защиты данных.

2. Зашифровать, зашифровать, зашифровать

Тот факт, что у вас есть безопасная облачная система EMR, не означает, что вы ничего не понимаете, когда дело доходит до защиты оставшихся файлов NPI / ePHI на локальных компьютерах и в офисной системе.

Если вы храните на офисных компьютерах какие-либо данные, выходящие за рамки расписания сотрудников, их необходимо зашифровать.

К счастью, новые операционные системы Windows и Mac содержат инструменты, которые позволят вам сделать это безболезненно (и если вы не используете новые версии операционных систем, первым шагом должно быть обновление, поскольку они будут наиболее безопасными; по-прежнему используется Windows XP абсолютно неприемлем, если вы заботитесь о безопасности данных).

• Для Windows:  BitLocker - это инструмент шифрования, автоматически включаемый во все ОС Windows, начиная с Windows 7. Он может шифровать целые диски, а также данные на съемных дисках, таких как USB и флэш-накопители. Однако будьте осторожны: любые файлы, которые вы копируете с зашифрованного диска на другой компьютер или диск, будут автоматически расшифрованы, поэтому не думайте, что BitLocker будет защищать файлы в пути (например, отправленные по электронной почте).

• Для Mac:  FileVault - это версия BitLocker для Apple, которая выполняет почти ту же функцию, позволяя шифровать диски на вашем компьютере. Как и в случае с BitLocker, любые файлы, удаленные с зашифрованного диска, больше не зашифровываются и будут небезопасными.

Использовать эти инструменты так же просто, как нажать «включить» и выбрать диск для шифрования и пароль, поэтому у вас нет оправдания, чтобы не использовать их для любых конфиденциальных данных пациента, все еще находящихся на ваших локальных компьютерах.

При отправке файлов и электронных писем убедитесь, что они тоже зашифрованы.

• Для Outlook: Microsoft предоставляет инструкции по получению закрытого ключа и отправке зашифрованных сообщений, которые могут быть открыты только тем, у кого есть собственный сертифицированный закрытый ключ. Это включает в себя возможность шифрования вложений.

• Для Apple Mail: хотя Apple недавно внедрила автоматическое шифрование электронной почты в пути, если вы отправите файл или электронное письмо из своей учетной записи Apple кому-то, кто не использует зашифрованную почтовую службу, он все равно будет отправлен им в незашифрованном виде. Чтобы этого не произошло, загрузите сертификат безопасности, используйте его в своей Apple Mail и отправляйте электронную почту только тем людям, которые также аутентифицированы с помощью сертификата («открытый ключ»).

• Для Gmail: плагины и расширения существуют , чтобы сделать шифрование Gmail как можно более безболезненным, но по- прежнему будет требовать , чтобы вы общаться с кем - то , кто использует зашифрованную электронную почту для любых файлов , отправленных через службу , чтобы быть безопасным.

Потратив время на настройку этих систем сейчас, вы надолго обеспечите безопасность местных данных о пациентах. Это выгодное вложение.

3. Избавьтесь от человеческих ошибок.

Большинство взломов, которые приводят к утечке данных, являются результатом не недостатков в используемой системе шифрования или безопасности, а простых глупых ошибок пользователей.

Вы можете свести к минимуму вероятность этого, соблюдая несколько здравых правил безопасности:

• Настройте все на автоматическое обновление: старые версии программного обеспечения - это бреши в безопасности, которые ждут своего часа. Убедитесь, что ваша операционная система, программа электронной почты и все остальное на вашем компьютере настроены на автоматическую загрузку и установку новых обновлений от поставщика.

• Настройте компьютеры на автоматическую блокировку и переход в спящий режим: любое шифрование в мире не поможет вам, если вы оставите открытый компьютер без присмотра. В системных настройках убедитесь, что ваш компьютер автоматически блокируется и переводится в спящий режим (не в «спящий» режим, поскольку этот режим уязвим для взломов), когда он не используется в течение нескольких минут.

• Не используйте мобильные устройства для доступа к данным. Мобильные устройства, такие как смартфоны и планшеты, хотя и удобны, имеют целый ряд дополнительных рисков и недостатков, а их портативность означает, что у них гораздо больше шансов быть потерянными или украденными.

• Не позволяйте компьютерам покидать офис: сотрудники, приносящие домой ноутбуки на работу или работающие с домашнего компьютера, значительно увеличивают вероятность потери или кражи данных. Вы не можете проверить безопасность личного компьютера сотрудника, и даже вам нельзя доверять, что вы не потеряете ноутбук во время отпуска на Гавайях .

• Ограничьте доступ: уборщику не требуется вход на ваш офисный компьютер. Ограничьте круг лиц, имеющих доступ к данным пациента, до абсолютного минимума. Если кому-то в офисе требуется доступ к нему только время от времени, заставьте его пройти через другого сотрудника, а не предоставляйте ему полный доступ. Эта небольшая неприятность стоит того, чтобы защитить записи о пациентах.

• Подбирайте надежные пароли. Если ваш пароль - «пароль» или «123abc», данные ваших пациентов не защищены, независимо от того, сколько у вас уровней шифрования. Эксперт по безопасности Брюс Шнайер рекомендует преобразовать лично запоминающееся предложение в уникальный пароль (так, чтобы фраза «Когда мне было семь лет, моя сестра бросила мою плюшевую игрушку в унитаз» превратилась в «WIw7, mstmsritt…»).

• Запланируйте аудит безопасности: HIPAA на самом деле требует этого, но настройте напоминание в календаре, чтобы каждые несколько месяцев вы выделяли день на проверку (или проверку внешнего эксперта), что ваши процедуры безопасности все еще работают и работают правильно.

• Практикуйте хорошую безопасность электронной почты: не открывайте вложения от людей, которых вы не знаете, не переходите по ссылкам от людей, которых вы не знаете, убедитесь, что адрес электронной почты совпадает с именем отправителя, так как они могут быть подделаны, и не отправляйте и не сохраняйте незашифрованные файлы или вложения.

Это может показаться очевидным, но именно здесь практики и больницы чаще всего ошибаются.

Опять же, большинство из этих процессов вы можете «установить и забыть»; им потребуется некоторое время на настройку, но меньше времени на обслуживание. Они идеально подходят для врачей, заботящихся о безопасности, но занятых своей практикой и приемом пациентов.

Более?

Есть ли у вас другие предложения по инструментам или передовым методам защиты информации о пациентах? Как это удается вашей практике или больнице?

Поделитесь своими мыслями в комментариях!