Waarom is het verkrijgen van een goede MFB een uitdaging in de gezondheidszorg?
Als we een ziekenhuis opdelen in vier functionele gebieden – klinisch, operationeel, administratief en technologisch – zijn deze laatste drie gebieden typerend voor de levenscyclus van elk bedrijf. Het eerste, het klinische aspect, is uniek voor de gezondheidszorg en vereist specifieke workflow-overwegingen van artsen.
Verpleegkundigen in de eerste ploegendienst kunnen bijvoorbeeld verschillende apparaten hebben waarmee ze de hele dag op verschillende locaties moeten in- en uitloggen. De hoeveelheid tijd die nodig is om opnieuw te authenticeren om toegang te krijgen tot kritieke applicaties, ook al duurt het maar anderhalve minuut, kan een enorme impact hebben op de patiëntenzorg. Dit is de grote uitdaging in het model van patiëntervaring en klinische continuïteit van zorg: de workflow wordt sterk beïnvloed door AMF.
Er is ook de uitdaging van het inrichten en de-provisioneren van gebruikersaccounts binnen een gezondheidszorgorganisatie. Denk aan pro re nata verpleegkunde: organisaties hebben af en toe flexibele middelen nodig, en er zijn maar weinig ziekenhuizen met onboardingprocessen die volwassen genoeg zijn om bruikbare accounts te kunnen creëren die aan het einde van een dienst worden weggegooid. Dit is een drukke levenscyclus voor een account en de meeste providers zijn hier niet toe uitgerust.
De gedetailleerde nalevingstijdlijnen die zijn voorgesteld voor de bijgewerkte beveiligingsregel, zoals de vereisten voor toegangsbeëindiging van 1 uur en systeemherstel van 72 uur, duiden op de intentie van de toezichthouder om een hogere standaard van operationele flexibiliteit en reactievermogen op te leggen. Dit weerspiegelt de erkenning dat traditionele, minder prescriptieve benaderingen onvoldoende zijn tegen de snelheid en verfijning van moderne cyberdreigingen. De last verschuift van het simpelweg hebben van beveiligingscontroles naar het aantoonbaar beheren ervan met specifieke, meetbare prestatiestatistieken. Dit impliceert een aanzienlijke behoefte aan sterk geautomatiseerde processen, goed geteste incidentresponsplannen en mogelijkheden voor continue monitoring.
MEER INFORMATIE: Dit is wat zorgorganisaties moeten weten over geavanceerde aanhoudende bedreigingen.
Hoe vormen de geactualiseerde reviewverwachtingen een uitdaging voor de gezondheidszorg?
Veel organisaties beginnen misschien helemaal opnieuw, omdat ze dit auditniveau niet hebben uitgevoerd. Ze moeten een beleidstaxonomie voor het bewaren van documenten invoeren. Als je in veel organisaties vraagt hoe lang iets bewaard moet worden, is het antwoord ‘voor altijd’. Dit komt omdat organisaties ervoor willen zorgen dat ze over gegevens beschikken voor het geval er zich een probleem voordoet, ongeacht hoeveel tijd er is verstreken sinds de oorspronkelijke gebeurtenis. Maar er zijn zaken in de gezondheidszorg, zoals beeldvorming, die enorme opslagruimte in beslag nemen.
Aan de andere kant hebben organisaties die van plan zijn documentatie vrij te geven vaak geen gedefinieerde vervalperiode voor archivering en beschikken ze niet over de technologische processen om archivering of kosten in de loop van de tijd te beheren.
Zorgorganisaties kunnen naar andere sectoren kijken om te zien hoe zij gegevensbeveiliging benaderen. De betaalkaartindustrie heeft bijvoorbeeld normen en specificaties voor gegevensbeveiliging opgesteld die al meer dan tien jaar bestaan. Volg een financiële organisatie. Patiëntendossiers zijn zelfs belangrijker dan financiële informatie, dus bescherm ze ten koste van alles.
De veranderingen hebben niet alleen gevolgen voor ziekenhuizen
We hebben de neiging om ons te concentreren op HIPAA als iets dat alleen van toepassing is op traditionele leveranciers. Maar laten we eens denken aan een seniorenzorgorganisatie met oudere bewoners: ook daar is beschermde gezondheidsinformatie belangrijk. Hoewel we dit probleem beschouwen als een probleem voor zorgaanbieders, is naleving en verantwoording van de HIPAA in veel omgevingen allesomvattend, en iedereen die met zorggegevens omgaat, moet zich daaraan houden.
Naleving is noodzakelijk voor iedereen die met gezondheidsgegevens omgaat, ook voor degenen die deze gegevens misschien nog niet eerder relevant hebben geacht. Met de groeiende behoefte om gezondheidsinformatie te beschermen en over te dragen, strekt de naleving van HIPAA zich nu uit tot financieel en levensstijlbeheer, en niet alleen tot klinische zorg.
Dit artikel maakt deel uit van GezondheidTech‘S Monitor-blogserie.
