Waarom is het een uitdaging om de MFA goed te krijgen in de gezondheidszorg?
Als we een ziekenhuis in vier functionele gebieden verdelen – klinisch, operationeel, administratief en technologisch – zijn de laatste drie gebieden typerend voor de levenscyclus van elk bedrijf. Het is het eerste, het klinische aspect, dat uniek is voor de gezondheidszorg en dat specifieke workflow-overwegingen voor artsen vereist.
Eerstelijnsverpleegkundigen kunnen bijvoorbeeld meerdere apparaten hebben waarop ze gedurende de dag op meerdere locaties moeten in- en uitloggen. De tijd die nodig is voor het opnieuw autoriseren van toegang tot kritieke applicaties, ook al duurt het maar anderhalve minuut, kan een enorme impact hebben op de patiëntenzorg. Dit is de grote uitdaging in de patiëntervaring en in het klinische continuïteitsmodel: de workflow wordt sterk beïnvloed door het ministerie van Buitenlandse Zaken.
Er is ook de uitdaging van het inrichten en intrekken van gebruikersaccounts in een gezondheidszorgorganisatie. Denk eens aan pro re nata verpleegkunde: Organisaties hebben af en toe behoefte aan flexibele middelen, en er zijn maar weinig ziekenhuizen met volwassen genoeg onboarding-processen om bruikbare accounts te creëren die aan het einde van een dienst worden weggegooid. Het is een snelle levenscyclus voor een account en de meeste providers zijn hier niet voor uitgerust.
De gedetailleerde nalevingstijdlijnen die zijn voorgesteld voor de bijgewerkte beveiligingsregel, zoals de 1 uur durende toegangsonderbreking en de 72 uur durende systeemherstelvereisten, duiden op de intentie van de wetgever om een hogere standaard van operationele flexibiliteit en reactievermogen op te leggen. Dit weerspiegelt de erkenning dat traditionele, minder prescriptieve benaderingen ontoereikend zijn tegen de snelheid en verfijning van moderne cyberdreigingen. De last verschuift van het simpelweg hebben van beveiligingscontroles naar het aantoonbaar uitvoeren ervan met specifieke, meetbare prestatiemaatstaven. Dit impliceert een aanzienlijke behoefte aan sterk geautomatiseerde processen, goed ingestudeerde incidentresponsplannen en continue monitoringmogelijkheden.
LEES MEER: Dit is wat zorgorganisaties moeten weten over geavanceerde aanhoudende bedreigingen.
Hoe vormen geactualiseerde auditverwachtingen een uitdaging voor de gezondheidszorg?
Veel organisaties beginnen misschien helemaal opnieuw, omdat ze dit auditniveau niet hebben uitgevoerd. Ze moeten een beleidstaxonomie voor documentopslag introduceren. Als je in veel organisaties vraagt hoe lang iets bewaard moet worden, is het antwoord ‘voor altijd’. Dit komt omdat organisaties ervoor willen zorgen dat ze over gegevens beschikken als er zich een probleem voordoet, ongeacht hoeveel tijd er is verstreken sinds de oorspronkelijke gebeurtenis. Maar er zijn elementen in de gezondheidszorg, zoals beeldvorming, die enorme opslagruimte in beslag nemen.
Aan de andere kant ontbreekt het organisaties die van plan zijn documentatie vrij te geven vaak aan een gedefinieerde bewaarperiode en beschikken zij niet over de technologische processen om de bewaring of uitgaven in de loop van de tijd te beheren.
Zorgorganisaties kunnen naar andere sectoren kijken om te zien hoe zij gegevensbeveiliging benaderen. De betaalkaartindustrie heeft bijvoorbeeld normen en specificaties voor gegevensbeveiliging opgesteld die al meer dan tien jaar bestaan. Volg een financiële organisatie. Patiëntendossiers zijn zelfs belangrijker dan financiële informatie, dus bescherm ze ten koste van alles.
Veranderingen gelden niet alleen voor ziekenhuizen
We hebben de neiging om ons te concentreren op HIPAA als iets dat alleen van toepassing is op traditionele aanbieders. Maar denk eens aan een ouderenzorgorganisatie met oudere volwassen bewoners: ook daar is beschermde gezondheidsinformatie belangrijk. Hoewel we dit als een probleem zien bij zorgaanbieders, is naleving en aansprakelijkheid van de HIPAA in veel omgevingen allesomvattend, en iedereen die met zorggegevens omgaat, moet hieraan voldoen.
Naleving is noodzakelijk voor iedereen die gezondheidsgegevens beheert, ook voor degenen die deze gegevens misschien nog niet eerder relevant hebben geacht. Naarmate de noodzaak om gezondheidsinformatie te beschermen en over te dragen groeit, strekt de naleving van HIPAA zich nu uit tot financieel en levensstijlbeheer, en niet alleen tot klinische zorg.
Dit artikel maakt deel uit van GezondheidTech‘S Monitor blogseries.
