De redundantie en veerkracht die de cloud biedt, zijn volgens Christian van cruciaal belang voor de bedrijfscontinuïteit en het herstel na een ramp.
“We zijn erg veerkrachtig als het gaat om het minimaliseren van de downtime en de impact op onze eindgebruikers”, zegt Bhat, waarbij hij opmerkt dat het cloud-EPD hem ook toegang geeft tot dashboards en rapporten die de naleving van HIPAA en beveiligingsframeworks aangeven, zoals die van het National Institute of Standards and Technology en de International Organization for Standardization.
Bhat adviseert zorgorganisaties die EPD-migraties overwegen om ‘beveiliging tot een kernvereiste te maken’.
“Als u beveiliging onderdeel maakt van de initiële build en over de juiste segmentatie en controles beschikt, bevindt u zich in een veel veiligere omgeving nadat uw migratie is voltooid”, zegt hij.
Christian vergelijkt het ontwerpen van beveiliging in de cloud met het bouwen van een huis: “Je wacht niet tot het huis klaar is om de bedrading aan te leggen – je doet het allebei samen.”
EPD-beveiligingsmaatregelen: verantwoordelijkheden definiëren
“Het beschermen van particuliere patiëntgegevens is de belangrijkste verantwoordelijkheid van een zorginstelling”, zegt Ahumada.
Cloudgebaseerde EPD’s helpen zorgorganisaties deze verantwoordelijkheid te vervullen.
Slechts één medewerker die op een bijlage in een phishing-e-mail klikt, kan een reeks problemen voor de hele organisatie veroorzaken. Elke interactie van een werknemer met elk systeem vertegenwoordigt een potentiële kwetsbaarheid. Bij cloudgebaseerde EPD’s wordt de beveiliging echter op een centraal punt beheerd, zegt Ahumada.
Maar dat voordeel brengt ook een risico met zich mee. “Dat centrale punt wordt een single point of Failure”, zegt hij. Als dat punt wordt geschonden, kunnen slechte actoren brede toegang krijgen tot gevoelige patiënt- en organisatiegegevens.
Om de voordelen van een cloudgebaseerd EPD te benutten en tegelijkertijd de risico’s te beperken, moeten gezondheidszorgorganisaties de beveiligingsmaatregelen van zowel hun EPD-softwareleveranciers als hun cloudplatforms zorgvuldig overwegen – en de beveiligingsverantwoordelijkheden van elke partij zorgvuldig specificeren in hun zakelijke overeenkomsten.
“We verwachten de hoogste normen van onze leveranciers, en dat brengt veel planning, testen en pilots met zich mee voordat we naar de cloud verhuizen”, zegt Ahumada over de Epic-migratie van Johns Hopkins, die ongeveer twee jaar geleden met de planningsfase begon en over ongeveer een jaar voltooid zal zijn. “Beveiliging is een gedeelde verantwoordelijkheid tussen de leveranciers en de zorgorganisatie.”
