Waarom is het verkrijgen van een goede MFB een uitdaging in de gezondheidszorg?
Als we een ziekenhuis opdelen in vier functionele gebieden – klinisch, operationeel, administratief en technologisch – zijn die laatste drie gebieden typerend voor de levenscyclus van elk bedrijf. Het eerste aspect, het klinische aspect, is uniek voor de gezondheidszorg en vereist specifieke workflow-overwegingen voor artsen.
Verpleegkundigen in de eerste ploegendienst kunnen bijvoorbeeld verschillende apparaten hebben waarmee ze de hele dag op verschillende locaties moeten in- en uitloggen. De hoeveelheid tijd die nodig is om opnieuw te authenticeren om toegang te krijgen tot kritieke applicaties, ook al duurt het maar anderhalve minuut, kan een enorme impact hebben op de patiëntenzorg. Dat is de grote uitdaging in de patiëntervaring en binnen het klinische continuïteit van zorgmodel: de workflow wordt sterk beïnvloed door MFA.
Er is ook de uitdaging van het inrichten en intrekken van gebruikersaccounts binnen een gezondheidszorgorganisatie. Denk eens aan pro re nata verpleegkunde: Organisaties hebben af en toe behoefte aan flexibele middelen, en er zijn maar weinig ziekenhuizen met volwassen genoeg onboarding-processen waarmee ze bruikbare accounts kunnen opzetten die aan het einde van een dienst worden weggegooid. Dat is een snelle levenscyclus voor een account, en de meeste providers zijn daar niet toe uitgerust.
De gedetailleerde nalevingstijdlijnen die zijn voorgesteld voor de bijgewerkte beveiligingsregel, zoals de vereisten voor het beëindigen van toegang binnen één uur en de vereisten voor systeemherstel binnen 72 uur, duiden op de intentie van de toezichthouder om een hogere standaard van operationele flexibiliteit en reactievermogen op te leggen. Dit weerspiegelt de erkenning dat traditionele, minder prescriptieve benaderingen onvoldoende zijn tegen de snelheid en verfijning van moderne cyberdreigingen. De last verschuift van het louter hebben van beveiligingscontroles naar het aantoonbaar uitvoeren ervan met specifieke, meetbare prestatiemaatstaven. Dit impliceert een aanzienlijke behoefte aan sterk geautomatiseerde processen, goed ingestudeerde incidentresponsplannen en continue monitoringmogelijkheden.
LEES MEER: Dit is wat zorgorganisaties moeten weten over geavanceerde aanhoudende bedreigingen.
Hoe vormen geactualiseerde auditverwachtingen een uitdaging voor de gezondheidszorg?
Veel organisaties beginnen misschien vanaf nul, omdat ze dit niveau van auditing niet hebben gedaan. Ze moeten een beleidstaxonomie invoeren voor het bewaren van documenten. Als je in veel organisaties vraagt hoe lang iets bewaard moet worden, is het antwoord ‘voor altijd’. Dit komt omdat organisaties ervoor willen zorgen dat ze over gegevens beschikken voor het geval er zich een probleem voordoet, ongeacht hoeveel tijd er is verstreken sinds de oorspronkelijke gebeurtenis. Maar er zijn elementen in de gezondheidszorg, zoals beeldvorming, die enorme opslagruimte in beslag nemen.
Aan de andere kant hebben organisaties die van plan zijn documentatie vrij te geven vaak geen gedefinieerde opslagvervalperiode en beschikken ze niet over de technologische processen om de opslag of de kosten in de loop van de tijd te beheren.
Zorgorganisaties kunnen naar andere sectoren kijken om te zien hoe zij gegevensbeveiliging benaderen. De betaalkaartindustrie heeft bijvoorbeeld standaarden en specificaties voor gegevensbeveiliging opgesteld die al meer dan tien jaar bestaan. Volg een financiële organisatie. Patiëntendossiers zijn zelfs belangrijker dan financiële informatie, dus bescherm ze ten koste van alles.
Veranderingen zijn niet alleen voor ziekenhuizen
We hebben de neiging om ons te concentreren op HIPAA als iets dat alleen van toepassing is op traditionele aanbieders. Maar denk eens aan een seniorenzorgorganisatie met oudere volwassen bewoners: ook daar is beschermde gezondheidsinformatie van belang. Hoewel we dit beschouwen als een kwestie van zorgaanbieders, is naleving en verantwoordelijkheid van de HIPAA in veel omgevingen allesomvattend, en iedereen die met zorggegevens omgaat, moet zich hieraan houden.
Naleving is noodzakelijk voor iedereen die zorggegevens beheert, inclusief degenen die deze gegevens misschien nog niet eerder relevant hebben geacht. Naarmate de noodzaak om gezondheidsinformatie te beschermen en over te dragen groeit, strekt de naleving van HIPAA zich nu uit tot financieel en levensstijlbeheer, en niet alleen tot klinische zorg.
Dit artikel maakt deel uit van GezondheidTech‘S Monitor-blogserie.
