Datenschutzverletzungen im Gesundheitswesen betrafen von 2005 bis 2019 fast 250 Millionen Menschen. Aber da sind Möglichkeiten, wie Ihre Arztpraxis diese Verstöße verhindern und die privaten Gesundheitsinformationen Ihrer Patienten schützen kann. Die Zugriffsüberwachung ist eine solche Möglichkeit.
Wie der Name schon sagt, erfolgt die Zugriffsüberwachung, wenn die Nutzung (der Zugriff) einer Person oder eines Systems auf ein Computersystem bewertet (überwacht) wird. Es ist ein Prozess, der beobachtet und analysiert, was passiert, wenn ein Benutzer während einer Sitzung auf ein System zugreift.
Eine Sitzung kann eine einzelne Instanz sein, in der eine Person oder ein System ihre Zugriffsrechte verwendet. Oder eine Sitzung könnte als ein Zeitraum definiert werden, in dem ein Benutzer bei dem betreffenden System angemeldet war, beispielsweise ein Zeitraum, in dem diese Person Arbeit verrichtet.
Natürlich ist das das ideale Szenario, dass eine Sitzung stattfindet, weil jemand legal auf ein System zugegriffen hat für eine bestimmte Zeit, um arbeitsbezogene Aufgaben auszuführen.
Aber da es sich um die reale Welt handelt, treten diese idealen Situationen nicht immer auf. Manchmal hacken sich unbefugte Benutzer in Systeme ein, weil sie Informationen stehlen und für schändliche Zwecke verwenden wollen.
Hacker könnten elektronische Patientenakten und andere private medizinische Informationen stehlen und diese wertvollen Daten gewinnbringend verkaufen. Sie könnten Sozialversicherungsnummern suchen, finden und stehlen und sie für Identitätsdiebstahl verwenden.
Welche Besonderheiten gibt es bei der Zugriffsüberwachung?
Die Untersuchung einiger Schlüsselkonzepte könnte dabei helfen, die Zugriffsüberwachung besser zu erklären:
Proaktive Überwachung findet statt, wenn Sie die Sitzung eines Benutzers beobachten oder analysieren, ohne dass Sie einen definierten Grund für eine Überprüfung haben es.
Im Allgemeinen geschieht diese Beobachtung und Analyse in Echtzeit, während die Sitzung stattfindet, oder sehr kurz nach einer Reihe von Sitzungen. Diese Art der Überwachung wurde mit Überwachungskameras verglichen, die Verbrechen erfassen und bei der Bekämpfung helfen, bevor sich die Bedingungen verschlechtern.
Auf der anderen Seite erfolgt die reaktive Überwachung nach Benutzersitzungen. Menschen autorisieren diese Art der Beobachtung und Analyse aus bestimmten Gründen. Reaktive Überwachung wurde mit Feuerwehrleuten verglichen, die vor Ort eintreffen, um Probleme zu lösen.
Wenn Gesundheitsämter Zugriffssitzungen beobachten, überprüfen sie, was in diesen Zeiten passiert ist (oder passiert). Zu den verschiedenen Arten der Beobachtung können gehören:
Sammlung von Daten, die während der Sitzungen erhalten wurden. Textprüfungen von Sitzungen. Videoaufzeichnungen von Sitzungen.
Nachdem die Gesundheitsämter die Beobachtungssitzungen beendet haben, können sie diese analysieren.
In welcher Beziehung steht die Zugangsüberwachung zu HIPAA?
Wie zu anderen Gesundheitsaspekten Pflegeinformationen bezieht sich die Zugriffsüberwachung auf den Health Insurance Portability and Accountability Act von 1996 (HIPAA). Diese Verordnung hat nationale US-Standards entwickelt, die vor der Offenlegung privater Gesundheitsinformationen ohne das Wissen oder die Zustimmung des Patienten schützen.
Einige Organisationen verwenden eine App (Computeranwendung), um
die Aktivitätsberichte von elektronischen zu überprüfen Gesundheitsaktensysteme. Verknüpfen Sie diese Aktivitätsberichte mit den Personaldaten des Systems. Erstellen Sie Prüfberichte, die feststellen könnten, ob das System einen autorisierten Benutzerzugriff erfahren hat.
Arztpraxen könnten solche Informationsberichte verwenden, um zu bestimmen, was als Nächstes zu tun ist.
Wie funktioniert die Zugriffsüberwachung?
Auditberichte können verdächtige Aktivitäten aufdecken , z. B. jemand, der sich bei einem Gesundheitssystem anmeldet und die elektronischen Patientenakten von Familienmitgliedern, Freunden oder Nachbarn einsieht, obwohl er nicht berechtigt ist, solche Dateien einzusehen. Oder eine solche Analyse könnte einen Audit-Alarm erzeugen, weil jemand ohne Zugang zum Abrufen der Aufzeichnungen einer Arztpraxis diese Aufzeichnungen gerade angesehen hat.
Zum Beispiel eine elektronische Zugriffsüberwachung System kann melden, dass ein Mitarbeiter zu einem bestimmten Zeitpunkt auf die Akte eines bestimmten Patienten zugegriffen hat. Da dieses System auch die Personalinformationen des Mitarbeiters gespeichert hat, kann es kennzeichnen, ob der Mitarbeiter und der Patient den gleichen Nachnamen, die gleichen Kontaktinformationen oder andere Ähnlichkeiten haben. Kurz gesagt, der Mitarbeiter versucht möglicherweise, Informationen aus persönlichen Gründen zu erhalten, auch wenn er dazu nicht berechtigt ist.
Sobald verdächtige Aktivitäten gefunden und gemeldet wurden, können sie mit der HIPAA des Systems besprochen werden Offiziere. Wenn der nicht autorisierte Benutzer ein Mitarbeiter ist, können auch seine Vorgesetzten, Mitarbeiter der Personalabteilung und Gewerkschaftsvertreter über dieses verdächtige Verhalten sprechen.
Andere Personen müssen ebenfalls benachrichtigt werden. Im Falle einer Datenschutzverletzung sind Arztpraxen verpflichtet, jede betroffene Person zu benachrichtigen, die United States Federal Trade Commission (FTC) unter Verwendung eines bestimmten Formulars, und wenn der Verstoß besonders groß war, die Medien.
Wie könnte Arztpraxen Zugriffsüberwachungsverfahren erstellen?
Die einzelnen Arztpraxen verwenden und greifen auf leicht unterschiedliche Weise auf elektronische Patientenakten zu. Wenn Sie jedoch Ihre eigenen Zugriffsüberwachungsverfahren erstellen, sollten Sie einige allgemeine Überlegungen anstellen. Sie könnten:
Feststellen, wen und was Sie überwachen
Suchen Sie nach Personen, die zuvor fälschlicherweise auf das System zugegriffen haben? Patienteninformationen, auf die zugegriffen wird. Welche Systeme werden Sie verwenden, wenn Sie Informationen extrahieren?
Es ist auch wichtig zu bestimmen, was in Ihrer medizinischen Praxis angemessen und was unangemessen ist. Erlauben Sie Personen, auf ihre eigenen Aufzeichnungen zuzugreifen?
Informieren Sie die Mitarbeiter, warum Sie überwachen
HIPAA verlangt von medizinischen Dienstleistern, Pläne zu erstellen und umzusetzen, „um Aufzeichnung und Untersuchung des Zugriffs und anderer Aktivitäten in Informationssystemen, die z-PHI”(elektronisch geschützte Gesundheitsinformationen). Stellen Sie sicher, dass Ihre Praxis über einen solchen Plan verfügt.
Stellen Sie außerdem sicher, dass Ihre Mitarbeiter über diesen Plan Bescheid wissen. Schreiben Sie es auf, damit Sie die Erinnerungen aktueller Mitarbeiter auffrischen und neue einarbeiten können.
Legen Sie fest, wann Sie überwachen
Wenn Sie es sind Geben Sie bei der Erstellung Ihres Überwachungsplans die Häufigkeit an, mit der Sie überwachen werden. Auch hier ist es eine gute Idee, diese Informationen zu formalisieren und mit Ihren Mitarbeitern zu kommunizieren.
Benachrichtigungen sind besonders wichtig, da sich diese Häufigkeit ändern kann, wenn sich die Themen ändern, wenn sich die Größe Ihrer Praxis ändert oder andere Faktoren eintreten. Sie können auch Zeitpläne erstellen, in denen Zeiten und Aufgaben der Teammitglieder besprochen werden, damit Sie Aufgaben nachverfolgen und kommunizieren können.
Besprechen Sie, wie Sie Ihre Überwachung melden
Kommunikation ist auch während der Berichterstattung wichtig. Sie müssen festlegen, welche Informationen Sie teilen möchten, wie Sie sie teilen möchten und wer sie erhalten soll.
Möglicherweise müssen Sie Informationen auch auf andere Weise senden. Einige Leute bevorzugen möglicherweise Rohdaten, andere bevorzugen möglicherweise mehr Analysen. Stellen Sie außerdem sicher, dass Sie alle Regeln und Vorschriften einhalten, und besprechen und dokumentieren Sie alle Änderungen im Prozess.
Zugriffsüberwachung ist mühsam, aber es könnte Sie in Zukunft vor noch härterer Arbeit bewahren.
Bildnachweis: Den Rise/Shutterstock
Peter Davidson arbeitet als Senior Business Associate und hilft Marken und Start-ups dabei, effiziente Geschäftsentscheidungen zu treffen und geeignete Geschäftsstrategien zu planen. Er ist ein großer Gadget-Freak, der gerne seine Ansichten über neueste Technologien und Anwendungen teilt.