Há indícios de que o setor está no cerne de um desastre potencial de invasão de informações. Para combater tal tendência, instituto americano lista algumas orientações
De acordo com o registro de violação de dados desde 2009 do Departament of Health & Human Services (Departamento de Saúde & Serviços Humanos), cerca de 260 incidentes ocorreram e afetaram mais de 10 milhões de pacientes. E a coisa fica pior: a segunda maior violação ocorreu não por causa de uma senha invadida mas quando as fitas de backup de um computador foram roubadas de um caminhão.
A segurança está mudando dentro da indústria, e as violações de dados de saúde são um problema significativo. De acordo com Rick Kam, presidente e cofundador da ID Experts, agora é a hora de determinar o futuro da segurança de saúde.
“A tecnologia está cada mais difundida na área de saúde. Os pacientes querem compartilhar informações e ter vários provedores. Isso inclui criminosos mais sofisticados conforme a reforma do setor está em andamento. Analisando a área de saúde, podemos dizer que estamos no cerne de um desastre potencial de violação de dados – se não dentro dos próximos meses, dentro do próximo ano veremos violação de dados como um derramamento de óleo, por assim dizer”. Afirmou Kam.
“Operamos com três valores fundamentais”, acrescentou Christine Arevalo, diretora de saúde de gerenciamento de identidade na ID Experts. “Uma delas é a importância de tomar medidas preventivas. A segunda é fazer a coisa certa para os pacientes e os dados que lhe foram confiados; o sistema como um todo é baseado na confiança que os pacientes têm que os médicos irão salvaguardar suas informações. E o terceiro é estar em concordância – a questão da regulamentação não pode ser ignorada. Vemos as regras sendo aplicadas, especificamente as notificações de violação de dados. As empresas não podem mais esconder esses problemas”.
Dito isso, Kam e Arevalo nos deram as 6 melhores maneiras para planejar, acabar e nos proteger contra a violação dos dados de saúde.
1. Realizar a Avaliação do Risco: De acordo com Kam, o primeiro passo é entender onde as ameaças e as vulnerabilidades estão em relação ao paciente. Ele sugere a realização de uma avaliação de risco: “Vemos avaliação de risco e a sua mitigação se tornar uma discussão mais ampla. Boa parte é sobre a transferência e como realizar isso com a chegada de novas ameaças”. No passado, a diretoria passava para o departamento de TI e o dinheiro era gasto na implementação de tecnologia de ponta. Agora, Kam alega que não é só onde as vulnerabilidades estão: “É também uma visão mais aprofundada do alcance do problema”.
2. Inventariar PHI: Entender quais as informações que se tem e onde ela está dentro da organização é essencial. Considerar parceiros de negócios e subcontratados também é vital para inventariar o PHI. De acordo com Kam, é importante observar qualquer um que tenha acesso autorizado à informações importantes: “A contratação de especialistas de fora é um risco. Por exemplo, quando o incentivo se firma e as organizações têm um aumento potencial na receita por meio do aumento das taxas da Medicare e Medicaid, há aumento da pressão em enviar os pacientes para lugares como clínicas bem como para cuidados em casa. Utilizando tecnologia global e vários indivíduos que trabalham fora do hospital pode não ser um ambiente seguro. Isso aumenta os riscos, e talvez você nem esteja ciente do que está acontecendo”, afirmou Arevalo.
3. Desenvolver estratégia de segurança PHI: Kam afirma que é essencial desenvolver uma estratégia de segurança apropriada com base na informação que você possui. “Não é apenas entender onde estão dos dados, mas também desenvolver uma estratégia para protegê-los”. Depois de identificar a informação, é essencial informar aos funcionários e outros associados que fazem parte do seu sistema. Kam também sugere a contratação de um terceirizado para dar uma perspectiva nova durante as fases de avaliação e para ajudar com o desenvolvimento de uma estratégia. “Tendo o foco apenas na equipe interna, a tendência é seguir os mesmos passos. Adicionar uma visão especializada para descobrir onde as violações estão ocorrendo e como se proteger contra isso é útil. Encontre alguém confiável e que possa dar uma nova perspectiva sobre os riscos que sua organização está exposta, especialmente se já tiver passado por auditorias e investigações”.
4. Treine os funcionários: Segundo os dois especialistas, o quarto passo é onde estão os maiores problemas: “Quando se tem em mente a proteção de informações, o essencial é fazer com que os funcionários entendam como proteger da melhor forma e o que fazer se ocorrer uma exposição não autorizada”, afirmou Kam. Arevalo disse que o treinamento é essencial e deve incluir não apenas funcionários administrativos, mas também médicos, enfermeiros e outros especialistas da organização. “Eles devem entender como manter as informações seguras relativas ao cuidado do paciente”. Kam acrescentou que muitos tendem a analisar as violações simplesmente como um problema de TI. “É muito mais amplo do que isso. Essa é a causa de tantas violações de informações pessoais; sai fora do nicho técnico da organização e acontece, por exemplo, porque um associado de negócios deixa um laptop fora de lugar”.
5. Implementar processos, tecnologias e políticas: Realizada a avaliação e os problemas potenciais identificados, Kam e Arevalo sugerem a tomada de ferramentas e tecnologia, para facilitar a proteção de dados para funcionários e médicos. “Se as ferramentas não estiverem ao alcance ou forem difíceis de usar, ninguém as utilizará. É importante identificar maneiras de proteger essas informações de forma automatizada, assim o próprio sistema ajuda a proteger as informações. Ao mesmo tempo, isso não deve atrapalhar o foco principal dos profissionais de saúde que é o atendimento ao paciente”, afirmou Kam.
6. Se houver um incidente, tenha um plano de resposta pronto: Segundo Arevalo, a dica mais importante dado pela ID Experts é estar sempre preparado para violações: “É da natureza humana pensar que esse tipo de incidente nunca acontecerá em sua organização. Especialmente os executivos. A maioria dos casos que vemos são organizações que pensam ter tudo sob controle: fizeram os investimentos apropriados e possuem as ferramentas; ainda assim há milhares de violações acontecendo mensalmente em todo os Estados Unidos. Estar preparado é de suma importância”. Ela acrescentou que uma resposta instintiva a uma violação pode ser devastadora no nível econômico e recreativo, então ambos os especialistas recomendam utilizar um plano de resposta mais doutrinário: “A instrução deve estar intrínseca à organização, assim toca em cada parte do plano e a resposta inclui procedimentos de treinamento e quem é responsável por cada etapa quando uma violação ocorre”.
Fonte SaudeWeb
Nenhum comentário:
Postar um comentário