Identitatea personală poate cădea la mila unor hackeri sofisticați pe mai multe site-uri, dar când vine vorba de încălcarea confidențialității datelor privind sănătatea, spitalele, cabinetele medicilor și chiar companiile de asigurări sunt de cele mai multe ori vinovați.
Nicio metodă de stocare nu e infailibilă
Noi cercetări de la Universitatea de Stat din Michigan (MSU) și de la Universitatea Johns Hopkins au arătat că mai mult de jumătate din scurgerile recente de informațiile privind sănătatea personală (personal health information sau PHI, în engleză) au fost cauzate de problemele interne cu furnizorii de servicii medicale - nu din cauza hackerilor sau a altor părți externe.
„Nu există o modalitate perfectă de a stoca informații, dar mai mult de jumătate din cazurile pe care le-am examinat nu au fost declanșate de factori externi, ci mai degrabă de neglijență internă", a declarat John (Xuefeng) Jiang, autor principal și profesor asociat de contabilitate și sisteme informatice la Eli Broad College of Business din MSU.
Cercetarea, publicată pe 19 noiembrie în JAMA Internal Medicine, continuă studiul comun din 2017, care a arătat amploarea încălcării confindențialității datelor din spitalele din Statele Unite. Cercetarea a scos la iveală aproape 1.800 de cazuri de încălcări grave în șapte ani, iar 33 de spitale americane se confruntă cu mai mult de un caz de încălcare gravă.
Cum procedează americanii în astfel de cazuri
Pentru această lucrare, Jiang și co-autorul Ge Bai, profesor asociat la Școala de Afaceri Carey de la Universitatea John Hopkins, aprofundează identificarea motivelor care duc la încălcarea confidențialității datelor medicale. Ei au revizuit aproape 1.150 de cazuri, înregistrate între octombrie 2009 și decembrie 2017, care au afectat mai mult de 164 de milioane de pacienți.
„De fiecare dată când un spital are o astfel de surgere de informații, trebuie să o raporteze Departamentului de Sănătate și Servicii Umane și să arate ceea ce ei cred că este cauza", a spus Jiang. „Aceste cauze se încadrează în șase categorii: furt, acces neautorizat, hacking sau incident IT, pierdere, eliminare necorespunzătoare sau altele".
După examinarea rapoartelor detaliate, evaluarea notițelor și reclasificarea cazurilor după repere specifice, Jiang și Bai au constatat că 53% au fost rezultatul unor factori interni ai entităților de asistență medicală.
Cum se produc scurgerile de informații
„Un sfert din toate cazurile au fost cauzate de acces neautorizat sau divulgare - mai mult decât dublul numărului cauzat de hackeri", a notat Jiang. „Acest lucru s-ar putea datora unui angajat care ia acasă sau redirecționeze către un cont personal sau un dispozitiv date, accesează date fără autorizație sau chiar prin greșeli de e-mail, cum ar fi trimiterea către destinatari greșiți, copierea fără verificare sau partajarea conținutului necriptat".
În timp ce unele dintre aceste erori par a fi banale, Jiang a spus că greșelile mari pot duce la accidente chiar mai mari și că erorile aparent inofensive pot compromite datele personale ale pacienților.
„Spitalele, cabinetele medicilor și cabinetele medicale, companiile de asigurări și chiar farmaciile fac astfel de erori și pun la risc pacienții", a spus Jiang, într-un material dat publicității de Universitatea de Stat din Michigan.
Din încălcările externe, furtul de informații a reprezentat 33%, iar hacking-ul a fost creditat pentru doar 12%.
Milioane de oameni, victime inocente
În timp ce unele încălcări ale confidențialității datelor ar putea avea consecințe minore, cum ar fi obținerea numerelor de telefon ale pacienților, altele pot avea efecte mult mai invazive. De exemplu, atunci când Anthem. Inc. a suferit o scurgere de informații în 2015, au fost compromise 37,5 milioane de înregistrări. Multe dintre „victime" nu au fost anunțate imediat, astfel încât respectivii oameni nu au fost conștienți de situație până când nu și-au depus declarațiile pentru taxe și impozite și au descoperi că un terț le-a depus în mod fraudulos datele pe care le-au obținut de la Anthem.
Deși securitatea software-ului și a hardware-ului poate fi protejată împotriva furtului și a hackerilor, Jiang și Bai sugerează că furnizorii de servicii medicale ar trebuie să adopte politici și proceduri interne care să înăsprească procesele și să împiedice entitățile interne să divulge informații medicale, urmând un set de protocoale simple.
Procedurile de reducere a încălcărilor confindențialității datelor legate de stocare includ trecerea de la hârtie la înregistrările medicale digitale, stocarea în siguranță, trecerea la politici non-mobile pentru informațiile protejate ale pacienților și implementarea criptării. Procedurile referitoare la comunicarea atelor medicale includ verificarea obligatorie a destinatarilor de corespondență, urmând un protocol copie vs. copie (bcc vs. cc), precum și criptarea conținutului.
„Să nu folosești întreaga armură care e la îndemâna entităților de servicii medicale lasă deschise aceste date atacurilor inamice", a explică, literar, Bai. „Vestea bună este că armura nu este greu de pus dacă se vor urma protocoale simple".
Studiul poate fi găsit AICI.
Fiți la curent cu ultimele noutăți. Urmăriți DCMedical și pe Google News
Te-a ajutat acest articol?
Urmărește pagina de Facebook DCMedical și pagina de Instagram DCMedical Doza de Sănătate și accesează mai mult conținut util pentru sănătatea ta, prevenția și tratarea bolilor, măsuri de prim ajutor și sfaturi utile de la medici și pacienți.