È importante gestire con cura tutte le informazioni di identificazione personale e i documenti sensibili. Ma alcuni dati sono così a rischio che potrebbero essere garantite ulteriori garanzie o un controllo più accurato, come dimostra l'accesso non autorizzato alle cartelle cliniche di George Floyd, la cui morte è stata dichiarata un omicidio per mano della polizia.
"Non sorprende che il sistema sanitario abbia trovato che i dipendenti accedessero e visualizzassero questi dati", ha affermato Taylor Lehmann, partner e fondatore della società di consulenza informatica SideChannel, membro del consiglio di amministrazione dell'Health Information Sharing and Analysis Center (H-ISAC), e ex CISO presso athenahealth e il sistema sanitario Wellforce. "Lo spionaggio delle cartelle cliniche si verifica per molte ragioni: la curiosità degli operatori sanitari sullo stato di una determinata celebrità, i loro vicini, i loro amici e familiari e altri motivi. Ed [è] anche facile da fare ".
Secondo un rapporto del 9 settembre dell'affiliata NBC KARE 11, la famiglia di Floyd ha ricevuto una notifica da Hennepin Healthcare con sede a Minneapolis che rivelava più istanze di accesso non autorizzato ai record presso l'Hennepin County Medical Center (HCMC). Il giorno successivo 13 dipendenti sono stati licenziati per accesso improprio ai registri di Floyd's, tra cui tre infermieri, un tecnico di laboratorio, un assistente sociale e un paramedico, ha riferito il KMSP, affiliato Fox, il giorno successivo.
In effetti, l'abuso di privilegio "si è dimostrato un modello facile da eseguire e che ha portato storicamente a molte violazioni", ha aggiunto Lehmann. Ed è un problema particolare nell'assistenza sanitaria perché "molti sistemi sanitari non limitano notevolmente chi può accedere a quale record a causa del numero imprevedibile di personale o medici che potrebbero aver bisogno dei dati per curare un paziente in caso di emergenza".
Hennepin Health, che rappresenta HCMC, non ha confermato pubblicamente la violazione, notando che non commenta casi specifici al fine di preservare la riservatezza. Il centro ha tuttavia confermato che Hennepin Healthcare è conforme alle normative federali sulla privacy delle informazioni, che richiedono la notifica ai pazienti di una violazione della privacy confermata, e che gli audit di accesso alla privacy sono condotti regolarmente e l'accesso da parte della forza lavoro viene monitorato e registrato.
"Qualsiasi violazione della riservatezza del paziente viene presa seriamente e indagata a fondo", ha affermato HCMC in una dichiarazione, e tale violazione della politica comporterebbe un'azione disciplinare fino al licenziamento e potenzialmente incluso.
La dichiarazione osservava inoltre: “È prassi del dipartimento per la privacy delle informazioni di Hennepin Healthcare condurre audit di accesso alla privacy. L'accesso alla cartella clinica elettronica di Hennepin Healthcare da parte della nostra forza lavoro viene monitorato e registrato, il che supporta i nostri sforzi di audit ".
Gli esperti hanno detto a SC Media che il processo di auditing e reporting è una componente importante della strategia di riservatezza dei dati di un'organizzazione sanitaria al fine di rilevare le violazioni, e quella particolare attenzione dovrebbe essere rivolta a ciò che Lehmann ha descritto come "registrazioni che sarebbero di grande interesse o curiosità . "
"Sfortunatamente, i processi di audit variano nel loro rigore, a seconda del personale di privacy / conformità di una data organizzazione, disponibilità del personale e strumenti a loro disposizione", ha affermato Drex DeFord, stratega esecutivo per l'assistenza sanitaria per CI Security e presidente di Drexio Innovation Network, identificato. "Il programma di audit e formazione presso Hennepin sarà sottoposto a un attento esame, inclusi tutti i processi, le procedure e le politiche documentati".
KMSP ha anche riferito che, nel tentativo di proteggere la privacy di Floyd, Floyd è stato ammesso al pronto soccorso di HCMC con lo pseudonimo di "Bronzo Tennessee", dopo essere diventato insensibile mentre era sotto la custodia di quattro agenti di polizia di Minneapolis, uno dei quali rischia più omicidi e omicidi. e tre dei quali sono accusati di favoreggiamento e favoreggiamento dell'omicidio di secondo grado.
Ma si sarebbe potuto fare ancora di più in primo luogo per proteggere i record dei Floyd, soprattutto se si considerano le circostanze controverse e politicamente esplosive che circondano la morte di alto profilo dei Floyd?
"La maggior parte dei sistemi di cartelle cliniche elettroniche (EHR) consente di contrassegnare cartelle cliniche specifiche dei pazienti come 'VIP'", ha affermato Deford. "Ciò a volte significa che vengono forniti avvisi aggiuntivi agli utenti EHR che stanno per accedere a un record VIP e devono confermare di essere coinvolti nel trattamento di quel paziente."
Ha raccomandato alle organizzazioni sanitarie di sfruttare questa capacità di "segnalazione" secondo necessità, per "fornire un ulteriore livello di avvertimento che l'utente EHR sta per inserire un record VIP e ricordare loro le regole e le responsabilità". Ha inoltre indicato come fondamentale la formazione annuale del personale sulle responsabilità per la protezione di PHI, imponendo "regole rigorose e sanzioni chiare" per le violazioni.
"Fornire diversi esempi di come gli utenti EHR potrebbero persino accedere accidentalmente a tali record e processi per l'auto-segnalazione di accessi accidentali", ha affermato DeFord. "Fornire esempi specifici di violazioni passate e azioni disciplinari associate per rafforzare la formazione."
Potrebbero essere necessarie anche restrizioni su determinati record, ha aggiunto, rifiutando l'accesso a meno che non vengano prima concesse autorizzazioni esplicite, "in particolare dopo che un VIP è stato licenziato".
Alcuni di questi consigli sulla privacy dei dati vanno ben oltre l'assistenza sanitaria, soprattutto per altri settori che archiviano e gestiscono informazioni altamente sensibili o classificate.
Ma Rob Fry, CTO di Armorblox, ha affermato di non essere d'accordo sul fatto che ai dati di alcune persone dovrebbe essere garantita una protezione della privacy più rigorosa di altri. “Dobbiamo trattare tutti i pazienti con dignità e proteggere i loro dati. Nessuna informazione sulle persone è più importante di quella di un'altra persona ”, ha detto Fry.
Né pensa che limitare l'accesso dei dipendenti ai record sia la risposta. "L'aggiunta di ancora più protocolli, come un sistema di richiesta in cui una persona chiede l'accesso a un record e un'altra lo approva, non sarebbe favorevole in uno scenario di assistenza sanitaria", ha detto.
A giudicare dai dettagli riportati che sono attualmente disponibili, Fry vede l'incidente di HCMC come un mix di aspetti positivi e negativi.
"È una storia di successo in quanto [le violazioni sono state] scoperte e gestite nel maniero stabilito dall'HIPAA … Il personale di Hennepin Healthcare è stato in grado di rilevare attività insolite, segnalarle e seguire i protocolli", ha detto Fry. "D'altro canto, la storia è anche un fallimento perché le persone incaricate di proteggere la natura sensibile delle cartelle cliniche delle persone si sono sentite autorizzate a farlo".
"La linea di fondo è che la maggior parte delle organizzazioni sanitarie e la maggior parte dei fornitori prendono molto sul serio le proprie responsabilità per le PHI e non accedono mai in modo improprio ai record dei pazienti", ha affermato DeFord. "Sanno e sono addestrati che un accesso improprio può comportare la cessazione."
La cartella clinica di George Floyd è stata violata; i dati "VIP" richiedono un bonus di sicurezza? è apparso per la prima volta su SC Media .