Laut Christian sind die Redundanz und Ausfallsicherheit, die die Cloud bietet, von entscheidender Bedeutung für die Geschäftskontinuität und die Notfallwiederherstellung.
„Wir sind sehr belastbar, wenn es darum geht, Ausfallzeiten und Auswirkungen auf unsere Endbenutzer zu minimieren“, sagt Bhat und weist darauf hin, dass ihm das Cloud-EHR auch Zugriff auf Dashboards und Berichte bietet, die die Einhaltung von HIPAA und Sicherheitsrahmen wie denen des National Institute of Standards and Technology und der International Organization for Standardization anzeigen.
Bhat rät Gesundheitsorganisationen, die EHR-Migrationen erwägen, „Sicherheit zu einer Kernanforderung zu machen“.
„Wenn Sie die Sicherheit zu einem Teil des ersten Builds machen und über die entsprechende Segmentierung und Kontrolle verfügen, befinden Sie sich nach Abschluss der Migration in einer viel sichereren Umgebung“, sagt er.
Christian vergleicht das Entwerfen von Sicherheit in der Cloud mit dem Bau eines Hauses: „Man wartet nicht, bis das Haus fertig ist, um die Verkabelung einzubauen – man macht beides zusammen.“
EHR-Sicherheitsmaßnahmen: Verantwortlichkeiten definieren
„Der Schutz privater Patientendaten ist die wichtigste Verantwortung einer Gesundheitseinrichtung“, sagt Ahumada.
Cloudbasierte EHRs helfen Gesundheitsorganisationen, dieser Verantwortung nachzukommen.
Nur ein einziger Mitarbeiter, der auf einen Anhang in einer Phishing-E-Mail klickt, kann eine Kaskade von Problemen für das gesamte Unternehmen auslösen. Jede Interaktion eines Mitarbeiters mit jedem System stellt eine potenzielle Schwachstelle dar. Bei cloudbasierten EHRs wird die Sicherheit jedoch an einem zentralen Punkt verwaltet, sagt Ahumada.
Doch dieser Vorteil birgt auch ein Risiko. „Dieser zentrale Punkt wird zu einem Single Point of Failure“, sagt er. Wenn dieser Punkt verletzt wird, können sich böswillige Akteure umfassenden Zugriff auf sensible Patienten- und Organisationsdaten verschaffen.
Um die Vorteile einer cloudbasierten EHR zu nutzen und gleichzeitig die Risiken zu mindern, müssen Gesundheitsorganisationen die Sicherheitsmaßnahmen sowohl ihrer EHR-Softwareanbieter als auch ihrer Cloud-Plattformen sorgfältig abwägen – und die Sicherheitsverantwortung jeder Partei in ihren Geschäftsvereinbarungen sorgfältig festlegen.
„Wir erwarten von unseren Anbietern die höchsten Standards, und das erfordert viel Planung, Tests und Pilotversuche vor dem Wechsel in die Cloud“, sagt Ahumada über die Epic-Migration von Johns Hopkins, deren Planungsphase vor etwa zwei Jahren begann und die in etwa einem Jahr abgeschlossen sein wird. „Sicherheit liegt in der gemeinsamen Verantwortung der Anbieter und der Gesundheitsorganisation.“
