Warum ist die richtige MFA im Gesundheitswesen eine Herausforderung?
Wenn wir ein Krankenhaus in vier Funktionsbereiche unterteilen – klinisch, operativ, administrativ und technologisch – sind die letzten drei Bereiche typisch für den Lebenszyklus eines jeden Unternehmens. Der erste Aspekt, der klinische Aspekt, ist einzigartig im Gesundheitswesen und erfordert besondere Überlegungen zum Arbeitsablauf für Ärzte.
Beispielsweise verfügen Krankenschwestern in der ersten Schicht möglicherweise über mehrere Geräte, die sie im Laufe des Tages an mehreren Standorten an- und abmelden müssen. Die Zeit, die für die erneute Authentifizierung für den Zugriff auf wichtige Anwendungen benötigt wird, selbst wenn diese nur anderthalb Minuten beträgt, kann enorme Auswirkungen auf die Patientenversorgung haben. Das ist die große Herausforderung im Patientenerlebnis und im Rahmen des klinischen Kontinuitätsmodells der Versorgung: Der Arbeitsablauf wird durch MFA stark beeinflusst.
Es besteht auch die Herausforderung, Benutzerkonten innerhalb einer Gesundheitsorganisation bereitzustellen und aufzuheben. Denken Sie an die Pro-Re-Nata-Pflege: Gelegentlich benötigen Organisationen möglicherweise eine flexible Ressourcenbeschaffung, und es gibt nur sehr wenige Krankenhäuser, die über ausreichend ausgereifte Onboarding-Prozesse verfügen, um brauchbare Konten einzurichten, die am Ende einer Schicht verworfen werden. Das ist ein schnelllebiger Lebenszyklus für ein Konto, und die meisten Anbieter sind dafür nicht gerüstet.
Die für die aktualisierte Sicherheitsregel vorgeschlagenen detaillierten Compliance-Zeitpläne, wie z. B. eine einstündige Zugriffsbeendigung und 72-stündige Systemwiederherstellungsanforderungen, deuten auf die Absicht der Regulierungsbehörde hin, einen höheren Standard an betrieblicher Agilität und Reaktionsfähigkeit durchzusetzen. Dies spiegelt die Erkenntnis wider, dass traditionelle, weniger präskriptive Ansätze angesichts der Geschwindigkeit und Komplexität moderner Cyberbedrohungen nicht ausreichen. Die Belastung verschiebt sich von der bloßen Bereitstellung von Sicherheitskontrollen hin zu deren nachweislichem Betrieb mit spezifischen, messbaren Leistungsmetriken. Dies impliziert einen erheblichen Bedarf an hochautomatisierten Prozessen, gut eingespielten Reaktionsplänen für Vorfälle und kontinuierlichen Überwachungsmöglichkeiten.
MEHR LESEN: Hier erfahren Sie, was Gesundheitsorganisationen über fortgeschrittene persistente Bedrohungen wissen sollten.
Inwiefern stellen aktualisierte Prüfungserwartungen eine Herausforderung für das Gesundheitswesen dar?
Viele Organisationen fangen möglicherweise bei Null an, weil sie diese Prüfungsebene noch nicht durchgeführt haben. Sie müssen eine Richtlinientaxonomie für die Aufbewahrung von Dokumenten einführen. Wenn man in vielen Organisationen fragt, wie lange etwas aufbewahrt werden sollte, lautet die Antwort „für immer“. Dies liegt daran, dass Unternehmen sicherstellen möchten, dass sie im Falle eines Problems über Aufzeichnungen verfügen, unabhängig davon, wie viel Zeit seit dem ursprünglichen Ereignis vergangen ist. Aber es gibt Elemente im Gesundheitswesen, wie zum Beispiel die Bildgebung, die enormen Speicherplatz beanspruchen.
Andererseits verfügen Organisationen, die die Veröffentlichung von Dokumentation planen, häufig über keine definierte Speicherverfallszeit und verfügen nicht über die technologischen Prozesse, um die Speicherung oder Kosten im Laufe der Zeit zu verwalten.
Gesundheitsorganisationen können sich an andere Branchen wenden, um zu sehen, wie sie mit der Datensicherheit umgehen. Beispielsweise hat die Zahlungskartenbranche seit über einem Jahrzehnt Datensicherheitsstandards und -spezifikationen etabliert. Folgen Sie einer Finanzorganisation. Patientenakten sind noch wichtiger als Finanzinformationen, also schützen Sie sie um jeden Preis.
Veränderungen betreffen nicht nur Krankenhäuser
Wir neigen dazu, uns auf HIPAA als etwas zu konzentrieren, das nur für traditionelle Anbieter gilt. Aber denken Sie an eine Seniorenpflegeorganisation mit älteren erwachsenen Bewohnern: Auch dort sind geschützte Gesundheitsinformationen wichtig. Obwohl wir dies als ein Problem von Gesundheitsdienstleistern betrachten, ist die Einhaltung und Verantwortung des HIPAA in vielen Umgebungen allumfassend und jeder, der mit Gesundheitsdaten umgeht, muss sich daran halten.
Compliance ist für jeden erforderlich, der Gesundheitsdaten verwaltet, auch für diejenigen, die diese zuvor möglicherweise nicht für relevant gehalten haben. Da die Notwendigkeit, Gesundheitsinformationen zu schützen und zu übertragen, wächst, erstreckt sich die HIPAA-Konformität nun auch auf das Finanz- und Lebensstilmanagement und nicht nur auf die klinische Versorgung.
Dieser Artikel ist Teil von HealthTech‚S MonITor-Blogserie.
