Table des matières:
- Les méchants veulent des dossiers de santé électroniques
- Sécurisation des données des patients au repos et en transit
- Confidentialité des patients
- Une dernière considération
Pour ceux qui se sont inscrits aux soins de santé dans le cadre des plans fédéraux ou étatiques mis en place fin 2013, j'espère que votre expérience a été meilleure que la mienne. Vivant au Minnesota, je me suis inscrit à MNsure, le programme d'État. Le processus a pris six heures.
Malheureusement, les sites Web qui ne fonctionnent pas correctement ne sont pas le seul problème numérique qui affecte l'adhésion au régime de soins de santé. Après avoir terminé les audits des sites fédéraux et des États, les agences gouvernementales et les organisations indépendantes proclament que beaucoup - y compris Healthcare.gov et MNsure.org - se classent mal quand il s'agit de protéger les informations médicales sensibles.
Par exemple, un article paru dans The Weekly Standard le 24 janvier a fait état d'un énorme problème de sécurité sur le site Web fédéral HealthCare.gov. Selon le PDG de TrustedSec, David Kennedy, cité dans l'article, le site Web d'inscription permet aux attaquants de créer des pages Web fonctionnelles et potentiellement malveillantes sur le site Web HealthCare.gov. (sur le déploiement - et les retombées - dans Why the First Rollout of HealthCare.gov Crashed, an Architectectural Assessment.)
À peu près au même moment que le déploiement fédéral de HealthCare.gov, une violation majeure de la sécurité des données financières personnelles détenues par Target a été signalée. On pense que jusqu'à 40 millions de cartes de crédit et de débit pourraient avoir été touchées.
J'ai mentionné plus tôt que je venais du Minnesota, qui abrite le siège social de Target et un site Web national d'inscription aux soins de santé qui est moins que brillant lorsqu'il s'agit de sécuriser les données personnelles des membres. Il est difficile de ne pas se demander si un modèle se dessine. Surtout quand MinnPost, un service de nouvelles en ligne local, raconte le manque de sécurité autour des dossiers des pharmacies d'État. Après tout, si Target ne peut pas protéger les données financières, qu'est-ce qui nous fait penser qu'ils peuvent garder les dossiers de santé hors de danger?
Les méchants veulent des dossiers de santé électroniques
Pour les criminels, les dossiers de santé électroniques (DSE), y compris les dossiers d'identification médicale, sont un trésor d'informations exploitables. L'article MinnPost aborde une des raisons pour lesquelles:
«Le« vol d'identité médicale »est une préoccupation croissante à l'échelle nationale, car les voleurs peuvent avoir accès au numéro de plan de santé du patient, aux antécédents de prescription et à d'autres informations personnelles, qui peuvent être utilisées pour frauder les prestataires de soins de santé.
L'article de MinnPost cite ensuite un expert de Gartner, qui dit que le vol d'identité médicale est particulièrement gênant car il peut prendre des années à découvrir. Si, pendant ce temps, les criminels réussissent à faire des réclamations frauduleuses, la pauvre victime recevra très probablement des hausses de primes, et ne saura pas pourquoi; ou pire encore, supposons que la compagnie d'assurance fait ce qu'elle fait normalement - simplement augmenter les taux.
La poussée d'intérêt du DSE par les méchants n'a pas été perdue pour Symantec Corporation. Il y a quelques mois, la société a publié un livre blanc qui examinait «les défis et les exigences de la protection des données confidentielles des patients en ligne, le risque d'atteintes à la sécurité dans le monde des DSE et les mesures que les organisations de soins de santé doivent prendre pour atteindre et maintenir conformité."
Le document commence par un aperçu du DSE, expliquant que ses principaux avantages sont la possibilité de partager les données des patients rapidement, avec précision et facilement entre les fournisseurs de soins de santé partout aux États-Unis. Plus précisément, les DSE aident à:
- Enregistrer la continuité d'un fournisseur à l'autre
- Réduisez les erreurs de prescription
- Fournissez un suivi et des alertes en temps réel pour des soins aux patients plus efficaces et efficients
Sécurisation des données des patients au repos et en transit
Lorsque le document Symantec a commencé à parler de la sécurisation des données des patients, les auteurs ont supposé que les organisations de soins de santé disposeraient de solutions de sécurité adéquates pour les dossiers des patients stockés. Quant aux données des patients en transit, Symantec a proposé sa propre solution,
"Afin de protéger les données confidentielles des patients contre tout accès non autorisé, les organisations de soins de santé ont besoin d'une approche systématique de la sécurité sur l'ensemble de la transaction en ligne, atténuant ainsi les menaces à plusieurs niveaux."
Confidentialité des patients
Lorsqu'il s'agit de préserver la confidentialité des patients, Symantec explique que les principes de la loi sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA) occupent une place prépondérante dans toute la doctrine du DSE. Les gouvernements des États ont également ajouté leurs propres statuts, qui tendent à se concentrer sur la vie privée des individus, imposant de lourdes amendes si les prestataires traitent les informations des patients de manière incorrecte, ou tardent à notifier les patients d'une violation de données.
Le document suppose également que "de nombreux consommateurs seraient probablement enclins à dire que la sécurité de leurs données financières est plus préoccupante que la confidentialité de leurs dossiers de santé".
Peut être. Mais qu'est-ce qui est vraiment pire?
Après tout, les violations de données comme celles que subissent les acheteurs cibles sont en effet mauvaises, mais les dommages peuvent être réparés. Il est difficile de dire la même chose pour une violation de données entraînant le vol des dossiers de santé des patients.
Selon Symantec, "Une fois que des informations confidentielles sont déversées sur Internet, elles ne peuvent pas être remises en bouteille. Les amis, les collègues, les membres de la famille et les employeurs potentiels peuvent toujours savoir ce qui était censé être une affaire privée entre vous et votre médecin conduisant à l'embarras, la discrimination au travail et d'autres conséquences graves. "
Contrairement aux violations de données financières, aucune somme d'argent ne peut réparer les dommages.
Une dernière considération
Il est important de comprendre que les fournisseurs de soins de santé, afin de se conformer à la HIPAA, doivent garder une trace d'audit de qui a accédé à quels enregistrements, quelles modifications ont été apportées et quand. Donc, si quelque chose ne va pas, les patients peuvent s'attendre à des réponses aux questions liées au DSE. C'est une bonne chose. Malheureusement, à ce moment-là, les dommages peuvent déjà être causés.
