Kein Unternehmen ist vor Datenschutzverletzungen gefeit… und das gilt auch für die Gesundheitsbranche, in der die Zahl der Datenschutzverletzungen seit 2015 um 18 Prozent zugenommen hat, als das Büro für Bürgerrechte des US-Gesundheitsministeriums begann, größere Datenschutzverletzungen zu veröffentlichen, die es untersuchte.
Die steigende Zahl von Datenschutzverletzungen – neben einer Mitte 2017 angekündigten Aktualisierung des Health Insurance Portability and Accountability Act (HIPAA) Breach Reporting Tool-haben viele Organisationen des Gesundheitswesens dazu veranlasst, darüber nachzudenken, ob ihre Bemühungen um die Cybersicherheit und die Einhaltung von Datenschutzbestimmungen verbessert und modernisiert werden müssen. Und in den meisten Fällen lautet die Antwort: Ja.
Dies liegt vor allem daran, dass Anbieterorganisationen Schwierigkeiten haben, die Anforderung zu erfüllen, die von einem Verstoß betroffenen Parteien innerhalb von 60 Tagen zu benachrichtigen. Die Verzögerungen – und damit die Nichteinhaltung – sind in der Regel auf manuelle, ineffiziente Prozesse für die anfängliche Meldung von Ereignissen, die Risikobewertung und die Feststellung des Verstoßes sowie den Benachrichtigungsprozess selbst zurückzuführen.
In der Regel können Anbieterorganisationen die folgenden zwei Fragen an ihr Unternehmen stellen, um festzustellen, ob sie gut aufgestellt sind, um die Vorschriften zur Cybersicherheit und zum Datenschutz einzuhalten, oder ob es Raum für Verbesserungen gibt:
- Ist unser Verfahren zur Meldung von Sicherheitsverletzungen mit anderen Aktivitäten zur Meldung von Vorfällen integriert?
- Welche derzeit manuellen Schritte im Prozess können automatisiert werden?
Wenn Sie die erste Frage mit „Nein“ beantwortet haben oder sich vielleicht nicht bewusst sind, dass bestimmte Prozesse automatisiert werden können, wie in Frage zwei angedeutet, gibt es Raum für Verbesserungen. Die gute Nachricht ist jedoch, dass es auch Risikomanagement-Technologien gibt, die dabei helfen, den Risikomanagementprozess im gesamten Unternehmen zu automatisieren – einschließlich der Risiken, die sich auf Ihre Bemühungen um Cybersicherheit und Patientendaten auswirken können.
Die richtige Technologie für das Risikomanagement ermöglicht es Ihnen:
- Melden Sie mühelos Datenschutzverletzungen, die einen bis zu 500+ Patienten betreffen.
- Führen Sie standardbasierte Risikobewertungen durch
- Verwalten Sie Benachrichtigungen über Verstöße für einzelne und mehrere betroffene Parteien
- Verfolgen Sie die Einhaltung von Meldefristen
- Durchführung von Untersuchungen und Analyse der Grundursache
- Verfolgen Sie Daten und Trends mit fortschrittlichen Analysen, um Verbesserungen zu erzielen.
Zu den Vorteilen solcher Funktionen gehören wahrscheinlich: verbesserte HIPAA-Konformität mit der Verzögerungsanalyse bei der Meldung von Sicherheitsverletzungen, geringerer Zeitaufwand für die Erfüllung der OCR-Meldeanforderungen und einfachere Benachrichtigung der betroffenen Parteien.
Wenn es um die Benachrichtigung betroffener Parteien geht, automatisiert die richtige Risikomanagement-Technologie den gesamten Prozess mit Serienbrieffunktionen, die mit den Kontakt- und anderen Daten der betroffenen Parteien integriert werden können. Vorgefertigte, individuelle Vorlagen für Benachrichtigungsschreiben vereinfachen den Prozess ebenfalls. All dies macht es weniger mühsam, die erforderlichen Benachrichtigungen zu erstellen, insbesondere wenn Hunderte oder Tausende von Betroffenen betroffen sein können.
Darüber hinaus kann die Automatisierung diese Aktivitäten für Sie dokumentieren, indem sie Datums- und Zeitstempel für die Erstellung der Briefe anbringt und sogar automatisch Kopien der erstellten Briefe an die Patientenkontakte in Ihrem System anhängt, so dass Sie im Falle einer Untersuchung durch die OCR die Einhaltung der Vorschriften leicht nachweisen können.
Während die jüngsten Änderungen am OCR HIPAA Breach Reporting Tool eher geringfügige organisatorische und kosmetische Verbesserungen sind, haben andere Bundesbehörden wie die Occupational Health and Safety Administration mit der Einführung elektronischer Einreichungsportale deutlichere Verbesserungen bei der Compliance-Meldung vorgenommen. Höchstwahrscheinlich ist es nur eine Frage der Zeit, bis HHS OCR diesem Beispiel folgt. Während HHS OCR also daran arbeitet, die HIPAA-Berichterstattung auf das 21. Jahrhundert zu bringen, müssen Gesundheitsdienstleister sicherstellen, dass sie diesem Beispiel folgen.
