Kein Unternehmen ist vor Datenschutzverletzungen gefeit... und das gilt auch für die Gesundheitsbranche, in der die Zahl der Datenschutzverletzungen seit 2015 um 18 Prozent zugenommen hat, als das Büro für Bürgerrechte des US-Gesundheitsministeriums begann, größere Datenschutzverletzungen zu veröffentlichen, die es untersuchte.
Die zunehmende Zahl von Sicherheitsverletzungen - neben einer Mitte 2017 angekündigten Aktualisierung des Tools zur Meldung von Verstößen gegen den Health Insurance Portability and Accountability Act (HIPAA)-haben viele Organisationen des Gesundheitswesens dazu veranlasst, darüber nachzudenken, ob ihre Bemühungen um die Cybersicherheit und die Einhaltung der Datenschutzbestimmungen verbessert und modernisiert werden müssen. Und in den meisten Fällen lautet die Antwort: Ja.
Dies liegt vor allem daran, dass Anbieterorganisationen Schwierigkeiten haben, die Anforderung zu erfüllen, die von einer Sicherheitsverletzung betroffenen Parteien innerhalb von 60 Tagen zu benachrichtigen. Die Verzögerungen - und damit die Nichteinhaltung - sind in der Regel auf manuelle, ineffiziente Prozesse für die anfängliche Meldung von Ereignissen, die Risikobewertung und die Feststellung von Sicherheitsverletzungen sowie das Meldeverfahren selbst zurückzuführen.
Dennoch können Anbieterorganisationen in der Regel die folgenden zwei Fragen an ihr Unternehmen stellen, um festzustellen, ob sie in guter Verfassung sind, um die Vorschriften zur Cybersicherheit und zum Datenschutz einzuhalten, oder ob es noch Raum für Verbesserungen gibt:
- Ist unser Verfahren zur Meldung von Sicherheitsverletzungen mit anderen Aktivitäten zur Meldung von Vorfällen integriert?
- Welche derzeit manuellen Schritte im Prozess können automatisiert werden?
Wenn Sie die erste Frage mit "Nein" beantwortet haben oder sich vielleicht nicht bewusst sind, dass bestimmte Prozesse automatisiert werden können, wie in Frage zwei angedeutet, gibt es Raum für Verbesserungen. Die gute Nachricht ist jedoch, dass es auch Risikomanagementtechnologien gibt, mit denen sich der Risikomanagementprozess im gesamten Unternehmen automatisieren lässt - einschließlich der Risiken, die sich auf Ihre Bemühungen um Cybersicherheit und Patientendatenschutz auswirken können.
Die richtige Technologie für das Risikomanagement ermöglicht es Ihnen,:
- Einfaches Melden von Datenschutzverletzungen, die einen bis zu 500+ Patienten betreffen
- Durchführung von standardbasierten Risikobewertungen
- Verwalten von Benachrichtigungen über Sicherheitsverletzungen für einzelne und mehrere betroffene Parteien
- Verfolgung der Einhaltung von Meldefristen
- Durchführung von Untersuchungen und Grundursachenanalyse
- Nachverfolgung und Trendanalyse von Daten mit fortschrittlichen Analysemethoden zur Förderung von Verbesserungen
Zu den Vorteilen solcher Funktionen gehören wahrscheinlich: verbesserte HIPAA-Konformität mit der Verzögerungsanalyse bei der Meldung von Sicherheitsverletzungen, geringerer Zeitaufwand für die Erfüllung der OCR-Meldeanforderungen und einfachere Benachrichtigung der betroffenen Parteien.
Wenn es um die Benachrichtigung betroffener Parteien geht, automatisiert die richtige Risikomanagementtechnologie den gesamten Prozess mit Serienbrieffunktionen, die mit den Kontakt- und anderen Daten der betroffenen Parteien integriert werden können. Vorgefertigte, angepasste Vorlagen für Benachrichtigungsschreiben vereinfachen den Prozess ebenfalls. All dies macht es weniger mühsam, die erforderlichen Benachrichtigungen zu erstellen, insbesondere wenn Hunderte oder Tausende von Betroffenen betroffen sein können.
Darüber hinaus kann die Automatisierung diese Aktivitäten auch für Sie dokumentieren, indem sie Datums- und Zeitstempel für die Erstellung von Briefen anbringt und sogar automatisch Kopien der erstellten Briefe an die Patientenkontaktdatensätze in Ihrem System anhängt, was den Nachweis der Compliance im Falle einer Untersuchung durch die OCR erleichtert.
Während es sich bei den jüngsten Änderungen am OCR HIPAA Breach Reporting Tool um eher geringfügige organisatorische und kosmetische Verbesserungen handelt, haben andere Bundesbehörden, wie die Occupational Health and Safety Administration, mit der Einführung elektronischer Einreichungsportale deutlichere Verbesserungen bei der Compliance-Berichterstattung vorgenommen. Es ist mehr als wahrscheinlich, dass es nur eine Frage der Zeit ist, bis HHS OCR diesem Beispiel folgt. Während HHS OCR also daran arbeitet, die HIPAA-Berichterstattung auf den Stand des 21. Jahrhunderts zu bringen, müssen Gesundheitsdienstleister sicherstellen, dass sie diesem Beispiel folgen.
English 
English (UK) 
Deutsch 
Español 
Português 
Français 