febrero 18, 2019

Las cuentas de correo electrónico y contraseñas de ex empleados deben ser desactivados de inmediato por lo que ya no pueden acceder a la red.

La privacidad de los datos del paciente está protegido por el Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) y el 2009 Salud Tecnología de la Información para la Salud Económica y Clínica Act.1But las complejidades de métodos de alta tecnología de hoy en día de la comunicación, compartir datos, y el almacenamiento de datos yacía prácticas abiertas a imprevistos y amenazas en constante cambio, que requiere la vigilancia y la capacitación del personal médico.

Este segundo artículo dedicado a la seguridad cibernética da un vistazo más de cerca a los pacientes que protegen’ intimidad. Para obtener una mayor comprensión de este tema complejo, MPR entrevistó a Michael J Sacopulos, JD, CEO de Instituto Médico de Riesgo (RM), una empresa que ofrece “consejo proactivo” para la comunidad sanitaria para identificar dónde se originan los riesgos de responsabilidad y para reducir o eliminar esos riesgos. También es Asesor General de Servicios de Justicia médicos. Sr. Sacopulos es el coautor de Tweets, Gustos, y Pasivos: Los riesgos en línea y electrónicos al profesional de la salud (Fénix, Maryland; GreenbranchPublishing: 2018).

¿Qué opinas de la mayor amenaza es la HIPAA en los médicos’ prácticas?

Algunos de los temas que se tratan en nuestras entrevista anterior son centrales en posibles violaciónes de HIPAA. En particular, Estoy hablando de la falta de higiene cibernética, y me refiero a los numerosos errores humanos que pueden comprometer la privacidad del paciente, incluso con el mejor software y cortafuegos. Ya hemos discutido la importancia de la capacitación del personal de no hacer clic en correos electrónicos desconocidos a menudo llamados “phishing” e-mails, los cuales son los ataques cibernéticos que abren la puerta a los piratas informáticos para acceder a su sistema o instalar malware en los equipos. La enseñanza de su personal para reconocer estas estafas y correos electrónicos de malware es crítica.

¿Qué otros problemas potenciales podrían comprometer la privacidad?

Un área importante de preocupación es el lugar donde usted y su personal acceso a Internet cualquier relacionados con la práctica. Si usted tiene un empleado, consultor, o contratista que trabaja de forma remota - por ejemplo,, un contador o alguien que hace la facturación médica - lo que necesita para estar seguro de que varias cosas importantes que están en su lugar.

Ni usted ni su empleado debe estar usando la conexión Wi-Fi en Starbucks o la biblioteca o el aeropuerto, por ejemplo, para hacer cualquier correo electrónico o el trabajo en los registros de pacientes, ya que aquellos no son seguras las conexiones y puede ser fácilmente hackeado. Además, en un lugar público, una persona que se sienta cerca de usted, o un transeúnte puede echar un vistazo a nombre del paciente o alguna otra información o incluso podría utilizar su propio teléfono celular para fotografiarlo.

Los empleados que trabajan desde su casa deben tener un espacio de trabajo dedicado, tales como una oficina en casa, con una puerta que se cierra y archivadores que puede ser bloqueado y asegurado a los demás. La oficina no debe funcionar como la habitación de invitados o en el dormitorio de los niños. Y el empleado debe dedicar tiempo y espacio específico para trabajar en asuntos relacionados con la práctica y no realizar múltiples tareas. He visto situaciones en las que la persona que hace la facturación estaba trabajando en la generación de facturas electrónicas al tratar de cocinar la cena para su familia y que tienen el ordenador o papeles sobre la mesa.

Cualquier conversación sobre los pacientes, si va a devolver la llamada de un paciente o si el miembro del personal está hablando con una compañía de seguros, debe llevarse a cabo en privado, donde no hay miembros de la familia u otras personas que pueden oír. Un médico estaba discutiendo un problema de mojar la cama de un niño con un padre al alcance del oído de sus propios hijos. Era una ciudad pequeña y los niños del doctor fue a la escuela con el niño que tenía el problema de mojar la cama. pronto, era de público conocimiento en el aula y los otros niños bromeó al niño con el problema. Esto tuvo lugar en los días antes de la HIPAA se puso en marcha, pero el tema podría fácilmente tener lugar hoy si las conversaciones relacionadas con los pacientes podían ser escuchadas.

Igualmente importante es asegurarse de que hay un equipo dedicado utilizado para otra cosa que los asuntos relacionados con la práctica. El equipo debe tener una contraseña segura y no debe ser compartida por otros, tales como los hijos de uno que lo utilizan para hacer sus tareas o jugar juegos de video.

¿Hay problemas relacionados con el software para preocuparse?

Debe tener buenos cortafuegos cifrado adecuada para portales y medios de comunicación con el paciente. Es extremadamente importante mantener el software compatible y actualizada. Si el fabricante recomienda actualizaciones, se deben instalar con prontitud para que su software se mantenga segura. Las actualizaciones son “parches,”, Que el fabricante recomienda si encuentran vulnerabilidades. Las versiones anteriores de software con el tiempo ya no son soportados por la plataforma, como Microsoft. Más allá de ser poco fiable, software obsoleto es vulnerable a las violaciones cibernéticos. La posición del gobierno es que si no se admite el software, esto constituye una violación per se.

¿Cómo puede aumentar su seguridad en una práctica?

No puedo enfatizar lo suficiente lo que he mencionado en la entrevista previa, el cual es contratar a un experto profesional de TI para llevar a cabo y solucionar problemas de software o manejar correos electrónicos de phishing y las infracciones potenciales. Un experto en TI profesional también debe llevar a cabo un análisis anual de riesgos y asesorar sobre lo que necesita mejorar.

Debe revisar periódicamente que en su práctica tiene acceso a qué tipo de información. Los miembros del personal que no necesitan acceder a los pacientes’ registros electrónicos de salud (EHR), lo que significa que no están involucrados con el cuidado de un paciente dado, debe impedir que el acceso a los registros de ese paciente. Las cuentas de correo electrónico y contraseñas de ex empleados deben ser desactivados para que ya no pueden acceder a la red de inmediato. Esto es igualmente cierto si usted tiene un área de almacenamiento de archivos de papel. tarjeta de acceso o pase del ex-empleado debe ser devuelto y si hay una cerradura de combinación, la combinación debe ser cambiado.

Por último, asegúrese de tener políticas en vigor con respecto a sus empleados’ el uso de las redes sociales y correos electrónicos y acceso.

¿Qué pasa con el uso de dispositivos móviles?

Cualquier teléfono móvil utilizado para su práctica tiene que ser protegido por contraseña, de manera que si se pierde o es robado, alguna información no es segura. La mayoría de los androides y iPhones estándar hoy en día han contraseñas que están cifrados y por lo tanto asegurar.

Otra preocupación se refiere a los textos. Son sus textos segura o no? Y, igualmente importante desde una perspectiva de seguridad de los pacientes, ¿el contenido del texto siempre hacen su camino en la historia clínica del paciente? Las conversaciones entre los médicos sobre el texto, o entre el médico y el paciente, tenga que ser introducido en la tabla para la continuidad de la atención y de manera que si el teléfono se pierde o es robado, ninguna información importante del paciente se pierde.

Si un médico u otro profesional utiliza un teléfono celular para fotografiar un paciente - por ejemplo,, un dermatólogo ha fotografiado la erupción de un paciente - esto también se debe introducir en el expediente del paciente tan pronto como sea posible.

¿Hay otras preocupaciones relacionadas con la privacidad del paciente y fotografías?

Existen algunas preocupaciones obvias. No hay fotografías de un paciente deben aparecer en cualquier lugar fuera de su carta - por ejemplo,, nada nunca debe ser publicado en la práctica de la página web o boletín de noticias, o en las redes sociales de un empleado.

Sé que a veces los médicos utilizan fotografías en primer plano de los pacientes sin identificación en reuniones médicas para la demostración o para discutir una enfermedad o condición particular - tal vez una erupción o incisión quirúrgica. Pero la ley es muy clara que la imagen no puede ser identificables como cualquier persona en particular a cualquier otra persona, incluso un cónyuge.

Tuve un caso en el que una mujer tuvo un aumento del pecho y el cirujano tomó un antes / después de la foto de su torso, que fue utilizado más tarde en una presentación médica - sin información de identificación, por supuesto, y sin revelar ninguna otras partes del cuerpo tales como la cara, cabeza, brazos o piernas. Sin embargo, el paciente presentó una demanda alegando que tenía un patrón único de pecas en el pecho que podría ser identificable para algunas personas. El caso se resolvió.

Mi consejo es obtener el permiso de un paciente si desea utilizar cualquier imagen en una conferencia o un artículo de revista. Esto puede hacerse fácilmente con un documento de una página que debería permanecer en el expediente del paciente. En mi experiencia, muy pocos pacientes se niegan a permitir que su fotografía no identificable que se utilizará si entienden que es el propósito de la educación médica de otros profesionales de la salud.

Tan complicado como puede ser la creación de protocolos adecuados y capacitar al personal de manera adecuada, es esencial, no sólo para protegerse de posibles litigios o medidas disciplinarias, sino también a la privacidad de protección del paciente y mejorar la seguridad del paciente.

siga @DermAdvisor

Referencia

1. McCoy TH, perlis RH. Las tendencias temporales y las características de las violaciones de datos de salud de notificación obligatoria, 2010-2017. JAMA. 2018;320(12):1282-1283.