Índice:
- Bandidos querem registros eletrônicos de assistência médica
- Protegendo os dados do paciente em repouso e em trânsito
- Privacidade do Paciente
- Uma última consideração
Para aqueles que se inscreveram para assistência médica de acordo com os planos federais ou estaduais lançados no final de 2013, espero que sua experiência seja melhor que a minha. Morando em Minnesota, eu me matriculei no MNsure, o programa estadual. O processo levou seis horas.
Infelizmente, sites com mau funcionamento não são o único problema digital que afeta a inscrição em planos de saúde. Após a realização de auditorias em sites federais e estaduais, agências governamentais e organizações independentes estão proclamando que muitos - incluindo Healthcare.gov e MNsure.org - têm uma classificação baixa quando se trata de proteger informações médicas confidenciais.
Por exemplo, um artigo publicado no The Weekly Standard em 24 de janeiro relatou uma enorme falha de segurança no site federal HealthCare.gov. De acordo com David Kennedy, CEO da TrustedSec, citado na matéria, o site de inscrição permite que os invasores criem páginas da Web funcionais e potencialmente maliciosas no site HealthCare.gov. (sobre o lançamento - e o resultado - em Por que ocorreu o primeiro lançamento do HealthCare.gov, uma avaliação arquitetônica.)
Na mesma época em que foi lançado o HealthCare.gov federal, foi relatada uma grande violação de segurança dos dados financeiros pessoais mantidos pela Target. Acredita-se que até 40 milhões de cartões de crédito e débito possam ter sido impactados.
Mencionei anteriormente que sou de Minnesota, lar da sede da Target e de um site estadual de assistência médica que é menos do que estelar quando se trata de proteger os dados pessoais dos membros. É difícil não se perguntar se um padrão está surgindo. Especialmente quando o MinnPost, um serviço local de notícias on-line, publica uma matéria sobre a falta de segurança nos registros estaduais de farmácias. Afinal, se o Target não pode proteger dados financeiros, o que nos faz pensar que eles podem manter os registros de saúde fora de perigo?
Bandidos querem registros eletrônicos de assistência médica
Para os criminosos, os registros eletrônicos de saúde (EHR), incluindo os registros de identificação médica, são um tesouro de informações acionáveis. O artigo do MinnPost aborda um dos motivos:
"o chamado 'roubo de identidade médica' é uma preocupação crescente em todo o país, pois os ladrões podem obter acesso ao número do plano de saúde de um paciente, histórico de prescrição e outras informações pessoais, que podem ser usadas para fraudar prestadores de serviços de saúde".
O artigo do MinnPost cita um especialista do Gartner, que afirma que o roubo de identidade médica é especialmente problemático porque pode levar anos para ser descoberto. Se, durante esse período, os criminosos forem bem-sucedidos em fazer reivindicações fraudulentas, a vítima pobre provavelmente receberá subidas premium e não terá idéia do porquê; ou pior, suponha que a companhia de seguros esteja fazendo o que normalmente faz - simplesmente aumentando as taxas.
O aumento no interesse do EHR por bandidos não foi perdido na Symantec Corporation. Há alguns meses, a empresa divulgou um white paper que examinava "os desafios e os requisitos de proteção de dados confidenciais de pacientes on-line, o risco de violações de segurança no mundo do EHR e as medidas que as organizações de saúde devem tomar para alcançar e manter conformidade."
O artigo começa com uma visão geral do EHR, explicando que seus principais benefícios são a capacidade de compartilhar dados de pacientes com rapidez, precisão e facilidade entre os prestadores de serviços de saúde em qualquer lugar dos Estados Unidos. Mais especificamente, os RSE ajudam a:
- Gravar continuidade de provedor para provedor
- Reduzir erros nas prescrições
- Forneça rastreamento e alertas em tempo real para um atendimento ao paciente mais eficaz e eficiente
Protegendo os dados do paciente em repouso e em trânsito
Quando o documento da Symantec começou a falar sobre a proteção de dados de pacientes, os autores assumiram que as organizações de assistência à saúde terão soluções de segurança adequadas para os registros armazenados dos pacientes. Quanto aos dados dos pacientes em trânsito, a Symantec ofereceu sua própria solução,
"Para proteger os dados confidenciais dos pacientes contra acesso não autorizado, as organizações de assistência médica precisam de uma abordagem sistemática à segurança em toda a transação online, mitigando ameaças em vários níveis".
Privacidade do Paciente
Quando se trata de manter a privacidade do paciente, a Symantec explica que os princípios da Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) são proeminentes em toda a doutrina de RSE. Os governos estaduais também acrescentaram seus próprios estatutos, que tendem a se concentrar na privacidade individual, aplicando multas pesadas se os provedores lidam com informações incorretas dos pacientes ou demoram a notificar os pacientes sobre uma violação de dados.
O documento também pressupõe que "muitos consumidores provavelmente estariam dispostos a dizer que a segurança de seus dados financeiros é uma preocupação maior do que a privacidade de seus registros de saúde".
Talvez. Mas o que é realmente pior?
Afinal, as violações de dados como as que os clientes da Target estão sofrendo são realmente ruins, mas o dano pode ser reparado. É difícil dizer o mesmo para uma violação de dados que resulta no roubo de registros de assistência médica ao paciente.
De acordo com a Symantec, "uma vez que as informações confidenciais são derramadas na Internet, elas não podem ser devolvidas à garrafa. Amigos, colegas de trabalho, familiares e potenciais empregadores podem saber para sempre o que deveria ser um assunto privado entre você e seu médico que leva ao constrangimento, discriminação no trabalho e outras consequências graves ".
Diferentemente das violações de dados financeiros, nenhuma quantia de dinheiro pode reparar os danos.
Uma última consideração
É importante entender que os prestadores de serviços de saúde, a fim de cumprir a HIPAA, devem manter uma trilha de auditoria de quem acessou quais registros, quais alterações foram feitas e quando. Portanto, se algo não estiver certo, os pacientes podem esperar respostas para perguntas relacionadas ao EHR. É uma coisa boa. Infelizmente, a essa altura, o dano já pode estar feito.
