Su identidad personal puede caer a merced de piratas informáticos sofisticados en muchos sitios web, pero cuando se trata de violaciones de datos de salud, hospitales, consultorios médicos e incluso compañías de seguros son a menudo los culpables.
Una nueva investigación de la Universidad Estatal de Michigan y la Universidad Johns Hopkins encontró que más de la mitad de la información de salud personal reciente, o PHI, las violaciones de datos se debieron a problemas internos con proveedores médicos, no a piratas informáticos o terceros.
"No hay una manera perfecta de almacenar información, pero más de la mitad de los casos que revisamos no fueron provocados por factores externos, sino por negligencia interna", dijo John Xuefeng Jiang, autor principal y profesor asociado de contabilidad ysistemas de información en Eli Broad College of Business de MSU.
La investigación, publicada en Medicina interna de JAMA , sigue el estudio conjunto de 2017 que mostró la magnitud de las infracciones de datos hospitalarios en los Estados Unidos. La investigación reveló casi 1,800 ocurrencias de grandes infracciones de datos en la información del paciente durante siete años, con 33 hospitales experimentando más de una infracción sustancial.
Para este documento, Jiang y el coautor Ge Bai, profesor asociado de la Escuela de Negocios John's Hopkins Carey, profundizaron para identificar los desencadenantes de las violaciones de datos de PHI. Revisaron casi 1.150 casos entre octubre de 2009 y diciembre de 2017 que afectaron a más de164 millones de pacientes.
"Cada vez que un hospital tiene algún tipo de violación de datos, deben informarlo al Departamento de Salud y Servicios Humanos y clasificar lo que creen que es la causa", dijo Jiang, miembro de la facultad de Plante Moran ".las causas se clasificaron en seis categorías: robo, acceso no autorizado, piratería o un incidente de TI, pérdida, eliminación inadecuada u "otro".
Después de revisar informes detallados, evaluar notas y reclasificar casos con puntos de referencia específicos, Jiang y Bai descubrieron que el 53 por ciento era el resultado de factores internos en las entidades de atención médica.
"Una cuarta parte de todos los casos fueron causados por acceso o divulgación no autorizados, más del doble de la cantidad causada por piratas informáticos externos", dijo Jiang. "Esto podría ser un empleado que lleva la PHI a su casa o la reenvía a una cuenta personal odispositivo, acceder a los datos sin autorización, o incluso a través de errores de correo electrónico, como enviar a los destinatarios incorrectos, copiar en lugar de copiar a ciegas o compartir contenido no cifrado ".
Si bien algunos de los errores parecen ser de sentido común, Jiang dijo que los grandes errores pueden conducir a accidentes aún mayores y que errores aparentemente inocuos pueden comprometer los datos personales de los pacientes.
"Los hospitales, consultorios médicos, compañías de seguros, consultorios médicos pequeños e incluso farmacias están cometiendo este tipo de errores y están poniendo en riesgo a los pacientes", dijo Jiang.
De las infracciones externas, el robo representó el 33 por ciento y el pirateo se atribuyó solo el 12 por ciento.
Si bien algunas violaciones de datos pueden tener consecuencias menores, como obtener los números de teléfono de los pacientes, otras pueden tener efectos mucho más invasivos. Por ejemplo, cuando Anthem, Inc. sufrió una violación de datos en 2015, 37.5 millones de registros se vieron comprometidos.Muchas de las víctimas no fueron notificadas de inmediato, por lo que no estaban al tanto de la situación hasta que fueron a presentar sus impuestos solo para descubrir que un tercero los archivó de manera fraudulenta con los datos que obtuvieron de Anthem.
Si bien la estricta seguridad de software y hardware puede proteger contra el robo y los piratas informáticos, Jiang y Bai sugieren que los proveedores de servicios de salud adopten políticas y procedimientos internos que puedan ajustar los procesos y evitar que las partes internas filtren PHI siguiendo un conjunto de protocolos simples.Las violaciones de la PHI relacionadas con el almacenamiento incluyen la transición de registros médicos en papel a digitales, almacenamiento seguro, pasar a políticas no móviles para la información protegida por el paciente e implementar cifrado. Los procedimientos relacionados con la comunicación de la PHI incluyen la verificación obligatoria de los destinatarios de correo, después de una "copia vs."copia oculta" bcc vs cc, así como el cifrado de contenido.
"No ponerse toda la armadura abrió las entidades de atención médica a los ataques del enemigo", dijo Bai. "La buena noticia es que la armadura no es difícil de poner si se siguen protocolos simples".
A continuación, Jiang y Bai planean mirar aún más de cerca el tipo de datos que son pirateados de fuentes externas para saber qué es exactamente lo que los ladrones digitales esperan robar de los datos del paciente.
Fuente de la historia :
Materiales proporcionado por Universidad Estatal de Michigan . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :