Health Care Security – Compartilhamento de dados de pacientes

January 24, 2017 | Views: 2540

Begin Learning Cyber Security for FREE Now!

FREE REGISTRATIONAlready a Member Login Here

Estimated reading time: 3 minutes

Health Care Security – Sharing Patient Data

Translation provided by Google Translate. Original Portuguese Submission is available below the translation.

I have observed over the past three years along with several organizations that directly or indirectly deal with patient data, dizzying growth, not to say rushed or impulsive storage and sharing of information in the cloud.

It is undeniable that large amounts of medical records are shared and stored on various cloud platforms where there is no concern as to how such storage is performed, much less how it is shared, or whether the data is manipulated or accessed by other people. Without citing in the movement of use of the cloud to process such information which allows the use of this large volume of data to meet other interests.

We have no doubt that the solutions available make it easier to share information, but we can not deny that privacy and legal issues should be considered, especially when we talk about patient-owned data. It is important to reinforce that certain information related to patients (reports, medical records, medical records) have legal impacts and are not considered.

Several times I have observed the sharing of patient records on platforms without the minimum of protection, where, through little effort, or even without intention (by accident), access to such records is possible.

We can even mention systems where there are no effective controls on access profiles that allow access and sharing of information among unauthorized employees themselves, allowing such information to be exploited and used by malicious personnel, as we have seen with the increase in attempts Of blow against patients.

Technologies are changing rapidly and will continue to evolve as thousands of records are migrated and shared. This leads to other concerns still pertinent to the storage of patient data by healthcare organizations, who must improve their controls to protect their patients’ data before a more serious problem occurs.

In the health area, as I have noted, such concerns about safety and concrete actions for the protection and care of medical and patient information do not keep up with the evolution of technologies.

Therefore, the importance of more effective regulations that aim at the protection of patient information and the accountability and the obligation to comply with the best security practices made available by different organisms.

It would be important for data storage service providers to offer services that are unique to healthcare providers that are compatible with various market regulations and are committed to safety, which is not easy to find because many of them are not willing to take the risk, or because Place them as co-responsible in case of data breaches or because they do not have effective security controls to mitigate the risk.

But we can cite some that seek such a commitment, as is the case with AWS “that allows covered entities and their associates subject to the HIPAA (Health Insurance Portability and Accountability Act) to benefit from AWS provides a whitepaper on HIPAA for customers interested in learning more about how they can take advantage of AWS for the processing and storage of health information. Whitepaper “Creating HIPAA-Compliant Medical Data Applications with AWS” describes how companies can use AWS to process systems that facilitate compliance with HIPAA and HITECH. ” (https://aws.amazon.com/com/compliance/hipaa-compliance/)

Pedro Nuno


Original Portuguese Submission: 

Segurança dos Cuidados de Saúde – Compartilhamento de Dados de Pacientes

Tenho observado durante os últimos três anos junto a várias organizações que diretamente ou indiretamente lidam com dados de pacientes, o crescimento vertiginoso, para não dizer apressurado ou impulsivo de armazenamento e compartilhamento de informações em nuvem.

É inegável que grandes quantidades de registros médicos são compartilhados e armazenadas em diversas plataformas em nuvem, onde não existe a preocupação da forma que tal armazenamento é realizado, muito menos a forma que é compartilhada, ou se os dados são manipulados ou acessados por outras pessoas. Sem citar no movimento de uso da nuvem para processamento de tais informações o que permite o uso deste grande volume de dados para atendimento de outros interesses.

Não temos dúvidas que as soluções disponíveis tornam mais fáceis o compartilhamento de informações, mas também não se pode negar que devem ser consideradas questões relacionadas à privacidade e questões legais, especialmente quando falamos de dados de propriedade de um paciente. É importante reforçar que determinadas informações relacionadas a pacientes (laudos, registros médicos, prontuários) possuem impactos legais e que não são considerados.

Por diversas vezes tenho observado o compartilhamento de registros de pacientes em plataformas sem o mínimo de proteção, onde, através de pouco esforço, ou até mesmo sem intensão (por acidente), é possível o acesso a tais registros.

Podemos citar inclusive sistemas onde não existem controles efetivos de perfis de acesso que permitem o acesso e o compartilhamento de informações entre os próprios funcionários não autorizados, permitindo que tais informações sejam exploradas e utilizadas por pessoal mal intencionado, como temos observado com o aumento de tentativas de golpe contra pacientes.

As tecnologias estão mudando rapidamente e continuarão a evoluir enquanto milhares de registos são migrados e compartilhados. Isto leva a outras preocupações ainda pertinentes relacionadas ao armazenamento de dados de pacientes pelas organizações de saúde, que devem melhorar os seus controles para proteção dos dados de seus pacientes, antes que um problema mais sério ocorra.

Na área da saúde, como pude observar, tais preocupações com a segurança e ações concretas de proteção e cuidados com informações médicas e de pacientes, não andam no mesmo ritmo no que se refere a evolução das tecnologias.

Por isso a importância de regulamentações mais efetivas que visam a proteções de informações de pacientes e a responsabilização bem com a obrigação de atendimento a melhores práticas de segurança disponibilizadas por diversos organismos.

Seria importante que empresas de serviço de armazenamento de dados pudessem oferecer serviços exclusivos para empresas de saúde compatíveis com diversas regulamentações de mercado se comprometendo com a segurança, o que não é fácil encontrar, pois muitas delas não estão dispostas a assumir o risco, ou porque as colocam como corresponsáveis em caso de violações de dados ou por que não possuem controles de segurança efetivos que permite mitigar o risco.

Mas podemos citar alguma que buscam tal comprometimento, como é o caso da AWS “que permite que entidades com cobertura e seus associados sujeitos à HIPAA (Health Insurance Portability and Accountability Act, Lei de Portabilidade e Responsabilidade de Seguros de Saúde) dos EUA se beneficiem do ambiente seguro da AWS para processamento, manutenção e armazenamento de informações protegidas relacionadas à saúde. A AWS oferece um whitepaper sobre a HIPAA para os clientes interessados em saber mais sobre como podem aproveitar a AWS para o processamento e armazenamento de informações de saúde. O whitepaper “Creating HIPAA-Compliant Medical Data Applications with AWS” descreve como as empresas podem usar a AWS para processar sistemas que facilitam a conformidade com a HIPAA e a HITECH.” (https://aws.amazon.com/pt/compliance/hipaa-compliance/)

Pedro Nuno.

Share with Friends
FacebookTwitterLinkedInEmail
Use Cybytes and
Tip the Author!
Join
Share with Friends
FacebookTwitterLinkedInEmail
Ready to share your knowledge and expertise?
6 Comments
  1. Good article. I have seen healthcare industry gaint whose array of product involves catering needs from initial phases of drug development life cycle to post marketing phase(tracking of adverse events, authority submissions) . They take security very seriously since it involves several clients relying on their cloud. And normally if they have to provide such a registered service, they go under a very stringent policies such as CFR part 11 etc.

  2. it has a good explanation, but it does not covers when each entity has to meet local countries regulation. e.g like India, Korea, China and Malaysia. Data has to be localize (stored in their own country) to have better control of data from leakage out to other region. Also, if fail to comply, business has to hold back/suspend for months or years. Another topic can be arising is Outsourcing. Just my opinion.

Comment on This

You must be logged in to post a comment.

Our Revolution

We believe Cyber Security training should be free, for everyone, FOREVER. Everyone, everywhere, deserves the OPPORTUNITY to learn, begin and grow a career in this fascinating field. Therefore, Cybrary is a free community where people, companies and training come together to give everyone the ability to collaborate in an open source way that is revolutionizing the cyber security educational experience.

Support Cybrary

Donate Here to Get This Month's Donor Badge

 

We recommend always using caution when following any link

Are you sure you want to continue?

Continue
Cancel