Pelanggaran data perawatan kesehatan memengaruhi hampir 250 juta orang dari tahun 2005 hingga 2019. Namun ada beberapa cara praktik medis Anda dapat mencegah pelanggaran ini dan melindungi informasi kesehatan pribadi pasien Anda. Pemantauan akses adalah salah satu caranya.
Seperti namanya, pemantauan akses terjadi ketika seseorang atau penggunaan sistem (akses) dari sistem komputer dievaluasi (dipantau). Ini adalah proses yang mengamati dan menganalisis apa yang terjadi saat pengguna mengakses sistem selama sesi.
Sesi bisa menjadi contoh tunggal ketika seseorang atau sistem menggunakan hak aksesnya. Atau sesi dapat didefinisikan sebagai periode waktu saat pengguna masuk ke sistem yang dimaksud, seperti periode saat individu tersebut melakukan pekerjaan.
Tentu saja, itu skenario yang ideal, bahwa sesi terjadi karena seseorang secara legal mengakses sistem untuk jangka waktu tertentu untuk melakukan tugas yang berhubungan dengan pekerjaan.
Tapi karena ini dunia nyata, situasi ideal ini tidak selalu terjadi. Terkadang, pengguna yang tidak sah meretas sistem karena mereka ingin mencuri informasi dan menggunakannya untuk tujuan jahat.
Peretas dapat mencuri catatan kesehatan elektronik dan informasi medis pribadi lainnya, menjual data berharga ini untuk mendapatkan keuntungan. Mereka bisa mencari, menemukan, dan mencuri nomor Jaminan Sosial dan menggunakannya untuk melakukan pencurian identitas.
Apa saja hal spesifik tentang pemantauan akses?
Menjelajahi beberapa konsep utama dapat membantu menjelaskan pemantauan akses dengan lebih baik:
Pemantauan proaktif terjadi saat Anda mengamati atau menganalisis sesi pengguna saat Anda tidak memiliki alasan yang jelas untuk meninjaunya.
Umumnya, pengamatan dan analisis ini terjadi secara real time, saat sesi sedang berlangsung, atau segera setelah serangkaian sesi. Jenis pemantauan ini dibandingkan dengan kamera keamanan yang menangkap dan membantu melawan kejahatan sebelum kondisi menjadi lebih buruk.
Di sisi lain, pemantauan reaktif terjadi setelah sesi pengguna. Orang mengizinkan jenis pengamatan dan analisis ini untuk alasan tertentu. Pemantauan reaktif disamakan dengan petugas pemadam kebakaran yang tiba di lokasi untuk menangani masalah.
Ketika kantor perawatan kesehatan mengamati sesi akses, mereka meninjau apa yang terjadi (atau sedang terjadi) selama ini. Berbagai jenis pengamatan mungkin termasuk:
Pengumpulan data yang diperoleh selama sesi.Audit teks sesi.Rekaman video sesi.
Setelah kantor perawatan kesehatan menyelesaikan sesi observasi, mereka dapat menganalisisnya.
Bagaimana pemantauan akses berhubungan dengan HIPAA?
Seperti aspek lain dari informasi layanan kesehatan, pemantauan akses berhubungan dengan Health Insurance Portability and Accountability Act of 1996 (HIPAA). Peraturan ini telah mengembangkan standar nasional AS yang melindungi dari pengungkapan informasi kesehatan pribadi tanpa sepengetahuan atau persetujuan pasien.
Beberapa organisasi menggunakan aplikasi (aplikasi komputer) untuk
Periksa laporan aktivitas sistem catatan kesehatan elektronik. Hubungkan laporan aktivitas ini dengan data sumber daya manusia sistem. Buat laporan audit yang dapat menemukan apakah sistem telah mengalami akses pengguna yang berwenang.
Praktik medis dapat menggunakan laporan informasi tersebut untuk menentukan apa yang harus dilakukan selanjutnya.
Bagaimana cara kerja pemantauan akses?
Laporan audit mungkin menemukan aktivitas yang mencurigakan, seperti seseorang yang masuk ke sistem kesehatan dan melihat catatan kesehatan elektronik anggota keluarga, teman, atau tetangga, meskipun mereka tidak berwenang untuk melihat file tersebut. Atau analisis semacam itu dapat membuat peringatan audit karena seseorang tanpa akses apa pun untuk mengambil catatan praktik medis baru saja melihat catatan ini.
Misalnya, sistem pemantauan akses elektronik mungkin melaporkan bahwa seorang karyawan mengakses catatan pasien tertentu pada waktu tertentu. Karena sistem ini juga memiliki informasi sumber daya manusia karyawan di file, sistem ini dapat menandai apakah karyawan dan pasien memiliki nama belakang, informasi kontak, atau kesamaan lainnya yang sama. Singkatnya, karyawan tersebut mungkin mencoba mendapatkan informasi untuk alasan pribadi, meskipun mereka tidak berwenang melakukannya.
Setelah aktivitas mencurigakan ditemukan dan dilaporkan, hal itu dapat didiskusikan dengan petugas sistem HIPAA. Jika pengguna yang tidak sah adalah seorang karyawan, penyelia mereka, pekerja sumber daya manusia, dan perwakilan serikat pekerja mungkin juga mendiskusikan perilaku mencurigakan ini.
Orang lain juga perlu diberitahu. Jika terjadi pelanggaran data, praktik medis wajib memberi tahu setiap orang yang telah terpengaruh, Komisi Perdagangan Federal Amerika Serikat (FTC) dengan menggunakan formulir tertentu, dan jika pelanggaran itu sangat besar, media.
Bagaimana praktik dapat membuat prosedur pemantauan akses?
Praktik medis individu menggunakan dan mengakses catatan kesehatan elektronik dengan cara yang sedikit berbeda. Namun jika Anda membuat prosedur pemantauan akses Anda sendiri, Anda mungkin ingin membuat beberapa pertimbangan umum. Anda mungkin ingin:
Tentukan siapa dan apa yang Anda pantau
Apakah Anda mencari orang yang sebelumnya salah mengakses sistem? Informasi pasien yang sedang diakses. Saat Anda mengekstrak informasi, sistem mana yang akan Anda gunakan?
Penting juga untuk menentukan apa yang pantas dan apa yang tidak pantas dalam praktik medis Anda. Apakah Anda mengizinkan orang untuk mengakses catatan mereka sendiri?
Beri tahu karyawan mengapa Anda memantau
HIPAA mewajibkan penyedia medis untuk membuat dan menerapkan rencana “untuk merekam dan memeriksa akses dan aktivitas lain dalam sistem informasi yang mengandung atau menggunakan e-PHI” (informasi kesehatan yang dilindungi secara elektronik). Pastikan latihan Anda memiliki rencana seperti itu.
Juga, pastikan anggota staf Anda tahu tentang rencana ini. Tuliskan agar Anda dapat menyegarkan ingatan karyawan saat ini serta mengajar karyawan baru.
Tetapkan saat Anda memantau
Saat Anda membuat rencana pemantauan, tunjukkan frekuensi di mana Anda akan memantau. Sekali lagi, ada baiknya memformalkan informasi ini dan berkomunikasi dengan anggota staf Anda.
Notifikasi sangat penting karena frekuensi ini dapat berubah jika subjek berubah, jika ukuran latihan Anda berubah, atau terjadi faktor lain. Anda juga dapat membuat jadwal yang membahas waktu dan tugas anggota tim untuk membantu Anda melacak dan mengomunikasikan tugas.
Diskusikan bagaimana Anda melaporkan pemantauan Anda
Komunikasi juga penting selama pelaporan. Anda harus menentukan informasi yang ingin Anda bagikan, bagaimana Anda ingin membagikannya, dan siapa yang akan menerimanya.
Anda mungkin juga perlu mengirimkan informasi dengan cara yang berbeda. Beberapa orang mungkin lebih suka data mentah, dan yang lain mungkin lebih suka analisis. Pastikan juga Anda mengikuti peraturan dan regulasi apa pun dan diskusikan serta catat setiap perubahan dalam prosesnya.
Pemantauan akses membutuhkan upaya, tetapi ini dapat menyelamatkan Anda dari kerja keras di masa mendatang.
Kredit gambar: Den Bangkit / Shutterstock
Peter Davidson bekerja sebagai rekan bisnis senior membantu merek dan memulai untuk membuat keputusan bisnis yang efisien dan merencanakan strategi bisnis yang tepat. Dia adalah penggila gadget besar yang suka berbagi pandangannya tentang teknologi dan aplikasi terbaru.
