Datenverstöße - ein wachsendes Problem in Organisationen des Gesundheitswesens

Viele Gesundheitsorganisationen ermöglichen es ihren Mitarbeitern, Smartphones, Tablets und andere hochentwickelte Datenerfassungsgeräte in ihre Büros zu bringen und sich mit ihren Netzwerken oder Unternehmenssystemen zu verbinden. Dies ist die dritte jährliche Studie über Patienten-Datenschutz und Datensicherheit, die heute veröffentlicht wurde.
Die Autoren fragen sich, ob BOYD (bring your own device) ein Sicherheitsrisiko darstellt, dem sich die Gesundheitsorganisation nicht bewusst ist.
Der Bericht, der vom Ponemon Institute und der Health Information Trust Alliance veröffentlicht wurde, zeigte auf, dass die Gesundheitsbranche weiterhin hinter den meisten anderen Wirtschaftszweigen zurückbleibt, wenn es darum geht, Datenverletzungen zu stoppen.
Der Bericht von 2012 besagt, dass 94% der 80 Gesundheitsorganisationen, die an einer Umfrage teilgenommen haben, in den letzten 24 Monaten zu mindestens einer Datenpanne gestanden haben; 45% sagten, sie wüssten von mindestens fünf Datenverletzungen, verglichen mit 29% im vorherigen Bericht.
Mehr als die Hälfte aller befragten Organisationen gaben an, mindestens einen Vorfall mit medizinischem Identitätsdiebstahl gehabt zu haben. Nur 18% gaben an, dass sie sicher waren, dass der Diebstahl das Ergebnis einer Datenverletzung war - 32% sagten, sie seien unsicher.
Über die Hälfte aller Gesundheitsorganisationen gaben an, dass sie wenig oder kein Vertrauen in ihre Fähigkeit haben, Verstöße zu erkennen. Nur 40% gaben an, dass sie den Verlust oder Diebstahl von Patientendaten zuverlässig verhindern oder schnell erkennen können.
Datenverstöße haben die US-amerikanische Gesundheitsorganisation jährlich 6,78 Milliarden Dollar gekostet.
BOYD hilft Produktivität, Zeit und Bewegung Experten haben gezeigt. Zu den Technologien, die heute eine höhere Produktivität und Benutzerfreundlichkeit versprechen, gehören mobile Geräte, File-Sharing-Anwendungen und cloudbasierte Dienste - alles sehr schwer zu sichern. Es besteht die Gefahr, dass jemand im Unternehmen Daten irgendwo anders mitnimmt, einschließlich vertraulicher Patienteninformationen, wo es in die falschen Hände geraten könnte.
Die Autoren haben geschrieben:

"Eine weitere Sorge in dieser Untersuchung ist, dass raffinierte und heimliche Angriffe von Kriminellen seit 2010 stetig zugenommen haben.
Das Preisschild für den Umgang mit diesen Verstößen kann atemberaubend sein. Obwohl die Kosten zwischen 10.000 und mehr als 1 Million US-Dollar liegen können, berechnen wir, dass die Durchschnittskosten für die in dieser Benchmark-Studie vertretenen Organisationen über einen Zeitraum von zwei Jahren 2,4 Millionen US-Dollar betragen. Dies ist ein leichter Anstieg von 2,2 Millionen US-Dollar im Jahr 2011 und 2,1 Millionen US-Dollar im Jahr 2010. "

Insider-Fahrlässigkeit Hauptgrund für Datenverstöße

Bei 46% der Datenverletzungen wurde das Computergerät des Mitarbeiters entweder verloren oder gestohlen, was die Autoren auf Sorglosigkeit zurückführen.
In 42% der Fälle wurde der Verstoß durch Fehler der Mitarbeiter oder unbeabsichtigte Aktionen verursacht.
Drittanbieter SNAFUS ist auch eine relativ häufige Ursache für Datenverletzungen.
Die Anzahl gezielter krimineller Angriffe auf Datenbanken von Gesundheitseinrichtungen hat ebenfalls zugenommen.

Wie sicher sind diese Geräte?

Die Autoren erklärten, dass sie, wenn sie Gesundheitsorganisationen fragten, wie sicher sie seien, dass die Geräte, die ihre Angestellten ins Büro bringen und sicher mit nach Hause nehmen, sicher seien, die typischste Antwort war, dass sie überhaupt nicht zuversichtlich waren.
Zu den Gesundheitsorganisationen, die in diesem Bericht behandelt wurden, gehören:

• Krankenhäuser / Kliniken, die Teil eines Netzwerks sind - 46%
• Integrierte Liefersysteme - 36%
• Standalone Krankenhäuser / Kliniken - 18%

Die Forscher führten 324 Interviews durch - zu den Befragten zählten diejenigen, die in den Bereichen Verwaltung, Sicherheit, Datenschutz, Compliance, klinische Angelegenheiten und Finanzen arbeiten.

Was sollten Krankenhäuser tun, um Datenverstöße einzudämmen?

Die Autoren sagen, dass sie:

• Führen Sie eine Bewertung des Datenschutzrisikos durch


• Identifizieren Sie organisatorische Lücken


• Erstellen Sie eine Richtlinie, die detaillierte Richtlinien für alle mobilen Geräte für alle Auftragnehmer und Mitarbeiter enthält.


• Wenn sie die Richtlinie erstellen, sollten sie die Sicherheitsrisiken angehen und klar erläutern, welche Verfahren zu befolgen sind


• Die Richtlinie für mobile Geräte des Gesundheitswesens sollte Mitarbeiter darüber aufklären, warum ihre mobilen Geräte sicher und geschützt sind und welche riskanten Verhaltensweisen vermieden werden sollten

Experten gehen davon aus, dass die Anzahl der Datenverletzungen um ein Vielfaches höher ist als derzeit gemeldet, einfach weil die meisten Gesundheitsorganisationen nicht die Mittel haben, sie zu erkennen.
Viel besorgniserregender ist die geringe Priorität, die viele Führungskräfte den Datenschutzverstößen beimessen, so das Ponemon Institute. Im Vergleich zu anderen Wirtschaftssektoren wie dem Bankwesen scheint das Gesundheitswesen relativ unbeeindruckt zu sein.
Medizinische Geräte wie Insulinpumpen, Mammographie-Bildgebungsgeräte und drahtlose Herzpumpen haben eine Menge sensibler Patientendaten - die meisten von ihnen sind drahtlos mit kommerziellen PCs verbunden und anfällig für Cyber-Angriffe. Die meisten Gesundheitsorganisationen sichern ihre medizinischen Geräte nicht ab. Die Autoren sind der Ansicht, dass dies darauf zurückzuführen ist, dass Unternehmen der Ansicht sind, dass der Hersteller von Medizinprodukten dafür verantwortlich ist, die Produkte zu schützen, und nicht ihre.
Geschrieben von Christian Nordqvist