最新资讯
INFORMATIONZebra销售热线
临床移动性的情况越来越多,它以数据安全为中心。
患者希望隐私,但当医生和护士在个人智能手机上共享和审查患者的敏感数据时,很难保证这一点。
参与斑马技术最新医疗保健愿景研究的拉丁美洲 (LATAM) 医院领导和临床医生中有十分之八证实,疫情加速了他们对技术的使用。多年来,该地区电子病历(EMR)的使用一直在稳步上升,部分原因是GDPR等法规规定了如何捕获,共享和使用敏感的健康数据。截至 10 年,巴西、智利和哥伦比亚的渗透率约为 2020%。这是个好消息,因为 EMR 与正确的移动解决方案结合使用时,可以更轻松地提供高质量的患者护理。医生、护士和其他工作人员可以在床边立即检索和查看患者的病史,以便在尝试诊断或治疗急性和非急性问题时做出正确的决定。患者不必记住他们曾经服用过的每一种药物或过去实验室工作和成像的结果。所有数据都显示在当前照顾患者的护理团队成员面前的屏幕上。
即使是放射科医生、实验室技术人员、药剂师和非临床工作人员,也会看到他们的效率、准确性、生产力和对患者整体影响的巨大飞跃。他们将能够在每次就诊时积极识别患者,并确切地知道他们需要如何提供帮助。他们可以快速检索订单,更快地报告诊断测试结果,并确信他们正在通过正确的机制在正确的时间以正确的剂量向正确的人施用正确的药物。十分之九的拉丁美洲医院领导者强烈认为技术有助于预防和减少医疗错误,并且实时数据对于最佳患者护理至关重要。临床医生尤其同意后一种观点。
但这些积极的变化并非没有风险,其中最值得注意的是患者隐私。
您是否知道拉丁美洲的大多数医院工作人员仍然在工作中使用他们的个人移动设备?或者至少看起来确实是这样。斑马技术的视力研究显示,近一半的医院领导允许员工在工作时携带和使用智能手机和平板电脑,另有36%的人表示他们将在明年为员工提供选择权。
这意味着我的健康记录 - 以及你的健康记录 - 每天都有暴露的风险,因为医院无法完全锁定医疗保健专业人员用来捕获,共享和访问这些记录中的数据的数百万个人设备。当使用个人设备登录业务系统(如 EMR)时,工作配置文件可以提供某种程度的“遏制”。但是,IT 团队无法控制谁访问这些设备。配偶、子女或朋友可能拥有临床医生手机的密码,从技术上讲,他们能够进入医疗保健信息系统并访问我们的敏感数据。并非所有医院政策都要求员工加密或锁定其个人设备,即使使用工作资料也是如此。
这主要有三个原因:
1. 远程医疗正在兴起,这意味着移动技术在患者护理中的应用比以往任何时候都多。 设备也被用于更多的公共场所。这不像医生或护士总是独自坐在房间里和你进行私人谈话。如果他们在家,朋友和家人可能会回头看或看到屏幕上的内容。即使在诊所和医院,他们也可能坐在处理这些预约的公共空间中,因此同样的访问风险也适用。 或者,如果他们在私人空间里,并且在约会时关上了门,当他们起床休息时会发生什么?他们是否总是在未主动使用设备时锁定设备?
2. 人们的个人健康数据对他人来说比人们意识到的更有价值。有些人认为,针对医疗保健信息系统的网络犯罪分子正试图使它们脱机以中断服务——他们可能是。但是,我们知道一些网络犯罪分子只是试图窃取信息,这些信息可能会通过勒索、赎金等方式导致财务支出。事实上,拉丁美洲发生的大多数黑客事件都是针对医疗保健行业的,一些人声称智能手机应用程序和不安全的移动解决方案导致了这个问题。此外,到 112 年底,拉丁美洲医疗保健系统的勒索软件攻击在短短三个月内增加了 2020%。我们不能让这些罪犯轻易得逞。但是,如果我们继续允许医生、护士和其他工作人员在其个人设备上访问患者记录,我们就这样做了。
3. 许多告诉员工“您可以'自带设备'(BYOD) 上班”的医疗保健系统没有正式的 BYOD 安全措施或隐私政策。 有些人可能没有 IT 资源来开发和实施 BYOD 合规性计划类型,而这些计划可以为移动数据安全和患者隐私提供一定程度的信心。因此,他们只是相信工作人员正在保护患者数据。但公众之间的信任正在侵蚀,特别是随着越来越多的数据被捕获和黑客入侵。
医疗保健提供者必须立即采取行动,以确保他们不会无意中损害患者的安全或保障,以使医疗保健更容易通过技术获得。
不要让“法律”成为决策驱动力
智利等国家有宪法授权,规定“只有直接参与患者医疗保健的人才能访问他们的医疗记录。很高兴听到。但是,如果我们等到每个国家都有类似的法律——以及执行它的资源——那么我们将等待数年。我们现在必须做一些不同的事情。
对于大多数医疗保健系统而言,这意味着致力于临床移动解决方案,使他们能够完全控制设备以及在其上捕获、存储和共享的数据。我意识到,当你有一个精益的团队,甚至更精简的预算时,似乎不可能承担这么大的举措。但是还有什么选择呢?继续将您的患者和您的运营健康置于危险之中?如果网络犯罪分子设法通过个人智能手机上访问的医生电子邮件帐户进入患者记录,那么重新保护这些系统或向受影响人员支付赔偿的成本可能会超过实施临床移动解决方案的成本。这只是将单个近期事件的成本与长期预防性解决方案的成本进行比较。
为什么拥有自己的设备是一种更明智的数据安全和患者隐私策略
企业拥有的临床移动解决方案可以让您完全控制影响数据安全和患者隐私的“人员、政策和技术”因素。这就是它们与个人拥有的设备的不同之处,这些设备可能以某种身份进行公司管理,也可能不由公司管理。
与个人设备不同,您可以决定临床和非临床工作人员使用公司拥有的移动计算机做什么 - 即使他们被允许将它们带回家。
例如,您将能够根据每个设备用户的角色定义对医疗保健系统的访问权限,并使用单一登录 (SSO) 解决方案来强制执行它。您还可以限制他们对连接到企业电子邮件或信息系统的设备可以做什么和不能做什么,包括 EMR 或用于远程医疗、员工通信和远程患者监控的设备。例如,您可以限制社交媒体或个人应用程序,甚至可以安装企业浏览器来控制允许他们在设备上访问的网站。您还可以锁定无线网络访问,这样他们就不会意外连接到不安全的网络,这可能会使他们和患者数据容易受到攻击。
为所有员工提供公司拥有的设备的另一个好处是,您不必为所有员工提供自己的设备。例如,在设施之间旅行或在农村、远程或远程医疗保健计划中为患者提供支持的临床医生可能需要始终随身携带公司拥有的设备。但是护士不需要每天将连接到EMR或其他医疗保健系统的移动设备带回家。搬运工、洗衣工、药剂师、实验室技术人员、放射科医生或行政人员也没有。是的,他们需要安全的移动设备来完成他们的工作,但他们在回家时可能不需要登录电子邮件或任何业务系统。
换句话说,仅仅因为您的每个员工都可以在他们的移动设备上全天候访问医疗保健信息系统或业务系统,并不意味着他们实际上需要它。
事实上,如果您撤销对个人设备的访问权限,并要求大多数员工使用共享队列中的公司拥有的设备(仅在时钟上),则可以减少...
- 您的网络攻击风险。限制有多少员工可以访问数据丰富的医疗保健系统,以及他们可以在何时何地访问它们,这意味着不良行为者试图潜入的机会更少。此外,如果设备在四面墙内丢失,您可以使用虚拟系绳工具或蓝牙低功耗技术在有人找到并窃取它之前找到它。如果有人试图带着设备走出大楼,警报就会响起。因此,企业级临床移动解决方案具有网络物理优势,而消费类设备根本无法实现这些优势。当设备不使用时,可以将其锁定在智能柜中。
- 患者怀疑。 他们可以看到您正在采取措施保护他们的敏感数据。当他们进入诊所或医院并看到员工正在使用只能通过徽章滑动、生物识别或其他安全身份验证方法访问的医疗保健级移动设备时,这有助于建立信任。
- 您的资本支出和运营支出义务。 您无需购买、保护或管理尽可能多的设备,即可为您的员工提供所需的工具,从而在数据驱动、数字化的医疗保健模型中提供优质的患者护理。这意味着您和您的团队可以在技术上变得更加依赖,而不会使 IT 团队不堪重负或破产。
- 一线工人效率低下。仅使用企业应用程序,您可以减少干扰并控制对个人应用程序的访问,以便临床医生的注意力始终集中在患者身上。
老实说,IT团队可能会发现拥有完整的临床移动设备群比尝试管理BYOD设置更容易。他们可以开发一次软件和应用程序,然后一举部署到整个机群中。他们还可以一致地管理设备、软件和网络安全更新。他们不必在任何一天跟上 10 种不同类型的设备的需求,其中许多设备可能很旧并且没有安全支持。此外,在单个企业级操作系统 (OS) 上标准化您的整个员工队伍,可以自动执行解决方案监控和管理,包括安全监控和管理。例如,如果您的所有员工都在使用 Zebra 的 Android 移动数据终端或平板电脑,并且他们至少运行 Android 11,则可以通过 Android™ 版 LifeGuard 推送自动安全补丁,我们称之为“您的终身安全卫士”。
把自己放在每个病人的位置上
我们知道患者希望更多地了解他们的治疗计划,并更好地控制他们的护理,因为这些是我们作为患者个人想要的东西。毫无疑问,EMR和移动设备等数字技术是这种个性化医疗保健的关键推动因素。但是,如果我们损害了患者的隐私和安全 - 或者员工隐私和安全,就此而言 - 我们真的在帮助任何人吗?
不要仅仅因为使用 BYOD 策略将医疗保健数字化更快,就认为它对患者或员工更好。医生和护士不想成为患者信息被盗的原因。然而,我们知道 IT 部门监控、管理和保护消费类设备是一个雷区,尤其是当有这么多不同的操作系统平台和版本需要考虑时。设备或应用程序认证可能会过期,并且如果报告员工的个人设备丢失或被盗,则可能没有很好的方法来跟踪和锁定员工的个人设备。事实上,该报告可能会延迟,这使得减轻可能危及敏感患者数据的网络攻击变得更加困难。
我的观点是:如果有人告诉你,是时候在网上获得真正的临床移动解决方案了,并交到你的医生和护士手中,你应该倾听。不要开始列出为什么现在不可行或没有必要的原因。如果只是为了数据安全,这既可行又必要。(虽然还有许多其他原因,但我们可以花一整天的时间谈论。 事实上,至关重要的是,任何需要使用技术来完成工作的员工都必须配备专为医疗保健环境构建的公司拥有的移动设备,包括行政和其他非临床员工。
您既有合规义务,也有患者义务。如果您只将一半的运营过渡到企业拥有的移动解决方案,则只会将数据安全风险降低 50%。每当其他员工登录到不安全的消费者设备、公共网络或未经授权的应用程序时,就会出现漏洞。随着技术使用变得越来越普遍,您需要能够说,“我已经尽一切可能保护数据并保护患者和工作人员的隐私”。
您还需要处于锁定未来可能与临床移动解决方案同步的任何其他技术平台的位置。如果您添加新的工作流应用程序、迁移到新的 EMR、添加动态通信和协作工具、与实时定位系统集成或与数字健康监测设备连接,则通过移动设备访问或共享的数据应保持安全。
考虑风险与回报
我意识到,即使你相信我说的是真的,你也可能需要验证。因此,让我分享一项第三方研究,我认为该研究特别说明了BYOD在医疗保健环境中的风险。这段摘录确实让我明白了我的两个观点:
“医疗保健数据泄露的主要原因之一是BYOD本身。医院可能很少或根本无法控制其员工个人移动设备的安全性,这些设备可能包含敏感的组织数据,例如患者信息。医院也无法控制用户在其 BYOD 设备上的非工作相关活动,因为所有权属于员工。此外,个人可穿戴设备等医疗保健物联网设备正以指数级的速度增长,并且随着每个设备添加到医院网络中,违规的可能性增加。此外,鉴于医疗保健行业受到高度监管,并采取严格的措施来保护患者信息,医疗保健组织面临着遵守健康数据保护法的繁重任务[17-19]。简而言之,BYOD安全是“医疗保健IT管理最头疼的问题之一” [20]。