GlobalSign Blog

30 Okt 2015

Ein Mittel gegen die Identitätskrise des Gesundheitswesens

Ein kürzlich erschienener Artikel auf cio.com konstatiert, dass Organisationen im Gesundheitswesen dreimal häufiger Ziel von Datendiebstählen sind. Dies ist eine beunruhigende Prognose und wird hoffentlich nicht wahr.

Organisationen im Gesundheitswesen stellen von herkömmlichen Patientenakten auf elektronische Patientenakten (EPA) um. Dies begann bereits im letzten Jahrtausend. Kommunikationsstandards wurden entwickelt (HL7) und das HIPAA-Gesetz wurde verabschiedet. EPA sind eine Möglichkeit, Kosten zu sparen und die Versorgung zu verbessern, da Informationen zwischen Organisationen im Gesundheitswesen, Versicherungen und Patienten schnell weitergegeben werden können.

Wenn wir uns den Weg des Patienten durch das Gesundheitswesen und seine Daten vorstellen, sieht man schnell wie viele Daten und Datenpunkte beachtet werden müssen. Der erste Schritt der Datenerfassung geschieht gewöhnlich beim ersten Besuch in der Arztpraxis oder einer Klinik. Daten über den aktuellen Zustand des Patienten werden mithilfe einer Software erfasst und gehen in die EPA ein. Später kommt der Patient eventuell ins Krankenhaus und muss sich einer Operation unterziehen.  Nach der Operation wird der Patient in einen Aufwachraum, oder bei schweren Fällen auf die Intensivstation, gebracht. Bei jedem Schritt werden unterschiedliche Softwarelösungen eingesetzt, um grundlegende Patientendaten, Daten über die Vitalfunktionen, verabreichte Medikamente usw. zu erfassen. Es gibt also eine Vielzahl von verschiedenen Datenströmen, die analysiert, aufgezeichnet und gespeichert werden. Nachdem der Patient sich erholt hat und entlassen wird, endet die Datensammlung. Die Daten werden Teil der EPA.

Sei es bei einem kurzen Besuch beim Arzt wegen einer laufenden Nase oder bei einer großen invasiven Operation – es werden jedes Mal große Datenmengen über einen Patienten erfasst und gespeichert. Informations- und Computertechnologie (ICT) kann medizinischen Fachkräften dabei helfen, die Patientenversorgung zu verbessern und effizienter zu gestalten. Diese Daten sind allerdings sehr privater Natur und müssen gesichert werden.

Während der Speicherung sollten EPA-Daten geschützt werden. Dies wird manchmal sogar durch Gesetze (wie z.B. HIPAA) geregelt. Unberechtigter Zugang zu EPA-Daten kann für eine Gesundheitsorganisation, eine Versicherungsgesellschaft oder eine andere Organisation, die die Patientendaten bearbeitet, zu einem sehr kostspieligen Vorfall werden.

Ein angemessenes Autorisierungsmanagement sorgt dafür, dass nur das autorisierte medizinische Fachpersonal Zugang zu den Daten hat. Rollen als Basis des Autorisierungsmanagements ist ein zentraler Bestandteil einer guten Identity und Access Management (IAM) Lösung. Allerdings sollte der Autorisierungsprozess einfach und unkompliziert sein. Medizinische Fachkräfte müssen sich auf die Patientenversorgung und nicht auf umständlich und schwer zu nutzende ICT-Lösungen konzentrieren.

Die Datenströme vor, während und nachdem der Patientenbehandlung können von IAM-Lösungen profitieren. Moderne IAM-Lösungen können eine einfache Möglichkeit bieten, APIs mit dem OAuth-Protokoll zu schützen. OAuth gilt als eines der vorherrschenden Autorisierungs-Protokolle für das Internet der Dinge. Patientenmonitore, Infusionspumpen, Ventilatoren, automatisierte Dispensiergeräte für Medikamente, Röntgen, universelle Datenbanken, Pflegesysteme usw. sollten diese Art Protokoll zum Schutz der Daten unterstützen. Es kann dazu verwendet werden, zu konfigurieren, welche Geräte oder Lösungen mit anderen Geräten und Lösungen kommunizieren können. Die Daten selbst sollten bei der Übertragung verschlüsselt werden und Zertifikate sind dafür sehr gut geeignet. Außerdem sind Geräte in zunehmendem Maße mit dem Internet verbunden und die Präsentation von Scott Erven auf der jüngsten Derbycon zeigt, wie einfach es geworden ist, diese Systeme aufzufinden und Zugang zu ihnen zu erhalten.

Die Patienten sollten außerdem einen sicheren Zugang zu den erfassten Daten haben. Benutzername und Passwort sind nicht stark genug, um den Zugang zu Gesundheitsdaten auf einem Internet-zugänglichen Portal zu schützen. Passwörter können erraten werden, und wenn eine Passwortdatenbank geknackt wird, können sogar verschlüsselte Passwörter enttarnt werden. Eine bessere Lösung ist es, eine Authentifizierungslösung zu nutzen, bei der es keine zu knackenden Daten gibt, wie beispielsweise mobile SMS Einmalpasswörter (OTP) oder andere starke Authentifizierungsmethoden. Die Verfügbarkeit von starken Authentifizierungsmethoden hängt davon ab, wo Sie leben, aber SMS Passwörter sind eine ziemlich universelle Lösung.

Die Gesundheitsbranche hat ICT nur langsam angenommen, aber die Dinge ändern sich schnell durch neue medizinische Fachkräfte, die seit ihrer Kindheit im Internetzeitalter leben. Sie sind empfänglicher für die neuen Technologien, die ihnen helfen können, ihren Patienten eine bessere Versorgung zu bieten. IAM ist eine der Schlüsseltechnologien, um hochempfindliche EPA-Daten zu schützen, die erfasst werden, wenn wir Gesundheitsdienstleistungen benötigen.

Erfahren Sie mehr über GlobalSigns IAM-Lösung und sprechen Sie noch heute mit uns darüber, wie Sie noch heute loslegen können.

Artikel teilen

Jetzt Blog abonnieren