Die Zahl der Datenverstöße pro Jahr ist so hoch wie nie zuvor. Das Gleiche gilt für die durchschnittlichen Kosten dieser Verstöße, insbesondere im Gesundheitswesen. Laut IBM SecurityIntelligence belaufen sich die durchschnittlichen Kosten von Datenverstößen im Gesundheitswesen mittlerweile auf über 10 Millionen US-Dollar und sind damit höher als in jeder anderen Branche. Tatsächlich sind sie mehr als doppelt so hoch wie die durchschnittlichen Kosten von Verstößen in allen anderen Branchen. Laut HIPAA Journal belaufen sich die Kosten für Mega-Datenschutzverletzungen im Gesundheitswesen, bei denen mehr als 50 Millionen Datensätze betroffen sind, auf durchschnittlich 401 Millionen US-Dollar pro Vorfall.
Eine Verletzung des Datenschutzes im Gesundheitswesen oder bei Gesundheitsdaten beinhaltet fast immer die unbefugte Offenlegung geschützter Gesundheitsdaten (PHI). PHI sind durch den Health Insurance Portability and Accountability Act von 1996 (HIPAA) geschützt.
Das US-Gesundheitsministerium (HHS) definiert einen Verstoß als „eine gemäß der Datenschutzverordnung unzulässige Nutzung oder Offenlegung, die die Sicherheit oder Vertraulichkeit der PHI gefährdet“. Die Datenschutzverordnung ist eine der drei Säulen des HIPAA. Die Meldepflicht bei Verstößen ist eine weitere dieser drei Säulen. Diese Verordnung legt die Anforderungen fest, die Organisationen bei einem vermuteten Verstoß gegen die PHI befolgen müssen.
Obwohl es zahlreiche Möglichkeiten gibt, wie es zu einer Verletzung der Gesundheits- oder Gesundheitsdaten kommen kann, sind die meisten Fälle auf Hacking oder einen Vorfall im Bereich der Informationstechnologie (IT) zurückzuführen. Practice Resources meldete diesen Monat eine Verletzung der PHI von fast einer Million Menschen. Diese Zahl wurde laut dem HHS-Portal für Datenschutzverletzungen eine Woche zuvor durch eine Verletzung bei OneTouchPoint noch übertroffen.
In einem kürzlich an das HHS gerichteten Schreiben erklärten der US-Senator Angus King und der Abgeordnete Mike Gallagher: „Angesichts der exponentiell wachsenden Cyber-Bedrohungen müssen wir der Behebung der Cybersicherheitslücken im Gesundheitswesen Priorität einräumen.“ King und Gallagher sind Co-Vorsitzende der Cyberspace Solarium Commission. Sie gehören zu den vielen Experten, die angesichts dieses schnell wachsenden Problems Alarm schlagen.
Kliniken und Krankenhäuser vernetzen ihre Systeme zunehmend über Plattformen, die den elektronischen Datentransfer erleichtern. Allerdings sind die erforderlichen Sicherheitsmaßnahmen nicht immer vorhanden, was sie zu einem lukrativen Ziel macht. Weitere Faktoren, die die Zahl der Sicherheitsverletzungen in die Höhe treiben, sind die gestiegene Zahl von Remote-Mitarbeitern und die zunehmende Verbreitung mobiler Geräte, insbesondere privater Geräte, die für die Arbeit genutzt werden.
Da Gesundheitssysteme und ihre Geschäftspartner und Partner ständig Daten untereinander austauschen, ist die Situation für Hacker ideal, um sich diesen Schatz an wertvollen Daten anzueignen. Die Hacker können die erlangten Namen, Adressen, Sozialversicherungsnummern, Geburtsdaten und andere Identifikationsmerkmale sowie Benutzernamen und Passwörter im Dark Web verkaufen.
Um diese Risiken zu bekämpfen, sind regelmäßige HIPAA-Schulungen unerlässlich. Die HIPAA-Schulungen von Syntrio umfassen bewährte Verfahren zur Vermeidung und Meldung von Datenschutzverletzungen. HIPAA-Schulungen für neue Mitarbeiter und regelmäßige Auffrischungsschulungen für andere Mitarbeiter sind für bestimmte Funktionen und Branchen gesetzlich vorgeschrieben. Das HHS legt zwar nicht fest, wie oft HIPAA-Schulungen absolviert werden müssen, verlangt jedoch eine kontinuierliche Weiterbildung, um die HIPAA-Anforderungen stets im Blick zu behalten.
Bei Verstößen übersteigen die entstandenen Rechtskosten, die schlechte Publicity, der Geschäftsrückgang, die verlorenen Arbeitsstunden der Mitarbeiter, das beschädigte Vertrauen der Kunden und Geschäftspartner, die hohen Geldstrafen und vor allem die emotionale Belastung der Opfer die Kosten für HIPAA-Schulungen bei weitem. Kontinuierliche Schulungen zur Vermeidung von Verstößen führen zu enormen Kosteneinsparungen.
Syntrio bietet mit zwei interessanten Modulreihen die ideale Lösung. Die Reihen „HIPAA“ und „Patient Care“ richten sich an Personen, die direkt mit Patienten arbeiten, während „HIPAA Essentials“ für Personen gedacht ist, die nicht direkt mit Patienten zu tun haben, aber dennoch mit PHI umgehen. Beide Reihen erläutern den Grund für HIPAA, die drei Regeln, aus denen es besteht, und geben Empfehlungen, um kostspielige Verstöße zu vermeiden.
Das gerade veröffentlichte Schulungsprogramm von Syntrio, das in Zusammenarbeit mit Fachexperten entwickelt wurde, enthält die neuesten Leitlinien des HHS und des Cybersecurity Framework des National Institute of Standards and Technology (NIST). Die Schulung nutzt realistische Szenarien, interaktive Funktionen für mehr Engagement und bessere Lerneffizienz, sinnvolle situationsbezogene Übungen und regelmäßige Wissensüberprüfungen. Sie umfasst Best Practices für die Nutzung mobiler Geräte und sozialer Medien sowie für administrative, physische und technische Sicherheitsvorkehrungen für elektronische PHI (ePHI).
Wir freuen uns über die Gelegenheit, mit Ihnen zu besprechen, wie unsere Schulungen Ihren Mitarbeitern das nötige Wissen vermitteln können, um Ihr Unternehmen und dessen Kunden vor Missbrauch und Verlust von PHI zu schützen.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Syntrio.com veröffentlicht. Im Januar 2024 übernahm Mitratech Syntrio, einen führenden Anbieter von Lösungen für Ethik- und Compliance-Schulungen, Prävention von Belästigung am Arbeitsplatz und anonyme Hotline-Meldungen. Der Inhalt wurde seitdem aktualisiert, um unser erweitertes Lösungsangebot, die sich entwickelnden Compliance-Vorschriften und bewährte Praktiken im Bereich Ethik und Risikomanagement zu berücksichtigen.
