Skub for elektroniske medicinske poster skal forsinke, for sikkerhedens skyld

Blandt de mange nye bestemmelser er American Recovery and Reinvestment Act (ARRA) en føderal finansiering til elektroniske journaler. Kendt som HITECH giver loven incitamenter til sundhedsorganisationer til at digitalisere personlige sundhedsoplysninger inden 2020. Mistet i rushen, men er detaljerne.

"Jeg glæder mig til at lægejournaler går elektronisk", sagde Howard Schmidt, den tidligere White House cybersecurity csar ", men jeg har en stor bekymring for at opbygge en virkelig, virkelig god sundhedsinfrastruktur … og derefter sikre den senere." Schmidt talte med PCWorld på RSA 2009.

Loven, som også opdaterer dele af HIPAA, giver sundhedsministeren og menneskelige tjenester frem til midten af ​​august at definere, hvad der udgør en elektronisk journale. I Schmidt's opfattelse skal de oprindelige krav starte med stærk godkendelse og kryptering, og indtil videre har sekretæren netop gjort det. Med henvisning til eksisterende NIST- og FIPS-standarder indeholder HHS vejledning sundhedsoplysninger i ro, data i bevægelse samt korrekt destruktion af beskyttet sundhedsinformation. Desværre er nogle sundhedspersoner begyndt at købe e-sundhedssystemer, før det fulde komplement af standarder er kendt.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Schmidt mindede om, hvordan folk fejlede Microsoft, hvor han arbejdede i slutningen af ​​1990'erne, for at forsinke Windows Vista mange gange. "Vi ville kritisere [Microsoft], hvis de afsendte [Vista], og det havde flere problemer end det gør nu. Så vi skal huske, at det er rart at have en ruteplan," men han advarede om, at enhver tidsplan også skulle have nogle indbyggede grænser og sikkerhedsforanstaltninger. Det er i øjeblikket ikke tilfældet med HITECH, som tildeler hovedparten af ​​sine økonomiske incitamenter inden for de første par år.

I marts henvendte Schmidt og Fortify's Brian Chess Kongressen om behovet for en sikker software livscyklus. Deres forslag opfordrede til blandt andet at skabe stillingen som "Gate Keeper", en person med magt til at sige et projekts tidsplan vil falde, hvis produktet ikke opfylder dette særlige krav til privatlivets fred eller sikkerhed.

HITECH omfatter også nationens første lov om ophavsret til meddelelse af oplysninger, som siger alle sundhedsudbydere, det være sig et topersoners læge kontor eller en stor HMO, skal underrette alle berørte patienter om ethvert brud eller risikere store bøder. Tanken er at forhindre, at sundhedsudbydere simpelthen samler HITECH-incitamentspengene til at "opbygge et virkelig køligt sundhedsvæsen, så en læge kan afhente sin björnbær og sige" Ja, Howard Schmidt. Her er hans patientdata. " er enig med Schmidt og vil hellere se, at sundhedsplejeorganisationerne får øget e-sundhed lige fra starten, selv om de adskiller sig fra midlerne til at opnå dette.

Schmidt siger, at han har en personlig interesse for e-sundhed. Han bruger omkring 300 dage om året flyvende og kunne være i Singapore, San Francisco, eller hvor som helst, når han måske har brug for lægehjælp. "Måske er jeg et fly et eller andet sted, jeg vil ikke have, at de siger" Åh, vent. Hvor kan vi finde denne fyrs medicinske rekord? " Jeg vil have, at de skal kunne trække den op i en virkelig godkendt metode, der er relevant for den situation, jeg er i. Det kunne redde mit liv. "

Robert Vamosi er en risiko, bedrageri og sikkerhedsanalytiker for Javelin Strategy & Forskning og en uafhængig computer sikkerhedsforfatter dækker kriminelle hackere og malware trusler.