Catatan Kesehatan Elektronik: Privasi, Kerahasiaan, dan Keamanan
Senin, 15 Juli 2019
memahami sistem catatan kesehatan elektronik,
privasi dan kerahasian dengan catatan kesehatan elektronik,
semua aktivitas EHR dapat dilacak berdasarkan kredensial login
Edit
Untuk memahami kompleksitas dari sistem catatan kesehatan elektronik yang muncul, akan sangat membantu untuk mengetahui apa yang telah menjadi sistem informasi kesehatan, sekarang, dan perlu menjadi. Rekam medis, baik berbasis kertas atau elektronik, adalah alat komunikasi yang mendukung pengambilan keputusan klinis, koordinasi layanan, evaluasi kualitas dan kemanjuran perawatan, penelitian, perlindungan hukum, pendidikan, serta akreditasi dan proses pengaturan. Ini adalah catatan bisnis sistem perawatan kesehatan, yang didokumentasikan dalam kegiatan normalnya. Dokumentasi harus diautentikasi dan, jika ditulis tangan, entri harus terbaca.
Di masa lalu, catatan medis adalah tempat penyimpanan kertas dari informasi yang ditinjau atau digunakan untuk tujuan klinis, penelitian, administrasi, dan keuangan. Itu sangat terbatas dalam hal aksesibilitas, hanya tersedia untuk satu pengguna pada satu waktu. Catatan berbasis kertas dimutakhirkan secara manual, menghasilkan penundaan penyelesaian catatan yang berlangsung antara 1 hingga 6 bulan atau lebih. Sebagian besar departemen rekam medis ditempatkan di ruang bawah tanah lembaga karena berat kertas menghalangi lokasi lain. Dokter itu mengendalikan proses perawatan dan dokumentasi dan mengizinkan pelepasan informasi. Pasien jarang melihat catatan medis mereka.
Keterbatasan kedua dari berbasis kertas adalah kurangnya keamanan. Akses dikendalikan oleh pintu, kunci, kartu identifikasi, dan prosedur keluar yang menjemukan bagi pengguna yang berwenang. Akses tidak sah ke informasi pasien tidak memicu peringatan, juga tidak diketahui informasi apa yang telah dilihat.
Saat ini, tujuan utama dokumentasi tetap sama — mendukung perawatan pasien dengan electronic health record adalah Dokumentasi klinis sering dipindai ke dalam sistem elektronik segera dan biasanya selesai pada saat pasien dipulangkan. Catatan waktu penyelesaian harus memenuhi persyaratan akreditasi dan peraturan. Catatan kesehatan elektronik bersifat interaktif, dan ada banyak pemangku kepentingan, pengulas, dan pengguna dokumentasi. Karena pemerintah semakin terlibat dengan pendanaan perawatan kesehatan, lembaga-lembaga secara aktif meninjau dokumentasi perawatan.
Catatan kesehatan elektronik (ERC) dapat dilihat oleh banyak orang secara bersamaan dan menggunakan sejumlah alat teknologi informasi. Pasien secara rutin meninjau aplikasi rekam medis elektronik mereka dan menyimpan catatan kesehatan pribadi (PHR), yang berisi dokumentasi klinis tentang diagnosa mereka (dari situs web dokter atau perawatan kesehatan).
Dokter, praktek, atau organisasi adalah pemilik dari catatan medis fisik karena itu adalah catatan bisnis dan properti, dan pasien memiliki informasi dalam catatan tersebut. Meskipun catatan tersebut milik fasilitas atau dokter, itu benar-benar informasi pasien; Kantor Koordinator Nasional untuk Teknologi Informasi Kesehatan merujuk pada catatan kesehatan sebagai "bukan hanya kumpulan data yang Anda jaga — ini adalah kehidupan". Ada tiga prioritas etika utama untuk catatan kesehatan elektronik: privasi dan kerahasiaan, keamanan, dan integritas data dan ketersediaan.
Privasi dan Kerahasiaan
Hakim Warren dan Brandeis mendefinisikan privasi sebagai hak "untuk dibiarkan sendiri". Menurut Richard Rognehaugh, adalah “hak individu untuk menjaga informasi tentang diri mereka agar tidak diungkapkan kepada orang lain; klaim individu untuk dibiarkan saja, dari pengawasan atau campur tangan dari individu lain, organisasi atau pemerintah ”. Informasi yang dibagikan sebagai hasil dari hubungan klinis dianggap rahasia dan harus dilindungi. Informasi dapat mengambil berbagai bentuk (termasuk data identifikasi, diagnosa, catatan perawatan dan kemajuan, dan hasil laboratorium) dan dapat disimpan dalam banyak media (misalnya, kertas, video, file elektronik). Informasi yang identitas pasiennya tidak dapat dipastikan — misalnya, jumlah pasien dengan kanker prostat di rumah sakit tertentu — tidak termasuk dalam kategori ini.
Informasi pasien harus dirilis kepada orang lain hanya dengan izin pasien atau sebagaimana diizinkan oleh hukum. Namun, ini bukan untuk mengatakan bahwa dokter tidak dapat memperoleh akses ke informasi pasien. Informasi dapat dirilis untuk tujuan perawatan, pembayaran, atau administrasi tanpa izin pasien. Pasien juga memiliki hak federal, negara bagian, dan hukum untuk melihat, memperoleh salinan, dan mengubah informasi dalam catatan kesehatannya.
Kunci untuk menjaga kerahasiaan adalah memastikan bahwa hanya individu yang berwenang yang memiliki akses ke informasi. Proses mengendalikan akses — membatasi siapa yang dapat melihat apa — dimulai dengan mengotorisasi pengguna. Dalam praktik dokter, misalnya, administrator praktik mengidentifikasi pengguna, menentukan tingkat informasi apa yang diperlukan, dan menetapkan nama pengguna dan kata sandi. Standar dasar untuk kata sandi mencakup mengharuskan perubahan pada interval yang ditetapkan, menetapkan jumlah karakter minimum, dan melarang penggunaan kembali kata sandi. Banyak organisasi dan praktik dokter mengambil pendekatan dua tingkat untuk otentikasi, menambahkan pemindaian pengenal biometrik, seperti telapak tangan, jari, retina, atau pengenalan wajah.
Akses pengguna didasarkan pada hak istimewa berbasis peran yang telah ditetapkan sebelumnya. Dalam praktik dokter, perawat dan resepsionis, misalnya, memiliki tugas dan tanggung jawab yang sangat berbeda; oleh karena itu, mereka tidak memiliki akses ke informasi yang sama. Oleh karena itu, menetapkan hak pengguna adalah aspek penting dari keamanan rekam medis: semua pengguna memiliki akses ke informasi yang mereka butuhkan untuk memenuhi peran dan tanggung jawab mereka, dan mereka harus tahu bahwa mereka bertanggung jawab atas penggunaan atau penyalahgunaan informasi yang mereka lihat dan ubah.
Di bawah Aturan Privasi dan Keamanan HIPAA, pengusaha bertanggung jawab atas tindakan karyawan mereka. Pada 2011, karyawan sistem kesehatan UCLA ditemukan memiliki akses ke catatan selebritas tanpa otorisasi yang semestinya. UCLA gagal untuk "menerapkan langkah-langkah keamanan yang cukup untuk mengurangi risiko akses yang tidak diizinkan ke informasi kesehatan yang dilindungi elektronik oleh pengguna yang tidak sah ke tingkat yang wajar dan sesuai". Sistem kesehatan setuju untuk menyelesaikan pelanggaran privasi dan keamanan dengan Departemen Kesehatan dan Layanan Kemanusiaan AS untuk Hak Sipil (OCR) sebesar $ 865.000. Mengontrol akses ke informasi kesehatan sangat penting tetapi tidak cukup untuk melindungi kerahasiaan;
Keamanan
Institut Nasional Standar dan Teknologi (NIST), badan federal yang bertanggung jawab untuk mengembangkan pedoman keamanan informasi, mendefinisikan keamanan informasi sebagai pelestarian kerahasiaan data, integritas, ketersediaan (biasanya disebut sebagai trias "CIA"). NIST tidak hanya memberikan panduan tentang pengamanan data, tetapi juga perundang-undangan federal seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) dan mandat Undang-Undang Teknologi Informasi untuk Kesehatan Ekonomi dan Klinis (HITECH). Melanggar peraturan ini memiliki konsekuensi serius, termasuk hukuman pidana dan perdata untuk dokter dan organisasi.
Meningkatnya kekhawatiran atas keamanan informasi kesehatan berasal dari kebangkitan EHRs, peningkatan penggunaan perangkat seluler seperti smartphone, pencurian identitas medis, dan pertukaran data yang diantisipasi secara luas antara dan di antara organisasi, dokter, agen federal, dan pasien. Jika kepercayaan pasien dirusak, mereka mungkin tidak berterus terang dengan dokter. Agar pasien dapat mempercayai dokter, catatan di kantor harus dilindungi. Staf medis harus mengetahui langkah-langkah keamanan yang diperlukan untuk melindungi data pasien mereka dan data dalam praktik mereka.
Sebuah survei baru-baru ini menemukan bahwa 73 persen dokter mengirim pesan ke dokter lain tentang pekerjaan. Bagaimana menjaga keamanan informasi di bursa ini menjadi perhatian utama. Tidak ada cara untuk mengontrol informasi apa yang sedang dikirim, tingkat detail, apakah komunikasi sedang dicegat oleh orang lain, gambar apa yang sedang dibagikan, atau apakah perangkat seluler dienkripsi atau aman. Perangkat seluler sebagian besar dirancang untuk penggunaan individu dan tidak dimaksudkan untuk manajemen terpusat oleh departemen teknologi informasi (TI). Stasiun kerja komputer jarang hilang, tetapi perangkat seluler dapat dengan mudah salah tempat, rusak, atau dicuri. Mengenkripsi perangkat seluler yang digunakan untuk mengirimkan informasi rahasia adalah yang paling penting.
Ancaman potensial lainnya adalah data dapat diretas, dimanipulasi, atau dimusnahkan oleh pengguna internal atau eksternal, sehingga langkah-langkah keamanan dan program pendidikan yang sedang berlangsung harus mencakup semua pengguna. Beberapa langkah keamanan yang melindungi integritas data termasuk firewall, perangkat lunak antivirus, dan perangkat lunak deteksi intrusi. Terlepas dari jenis tindakan yang digunakan, program keamanan penuh harus ada untuk menjaga integritas data, dan sistem jalur audit harus operasional.
Penyedia dan organisasi harus secara resmi menunjuk petugas keamanan untuk bekerja dengan tim pakar teknologi informasi kesehatan yang dapat menginventarisir pengguna sistem, dan teknologi; mengidentifikasi kelemahan dan ancaman keamanan; menetapkan risiko atau kemungkinan masalah keamanan dalam organisasi; dan mengatasinya. Tanggung jawab untuk privasi dan keamanan dapat ditugaskan kepada anggota staf kantor dokter atau dapat di-outsourcing-kan.
Jalur audit . Dengan munculnya program jejak audit, organisasi dapat secara tepat memantau siapa yang memiliki akses ke informasi pasien.
Jalur audit melacak semua aktivitas sistem, menghasilkan stempel tanggal dan waktu untuk entri; daftar terperinci dari apa yang dilihat, untuk berapa lama, dan oleh siapa; dan log semua modifikasi pada catatan kesehatan elektronik. Administrator bahkan dapat merinci laporan apa yang dicetak, jumlah tangkapan layar yang diambil, atau lokasi yang tepat dan komputer yang digunakan untuk mengirim permintaan. Peringatan sering diatur untuk menandai aktivitas mencurigakan atau tidak biasa, seperti meninjau informasi pada pasien yang tidak dirawat atau mencoba mengakses informasi yang tidak diizinkan untuk dilihat, dan administrator memiliki kemampuan untuk menarik laporan pada pengguna tertentu atau grup pengguna untuk ditinjau dan mencatat aktivitas mereka. Perusahaan perangkat lunak sedang mengembangkan program yang mengotomatiskan proses ini. Pengguna akhir harus sadar bahwa, tidak seperti aktivitas catatan kertas, semua aktivitas EHR dapat dilacak berdasarkan kredensial login. Jalur audit tidak mencegah akses yang tidak disengaja atau pengungkapan informasi tetapi dapat digunakan sebagai pencegah untuk menangkal calon pelanggar.
