Liepos mėnesį JAV „Medicare & Medicaid“ paslaugų centrai (CMS) paskelbė ambicingą planą sukurti sistemą, kuria siekiama supaprastinti pacientų ir paslaugų teikėjų sveikatos priežiūros duomenų mainus.
CMS duomenimis, 21 tinklas, 11 sveikatos sistemų ir paslaugų teikėjų bei septynių elektroninių sveikatos įrašų (EHR) tiekėjai JAV įsipareigojo dalyvauti.
Atraskite B2B rinkodarą, kuri koncertuoja
Sujunkite verslo žvalgybos ir redakcinę kompetenciją, kad pasiektumėte įsitraukusius specialistus 36 pagrindinėse žiniasklaidos platformose.
Sužinokite daugiau
Sukūrę sistemą, CMS planuoja paleisti sveikatos priežiūros duomenų dalijimosi sistemą, vadinamą CMS suderintais tinklais, kuri yra skirta 2026 m.
Pažangiosios medicinos technologijų asociacija (Advamed) išreiškė paramą iniciatyvai, kaip nurodė JAV sveikatos sekretorius Robertas F Kennedy (RFK) JR, o generalinis direktorius Scottas Whitakeris tvirtino, kad didesnė prieiga prie pacientų saugomos sveikatos informacijos (PHI) „skatintų individualizuotą, tikslų medtech dizainą, vartojimą ir priežiūros pacientus“.
Popieriuje sistema, suteikianti mums pacientams lengviau prieiti prie savo PHI, yra vilčių teikiantis vystymasis, galintis išspręsti ilgalaikį paciento nusivylimą dėl ribotos prieigos prie duomenų.
Vis dėlto, norėdamas sėkmingai suteikti pacientams galimybę lengvai patekti į PHI, CMS ir jos partneriai turi atidžiai spręsti potencialią saugumo riziką, kad išvengtų duomenų pažeidimų, sako Joelis Burleson-Davis, „Digital Identity Company“ CTO „Imprivata“.
Medicinos prietaisų tinklas Kalbėjo su Burleson-Davis, norėdamas ištirti pagrindinius veiksnius, į kuriuos reikia atidžiai apsvarstyti, kad CMS tikslai būtų pasiekiami saugiai.
Šis interviu buvo redaguotas dėl ilgio ir aiškumo.
„Ross Law“ (RL): Kokie potencialūs klausimai jums išsiskiria dėl CMS planų?
Joelis Burlesonas-Davisas (JBD): CMS nori sukurti sistemą, kuri žmonėms būtų lengviau naudotis savo sveikatos priežiūros informacija per standartizuotas programų programavimo sąsajas (API). Nors iš esmės šis požiūris iš tikrųjų palengvins žmonių prieigą prie savo PHI, tai taip pat gali sukelti lengvesnį mechanizmą, kuriuo kenksmingi veikėjai gali pavogti tą informaciją.
Sveikatos priežiūrai tai yra ypač problemiška dinamika. PHI yra vertinga, neskelbtina informacija ir yra rimta priežastis, dėl kurios ji yra saugoma JAV reguliavimo, tokio kaip sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas (HIPAA).
Kibernetiniams nusikaltimams PHI jau seniai laikomas vertingu taikiniu. Remiantis CMS planais, PHI bus lengviau patekti tiek į tinkamus galutinius vartotojus, tiek kenksmingus veikėjus, tai reiškia saugumo ir patikrinimo lygį aplink CMS šio plano įdiegimą kartu su sveikatos priežiūros organizacijomis, kurios joje dalyvauja, turės būti labai stiprios, kitaip iniciatyva galų gale galėtų baigtis PHI potvynių atvėrimu, kad būtų galima išstumti į tamsųjį internetą.
RL: Kokie yra pagrindiniai saugumo protokolai, kurių tikėtumėte, kad CMS adresai saugiai įgyvendins savo planus?
JBD: „OpenID Connect“ (OICD) autentifikavimo ir įpareigojant mintį, kad reikia programinės prieigos per API, bus geri skambučiai. Štai kaip ši koncepcija bus naudinga. Antroji dinamika yra ta, kad vartotojai nesiruošia kurti savo programų, kad panaudotų tas API, kad patektų į savo PHI. Greičiausiai atsiras vartotojų programų rinka.
Programos ekosistema padarys tas API naudingas vartotojams, o tai yra geras dalykas, tačiau tada jūs turite įsitikinti, kad tų API vartotojai, ty programų kūrėjai, kurie rodomi, taip pat yra saugūs, arba dar kartą, mes atidarome potvynius kenkėjiškiems aktoriams.
Apskritai, tai suprojektuoja daugybės tiekimo grandinės saugumo dinamiką, o PHI yra organizacijoje, kuri dabar yra veikiama per API, siekiant perduoti šią informaciją vartotojui ar pacientui, kuriai jos funkciškai turėtų tarnauti. Iš esmės bus svarbu, kad visa ši grandinė išlaikytų aukštą saugumo ir saugumo lygį.
RL: KOKIOS CMS ir organizacijų, pasirašiusių jame dalyvauti, pagrindinė dalis yra pagrindinė dalis?
JBD: Atsiras programos, kurios pasitelks dalyvaujančių subjektų API, turės galvoti apie visą savo saugumo programą. Tokios programos tvarkys visai kitokį saugomos informacijos lygį. Todėl jie turės įsitikinti, kad jų veikla atitiks darbą, neatsižvelgiant į tai, ar tai yra programos, kurias sukūrė dalyvaujantys subjektai, ar trečiosios šalys.
Kai galvojate apie tai, kaip veikia šiuolaikinės organizacijos, sveikatos priežiūros sistema turi daugybę kitų ne darbuotojų ir trečiųjų šalių technologijų pardavėjų tiekėjų, kurie nėra tos sistemos dalis. Verslo asocijuotosios sutartys yra pasirašytos su šiais subjektais, siekdami užtikrinti, kad jie darytų viską komerciškai pagrįstai, kad apsaugotų tą PHI, ir kad saugumo įsipareigojimas bus perduotas savo pardavėjams ir rangovams.
Naujos ar esamos organizacijos, kurios kuria programas pacientams, kad galėtų pasiekti savo PHI, turės tai padaryti tą patį. Jie ne tik turi nerimauti dėl savo saugumo programos, bet ir jei jie naudojasi ne darbuotojais ir rangovais bei technologijų pardavėjais, jie turės įsitikinti, kad apsaugos įsipareigojimo tvora ir toliau plečiasi visoms susijusioms šalims.
RL: Kokie saugos protokolai, jei tikėtumėte, kad galutiniam vartotojui patektų į atitinkamas API per programas?
JBD: Tie, kurie teikia API prieigą per programą, turės atlikti stiprią, tačiau prieinamą autentifikavimą, kad įsitikintumėte, jog kažkas, kuris prieina prie savo PHI, yra tas, kuris, jų teigimu, yra. APP teikėjai turės pasitelkti šiuolaikinius stiprių autentifikavimo standartus, tokius kaip veido autentifikavimas kartu su „Pass“, kad įsitikintumėte, jog grandinė nuo pirminio duomenų šaltinio vartotojui yra išlaikytas. Jei jie padarys ką nors paprasto, pvz., Senosios paradigmos išlaikymą su tik slaptažodžiais, tai greičiausiai gana lengvai atsidurs pažeidime.
RL: CMS teigė, kad planuoja įgyvendinti duomenų dalijimosi iniciatyvą 2026 m. Pradžioje. Ar tai atrodo pernelyg ambicinga?
JBD: Manau, kad jie gali tai padaryti iki 2026 m., Bet jei jūs kalbate apie tai, kad 2026 m. Visa ekosistema yra visiškai išleista ir subrendusi – tikriausiai ne.
CMS iniciatyva prašo organizacijų atskleisti informaciją, kurios jie anksčiau niekada nebuvo atskleidę gyventojams, daug didesnėms, nei jos atskleidė anksčiau. Todėl aš manau, kad agresyvesnės laiko nustatymas yra labiau susijęs su skubumo jausmo sukėlimu. Jei CMS būtų sakęs, kad iki 2028 m. Jie tikisi visiškai įdiegti savo suplanuotą sistemą, dalyvaujantys asmenys galėjo pradėti tik sutelkti daug arčiau to taško.
Sveikatos priežiūros erdvėje žmonės priima daug sprendimų, kiek pinigų ir laiko išleisti. Todėl, jei tikslas bus šiek tiek per toli į ateitį, žmonės yra mažiau įsitraukę, nes jie visada turės kitų aktualesnių įsipareigojimų. Bet jei tikrai norite, kad žmonės būtų iš tikrųjų įsitraukę ir motyvuoti, naujos iniciatyvos turi būti padarytos šiek tiek daugiau ar bent jau iš pažiūros agresyvios.
