Im Jahr 2020 gab das Office for Civil Rights (OCR) des US-Gesundheitsministeriums bekannt, dass die Zahl der Verstöße gegen Datenschutzbestimmungen im Gesundheitswesen auf einen gemeldeten Wert gestiegen ist. 1,76 pro Tag, markiert einen 25% Anstieg gegenüber den gemeldeten Vorfällen des Vorjahres (HIPAA-Journal). Ein „Vorfall“ definiert einen Verstoß, der 500 Datensätze oder mehr betrifft.
Darüber hinaus war 2019 selbst ein Rekordjahr – mit einem Anstieg der gemeldeten Vorfälle um 37,4 % gegenüber 2018. Ungefähr 59% dieser Sicherheitsverletzungen in Gesundheitswesen mit böswilligen Angriffen in Verbindung gebracht wurden.
Datengefährdung durch böswillige Angriffe
Während Gesundheitsorganisationen schrittweise Verbesserungen bei der Erkennung von Datenbedrohungen und der Reaktion auf Sicherheitsverletzungen verzeichneten – teilweise aufgrund erhöhter Einführung der Automatisierung – ist es im letzten Jahrzehnt dennoch zu einem stetigen Anstieg der Vorfälle aufgrund böswilliger Angriffe gekommen.
Das Jahr 2012 sah 17 Vorfälle aufgrund böswilliger Angriffe – eine Zahl, die auf 148 Vorfälle bis 2017, 312 Vorfälle bis 2019 und 429 Vorfälle bis 2020. (HIPAA-Journal).
Böswillige Angriffe werden nicht verschwinden, und Gesundheitsorganisationen, die automatisierte Technologien Das Management von Datenrisiken reduziert nicht nur Vorfälle aufgrund von Angriffen wie Hacking-, Phishing-, Malware- und Ransomware-Betrug, können aber ihre Reaktion auf Verstöße besser managen.
Was sind Patientengesundheitsdaten wert?
Sensible Patientendaten wie geschützte Gesundheitsinformationen (PHI) — was die Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) streng reguliert – ist das am stärksten ins Visier genommene, wertvollste und am häufigsten von Hackern gestohlene Objekt.
Im Vergleich zu anderen Arten persönlicher oder sensibler Daten bringen Gesundheitsdaten im Darknet hohe Summen ein. Wenn persönliche Informationen wie eine Sozialversicherungsnummer für $0,53 pro Datensatz — der aktuelle Preis im Jahr 2018 — oder Kreditkarteninformationen verkauft bei $5.40 pro Datensatz, dann bringt eine Gesundheitsakte etwa $250.15 (Trustwave).
Warum? Medizinische Daten dienen verschiedenen Zwecken – unter anderem dem Kauf von Rezepten oder der Bezahlung von Behandlungen. PHI bleibt auch über einen längeren Zeitraum wertvoll. Während eine betroffene Person eine gestohlene Kreditkartennummer schnell erkennt, kann es für einen Patienten oder Arzt deutlich länger dauern, bis er von kompromittierten medizinischen Daten erfährt.
Welche Strafen drohen bei einem Datenschutzverstoß?
Die Bußgelder und Strafen für HIPAA sind hoch – insbesondere bei schwerwiegenden Verstößen. Die Bußgelder für HIPAA-Verstöße sind in vier Stufen unterteilt, die von einem Minimum $100 pro Verstoß Strafe zu einem $50.000 Strafe pro Verstoß.
Jede Stufe – und die damit verbundene Geldstrafe – berücksichtigt die folgenden Punkte der gegen die Vorschriften verstoßenden Organisation:
- Vorgeschichte mit Compliance
- Grad der vorsätzlichen Vernachlässigung
- Finanzielle Situation
… sowie das Ausmaß des durch den Verstoß verursachten Schadens und mehrere andere Faktoren, die die Regulierungsbehörde OCR gesetzlich als relevant erachten darf.
So gliedern sich die HIPAA-Stufen:
- Stufe 1: Eine Geldstrafe von mindestens $100 pro Verstoß, bis zu $50.000
Verstöße, die den Unternehmen ohne Kenntnis nicht hätten vermieden werden können und die ein angemessenes Maß an Sorgfalt bei der Einhaltung des HIPAA durch das Unternehmen zeigen. - Stufe 2: Eine Geldstrafe von mindestens $1.000 pro Verstoß, bis zu $50.000
Verstöße, die den Unternehmen bekannt sein müssten, die sie aber auch bei angemessener Sorgfalt nicht hätten vermeiden können. - Stufe 3: Eine Geldstrafe von mindestens $10.000 pro Verstoß, bis zu $50.000
Verstöße, die eine „vorsätzliche Missachtung“ der HIPAA-Regeln darstellen, bei denen jedoch versucht wird, den Verstoß zu korrigieren. - Stufe 4: Eine Geldstrafe von mindestens $50.000 pro Verstoß
Verstöße, die sowohl auf „vorsätzlicher Vernachlässigung“ als auch auf fehlenden Versuch zur Korrektur des Verstoßes beruhen.
Automatisierung von Datenschutzverletzungen: Wie BigID helfen kann
Organisationen im Gesundheitswesen haben Schwierigkeiten, identifizieren. welche Informationen bei einer Datenpanne genau offengelegt wurden, wem sie gehören und wie man effektiv darauf reagiert, Abhilfe schafft und Maßnahmen ergreift.
BigID unterstützt Organisationen im Gesundheitswesen dabei, das volle Ausmaß einer Datenpanne zu ermitteln, genau zu verstehen, wessen Daten betroffen sind, einen Notfallreaktionsplan umzusetzen, um geschäftliche Auswirkungen wie Gebühren und Reputationsverluste zu minimieren, und Berichtsstandards für Aufsichtsbehörden, Prüfer und betroffene Personen einzuhalten – und das alles innerhalb der für die Einhaltung erforderlichen Fristen.
Ihre Daten kennen
Suchen, verwalten und katalogisieren Sie alle Ihre Patienteninformationen in der gesamten Landschaft – egal wie isoliert sie sind – und setzen Sie Richtlinien für alle Ihre Daten durch.
Ordnen Sie Ihre Daten mit erweiterter ML-basierter Klassifizierung zu
Automatisch klassifizieren geschützte Gesundheitsinformationen (PHI) über Klassifizierung der nächsten Generation das nicht nur die musterbasierte Erkennung nutzt, sondern auch:
- ML-Klassifizierung basierend auf NLP und NER
- KI-Erkenntnisse basierend auf Deep Learning
- patentierte Dateianalyse-Klassifizierung
Identifizieren betroffener Benutzer
Patientenidentitäten zuordnen Zugriff auf ihre persönlichen Daten, wo auch immer diese gespeichert sind, und behalten Sie eine zentrale Übersicht darüber, welche Daten wem gehören, für einen detaillierteren Einblick in Gefährdungsrisiko durch VerstößeDank einer klaren Datenübersicht können Teams genau bestimmen, welche Benutzer bei Datenschutzverletzungen dem höchsten Risiko ausgesetzt sind. Identifizieren Sie den Wohnsitz der betroffenen Benutzer und befolgen Sie die obligatorischen Meldekriterien für jede Region – bis hin zur Einzelperson.
Operationalisieren Sie Ihren Incident-Response-Plan
Identifizieren Sie einfach, welche Personen nach einem Vorfall benachrichtigt werden müssen, basierend auf Datenzuordnung und Inventar. Kommunizieren und Berichte erstellen auf denen Einzelpersonen und persönliche Datenattribute offengelegt wurden – und zwar innerhalb der gesetzlich vorgeschriebenen Fristen und Meldefristen.
Gewährleistung der Einhaltung der Gesundheitsvorschriften
Schützen Sie Patienten, Anbieter und Kostenträger, indem Sie alle gesetzlichen Anforderungen zur Meldung von Datenschutzverletzungen in allen geografischen Gebieten einhalten, in denen Ihr Unternehmen geschäftlich tätig ist oder Kunden hat.
Sanierungs-Workflows implementieren
Effizient sanieren. Hochrisiko-, sensible und regulierte Daten im gesamten Unternehmen – und verwalten Sie Ausnahmen, Priorisieren Sie Arbeitsabläufe, die Entscheidungen an die richtigen Personen delegieren, und optimieren Sie die gesamte Berichterstattung nach Verstoßtyp oder Dateneigentümer – alles in einer einzigen Benutzeroberfläche.
Vereinfachen Sie die Untersuchung von Datenlecks
Die Sicherheitsautomatisierungstechnologie von BigID stellt sicher, dass Gesundheitsorganisationen nach einem Sicherheitsvorfall die betroffenen Benutzer genau bestimmen und ihre Reaktion vereinfachen können.
Es ist allgemein bekannt, dass es bei Datenschutzverletzungen nicht um das Ob, sondern um den Zeitpunkt geht – und Gesundheitsorganisationen sind einem erhöhten Risiko ausgesetzt.
Unternehmen, die ihre sensiblen Patientendaten proaktiv mit automatisierten Tools schützen, tiefes maschinelles Lernen, ein Kern Grundlage für die Datenermittlungund effizient Datenbereinigung Arbeitsabläufe können das Datenrisiko minimieren, die Erkennung von Datenbedrohungen verbessern und den Verlust oder die Offenlegung der sensibelsten und anfälligsten Patientendaten verhindern. Planen Sie eine BigID-Demo um mehr zu erfahren.