2012年4月9日
诊所使用跟踪软件作为HIPAA工具
罗伯特·j·墨菲
郑重声明
第二十四卷第七页
田纳西州的麦肯齐医疗中心(McKenzie Medical Center)有300名员工,诊所的经理们注意到,尽管电脑带宽使用率很高,但工作效率却有所下降。他们不仅发现员工从事与工作无关的活动浪费了超过1.8万美元的时间,还使用该应用程序调查涉嫌违反HIPAA的员工,并免除了其中大多数人的责任。
麦肯齐的IT安全官员内森•哈克(Nathan Hacker)表示,许多情况都可能引发对违反HIPAA的怀疑。大多数违规行为涉及员工出于与员工工作职责无关的原因查看患者的病历。
哈克说:“你可能会遇到这样一种情况:一位女士在这里工作,她的女儿和这个男人约会,然后他们分手了。”“所以(这名员工)开始查看她女儿前男友的医疗信息,看看是否能找到他的丑闻,可以这么说。”
有时人们天生的好奇心会带来麻烦。哈克说:“你可能会遇到这样的情况:当地报纸上可能出现了什么事情,有人神秘地死去了,也许是一个待在诊所的病人。”“有些人可能有兴趣进去,只是想打听一下,看看他们为什么在那里,或者他们在这里最后见到了谁。”
它是如何工作的
据位于佛罗里达州维罗海滩的SpectorSoft公司网站介绍,麦肯齐使用SpectorSoft公司的Spector 360来监控、捕捉和分析用户和用户群的活动。spector360是市场上几种类似的用户跟踪应用程序之一。示例包括电子邮件交换、聊天/即时消息、访问的网站、访问的应用程序和程序、Web搜索、文件传输以及打印或保存到可移动设备的数据。
组织可以使用Spector 360实现多种功能:跟踪和执行可接受的使用策略,保护知识产权和商业秘密,识别安全漏洞和风险,监控和审计合规性需求,并对用户生产力进行基准测试。beplay最新备用网站
该软件区分活动时间和焦点时间,显示应用程序是处于打开状态还是处于空闲状态,还是处于打开状态并正在积极使用。这不仅有助于最大限度地提高生产率和改进培训,而且有助于收集计量数据。
分析数据
当Spector 360的所有功能都在运行时,组织可以收集大量数据,其中大部分是“白噪音”。在决定如何广泛使用软件时,是否需要考虑人力资源成本?有人需要整天盯着屏幕监控这些数据吗?
哈克说,不见得。他解释说:“界面和数据呈现的方式非常简单。“通常情况下,你不会被要求24小时不间断地坐在那里查看人们的数据。例如,互联网的使用。有快速查看面板,您可以看到在一定时期内访问次数最多的前100个网站。这可以帮助我一眼看出是否存在滥用互联网的情况。”
即时关键字警报和彻底的审计跟踪允许访问关键的组织事项。关键字警报(可以自定义)在用户的活动需要引起注意时向实例发出信号。生成管理员警报跟踪和控制中心活动报告的功能确保捕获所有数据更改,并在更改之前和之后以图形方式显示。
尽管该工具具有强大的跟踪能力,但Hacker表示,没有人每天早上来上班时都要为政治迫害做准备。在深入挖掘数据之前,安全人员必须收到部门经理的请求。最近一项对30名疑似查看病人病历的人的调查表明,除一人外,其他人都无罪。
高风险业务
在使用Spector 360时,IT管理员必须平衡最佳功能和用户监控应用程序,以满足他们防止违反HIPAA和提高生产力的需要。
“这个(软件)的独特之处在于,它有一些我们在其他地方没有见过的东西。它的功能包括捕捉按键,”克里斯·阿普加(Chris Apgar)说,他是CISSP,也是专门从事隐私问题咨询公司Apgar & Associates的总裁。
捕获如此大量的数据需要阿普加所说的“超级安全”应用程序。他说:“如果我要追踪这类信息——比如键盘敲击——我想要的不仅仅是密码。”“我想要一个强大的密码,我想要一些其他的身份证明,比如智能卡或生物识别技术。”
阿普加说,一个复杂的用户活动监控程序的主要缺点是,你收集的数据越多,如果审计发现了收集但未经分析的有罪数据,你的法律风险就越大。
“我可以收集我想要的所有数据并查看它,我不仅有民事法律风险,因为可能存在一些违规行为,而我没有看到它,所以我不知道它在那里,但我也有监管风险,因为HIPAA要求我查看所有这些东西。我打开的东西越多,我要看的就越多,要追踪的也就越多。”
老大哥效应
由于患者信息隐私是医疗保健行业中最重要的话题,因此很容易猜测,医疗保健人员希望管理层监视他们的活动。不过,麦肯锡的员工从一开始就被告知,他们的互联网和其他电脑使用情况将受到监控。
这种监督不仅有助于防止潜在的破坏性违规行为,而且还可以通过确保员工不在上班时间处理个人事务来提高生产力。
麦肯锡的it经理兼安全官唐•佩奇(Don Page)表示:“如果有人(在网上)去银行,或者他们在网上支付账单,或者一些显然与业务或患者无关的事情,这些都是当时就能解决的问题。”“但这不是1984乔治·奥威尔。”
对于那些迫切需要发送电子邮件或访问网站的员工,麦肯齐学院的食堂里有四台电脑可供一般使用。
这到底是谁的工作?
面对如山的数据需要整理,聪明的管理者必须在大海捞针的同时,寻找最有希望的线索和风险最大的活动。可以把它看作是计算机误用分类。
佩奇说:“当你在上班时,你就是在为我们公司工作。“我不喜欢看别人的电子邮件,但如果有东西进来说,‘你在eBay上买了东西’,我就会看。但这里发生的事情太多了,我无法持续阅读人们的电子邮件。”
最终,组织的IT安全本质上取决于其人员。阿普加说:“事实并不是我们没有好的技术。“技术有帮助,但它只是一种工具。”
细心的员工从那里接手。
- Robert J. Murphy是费城的一名自由撰稿人。
