En Healthcare IT, ¿es un modo de "romperse el cristal" para omitir los controles de acceso comúnmente requeridos?

Mi organización de atención médica utiliza Break The Glass con nuestro EMR. Trabajo en el lado de TI de las cosas, por lo que no estoy seguro de cómo se aplica a los clínicos, pero para nosotros está configurado de modo que si accedemos a cualquier registro de un paciente, debamos romper el vidrio. Al hacerlo, nos vemos obligados a ingresar un comentario sobre por qué necesitamos acceso al registro.

Es una buena característica: con la introducción del acto HITECH y, por supuesto, con HIPAA, es importante documentar por qué ingresó en el historial de un paciente.

Como paciente, tiene derecho a solicitar los nombres de todos los empleados que accedieron a su registro médico y también tiene derecho a saber por qué necesitaban ver su historial. Al forzar la función de romper el vidrio, nosotros como empleados nos vemos obligados a crear esta documentación. Si no tuviéramos esta documentación y se interpusiera una demanda contra mi organización, las personas que accedieron a la tabla podrían ser responsables si no pueden presentar una razón suficiente para ingresar a la tabla.

En resumen, no es obligatorio, pero es una excelente manera de mitigar el riesgo, no solo para su organización, sino también para las personas que pueden ser responsables por HITECH y HIPAA.

No hay un requisito amplio para esa característica específica, que yo sepa. Sin embargo, como aplicación médica, normalmente considerará los peligros del sistema y las mitigaciones.

Si uno de sus peligros es "no puedo obtener las imágenes cuando necesito acceso inmediato para un diagnóstico de emergencia", es muy probable que una de sus mitigaciones sea un "modo de rotura de cristales". Ciertamente, he visto sistemas que ofrecen acceso de puerta trasera (no GUI) al archivo de imágenes precisamente por esta razón. Como dijo @Marshall Anschutz, todo esto depende de cuán vitales sean las operaciones de imagen.

No puedo comentar sobre la demanda de esta función, pero creo que esto es secundario a la necesidad de la característica desde una perspectiva de seguridad.

Como médico, aunque puedo pensar en situaciones en las que tener acceso inmediato y sin restricciones a la información clínica puede ser crítico, no puedo pensar en una función de "vidrio de emergencia" como un requisito absoluto para un sistema electrónico de información de atención médica . Los riesgos de seguridad de tener acceso sin restricciones son demasiado altos y, además, piense en lo siguiente: una característica similar definitivamente no está disponible con los sistemas tradicionales basados en papel y, sin embargo, todavía se utilizan con buenos resultados (si, por alguna razón, no puede acceder a un registro físico porque se ha extraviado, o está "encerrado" de usted, eso es todo, y tendrá que conformarse con lo que tiene a mano).

En mi opinión, tener este tipo de característica solo agrega un riesgo de seguridad inaceptable. La forma correcta de garantizar la seguridad del paciente con acceso oportuno y apropiado a la información clínica es instruir correctamente a los usuarios de nuestros sistemas para que conozcan y utilicen nuestras medidas de seguridad y autenticación.

En lo personal, siempre pienso en una configuración de "rompeolas" cuando se considera el uso de datos en una configuración de emergencia. Tome una sala de emergencias, por ejemplo: en mi opinión, todos los médicos de ER deben poder extraer todos los registros de los terminales de ER. Usted maneja los problemas mediante el registro de excepciones. Si se accede al registro de un paciente sin un registro de entrada, puede investigar después del hecho. No bloquea el acceso porque pueden haber llegado en un paro cardíaco y la mesa de clasificación nunca los ve.

Del mismo modo, mantiene una pila de tarjetas válidas y sin asignar detrás del escritorio de las enfermeras. Si se usa uno de ellos y no se asigna a una persona en unas pocas horas, puede investigar después del hecho ... pero no me arriesgaría a un escenario en el que un médico pierda su tarjeta y no pueda acceder a los datos hasta que solicite una nueva. tarjeta de TI.

El control de acceso es parte de la solución. Las buenas reglas de auditoría y de activación completan la brecha para que no detenga algo necesario. Para una configuración clínica, la baraja de "acceso total" puede ser la que guardas en un cajón y siempre investigas su uso después del hecho.

Puede haber un requisito como este dependiendo de la aplicación; sin embargo, lo más probable es que se limite a ciertas aplicaciones. es decir, dispositivos de monitorización del corazón en un hospital. Considerando que, un sistema electrónico de presentación de reclamaciones nunca tendría el requisito de permitir modificar quién presentó la reclamación por parte del usuario final normal, ya que puede violar la premisa de la seguridad de dicho sistema.

En resumen, esto puede ser un requisito, pero depende de quién sea el usuario final objetivo y de la importancia vital de la operación que realice.

Si existen tales requisitos (no se discute en su contra), debemos informar a los creadores de los sistemas centralizados. Muchos de los sistemas que he visto tienen implementadas políticas de seguridad muy estrictas, algunos lo bloquearán directamente si, por ejemplo, escribe un error en su contraseña más de 3 veces. el bloqueo se produce de forma centralizada, de modo que, incluso si permitimos que el usuario omita todas las políticas de seguridad de la aplicación, seguirá teniendo acceso a la base de datos central.

En algunos casos, no es de vital importancia (al menos no directamente) para acceder a la información demográfica actual de un paciente, pero obtener los últimos resultados de INR, sin embargo, podría ser vital.

Personalmente nunca tuve que implementar tal bypass. La mayoría de las aplicaciones y sistemas en los que participé nunca fueron pensados para ser utilizados en situaciones de emergencia, por lo que la situación nunca surgió.

Sin embargo, si tuviera que implementar tales medidas, mantendría un registro de seguimiento de auditoría especial y exhaustivo de todas las operaciones realizadas en este modo.

En un trabajo anterior, nuestra EMR se configuró con "Romper el vidrio" para nuestros pacientes VIP y todos los empleados, no podía acceder a su registro de salud sin hacer clic en otra casilla que indica que comprende que se están registrando sus acciones.

Algunos sistemas automáticos de auditoría y liberación de bancos de sangre tienen una función de 'romper cristales' donde se puede acceder al refrigerador sin tener que seguir el proceso normal, que podría ser; la solicitud de entrada, el identificador de registro del paciente escaneado, la interfaz bidireccional con el sistema de laboratorio busca el tipo de sangre y la unidad de sangre se escanea al retirarla del refrigerador ...

Es muy útil tener un mecanismo de puerta de liberación rápida y un campo para capturar posteriormente una justificación en este caso.

Este mecanismo ahora es obligatorio por ley en Francia (consulta PGSSI-S , en francés) .

No conozco otros estados, pero debe verificar la legislación pertinente.