Планирование действий на случай стихийных бедствий для вашего здоровья ИТ

Сентябрь — месяц национальной готовности, поэтому сейчас для врачей и медицинских учреждений идеальное время подумать о том, что произойдет, если их системы информационных технологий здравоохранения (ИТ) станут недоступны или каким-то образом скомпрометированы. . Эта проблема со временем стала более важной, поскольку здравоохранение все больше зависит от технологий, а растущий процент сотрудников никогда не практиковал без ИТ-служб здравоохранения и может не знать, что делать, если их системы или информация недоступны.

К сожалению, реальность того, что ИТ-системы здравоохранения организации станут недоступными или скомпрометированными, зависит от когда , а не от того, если. В некоторых случаях это может быть связано со стихийными бедствиями, которые увеличивают потерю электроэнергии, или массивными наводнениями, которые отключают важные серверы. (В некоторых случаях стихийное бедствие одновременно вызывает резкое увеличение количества госпитализированных пациентов.) В других случаях простои могут быть вызваны плохим действующим лицом, например, злонамеренными атаками. Иногда это просто аппаратный сбой, который вызывает цепную реакцию отказов. Независимо от причины уход за пациентом должен продолжаться.

Самая важная вещь, которую организация может сделать для смягчения потенциального воздействия на уход за пациентами и нормальные рабочие процессы, — это отработать на практике, что делать, если такое событие произойдет (Центры услуг Medicare и Medicaid в 2016 г. издали постановление, требующее адекватного планирования ). Следует практиковать учения, упражнения по обеспечению готовности и обучение, посвященные тому, как организация будет продолжать оказывать помощь пациентам во время простоя ИТ-служб здравоохранения (вероятно, с использованием электронных или бумажных рабочих процессов резервного копирования). Организация также должна изучить, как возобновить нормальную работоспособность ИТ-операций по прошествии простоя и как интегрировать все заказы данных, созданные во время простоя.

Федеральные правительственные агентства поддерживают планы непрерывности операций, которые гарантируют, что они могут продолжать выполнение важных функций в широком диапазоне ситуаций. Планы обеспечения непрерывности бизнеса в крупных организациях также нацелены на планирование альтернативных рабочих процессов, которые позволяют организациям продолжать бизнес-деятельность. Такой образ мышления следует перенять медицинским организациям, чья миссия — постоянно оказывать помощь пациентам.

Медицинским организациям доступны многочисленные инструменты и ресурсы при планировании непредвиденных обстоятельств и операций резервного копирования. Чтобы помочь организациям соблюдать правила безопасности HIPAA, Управление национального координатора медицинских информационных технологий (ONC) совместно с Управлением по гражданским правам (OCR) HHS разработало инструмент оценки рисков безопасности HIPAA. Этот инструмент содержит ряд полезных вопросов для организации с точки зрения готовности, чтобы обеспечить доступность и целостность электронной информации о здоровье пациентов. Часть этого инструмента, посвященная техническим гарантиям, предоставляет пользователю ряд вопросов и рекомендаций, касающихся доступа и доступности электронных данных пациента во время экстренных ситуаций.

Еще один ресурс, доступный медицинским организациям, — это серия инструментов ONC, известных как руководства SAFER (Факторы обеспечения безопасности для электронных медицинских карт (EHR) Resilience). Эти интерактивные руководства предназначены для того, чтобы помочь организациям провести самооценку своих ИТ-систем здравоохранения, чтобы оптимизировать их с точки зрения безопасности пациентов. Одно из руководств, «Планирование на случай непредвиденных обстоятельств», сосредоточено на рекомендациях по оказанию помощи организации в периоды простоя ИТ-инфраструктуры и включает в себя рекомендации, начиная от обеспечения наличия резервных генераторов с достаточным запасом топлива до надлежащего обучения сотрудников стратегиям предотвращения программ-вымогателей.

Готовность персонала также следует рассматривать как часть подхода к обеспечению готовности ко всем опасностям. Это очень важно для обеспечения того, чтобы как добровольцы, так и специалисты здравоохранения были идентифицированы, аттестованы и должным образом предварительно авторизованы для доступа к системе экстренной помощи, которая может предоставить доступ к информации о здоровье пациентов. Во многих штатах действуют системы координации волонтеров для работы в случае стихийного бедствия, в том числе служб быстрого реагирования и медицинских работников. Поддерживая систему добровольцев в случае стихийных бедствий и политику электронной авторизации в чрезвычайных ситуациях, эти добровольцы могут быстро получить доступ к системам, которые связывают их с медицинской информацией пациента. Одним из примеров этого является система унифицированного поиска пациентов для неотложных состояний или PULSE, доступная в Калифорнии и теперь доступная для других сообществ и штатов.

Очень важно, чтобы медицинские учреждения и учреждения имели план простоя системы, а также план резервного копирования и восстановления для своих ИТ-систем здравоохранения. Медицинские учреждения должны регулярно практиковаться в работе в смоделированной среде простоя, чтобы быть готовыми к возникновению ситуации.

Не менее важно, что медицинские учреждения должны иметь планы обучения, резервного копирования и восстановления данных пациентов, содержащихся в электронных медицинских картах и ​​других клинических системах. Это должно работать как при сбоях системы, связанных с катастрофами, так и при злонамеренных атаках. Учреждения должны регулярно выполнять резервное копирование системы, регулярно тестировать процедуру восстановления и, желательно, использовать резервное копирование за пределами предприятия, чтобы защитить от полной потери в случае структурной потери объекта.

Хотя существует вероятность того, что организация столкнется с одной или комбинацией проблем, описанных выше, планирование, коммуникация, а также надлежащая практика и обучение могут уменьшить воздействие и позволить организации продолжить свою миссию по оказанию помощи тем, кто в ней нуждается. это.