Best practices voor datarisicobeheer in de gezondheidszorg

Waarom datarisicobeheer cruciaal is in AI-gestuurde gezondheidszorg

Zorginstellingen die AI-tools en voorspellende analyses willen inzetten, maken steeds vaker gebruik van de cloud, externe toegang en digitale diensten. Dit alles maakt het beveiligen van patiëntgegevens complexer.

"AI kan niet effectief functioneren zonder toegang tot betrouwbare, hoogwaardige datasets", zegt Shannon Murphy, senior manager Global Security and Risk Strategy bij Trend Micro . "Maar hoe meer data je eraan toevoegt, hoe meer risicopotentieel je creëert."

Ze waarschuwt dat risicomanagementstrategieën parallel aan deze ambities moeten evolueren , omdat AI met elke nieuwe tool of elk nieuw eindpunt meer mogelijkheden voor blootstelling creëert.

Henry Vernov, Principal Product Manager voor de gezondheidszorg bij Citrix , benadrukt hoe dringend het is om blootstellingspunten te verminderen, met name in omgevingen waarin artsen en personeel vanaf meerdere apparaten of locaties toegang hebben tot gevoelige systemen.

"Wanneer patiëntgegevens tussen apparaten, apps en clouds worden verplaatst, brengt elke stap risico's met zich mee als deze niet op werkruimteniveau zijn vastgelegd", zegt hij.

Voor zorginstellingen die AI inzetten in meerdere klinische workflows , zijn de integriteit en beveiliging van die gegevensuitwisselingen van het grootste belang.

LEES MEER: Benut data en AI voor betere resultaten in de gezondheidszorg.

Data-uitdagingen voor zorginstellingen

Zorginstellingen staan voor vier centrale uitdagingen als het om data gaat, zegt Nicholas Jackson, directeur cybersecuritydiensten bij Bitdefender . Deze uitdagingen omvatten gefragmenteerde legacysystemen, operationele realiteiten die ongewone risico's met zich meebrengen, zeer gevoelige data en een zware compliancelast.

"Zorgomgevingen zijn gebouwd op een mix van verouderde infrastructuur en nieuwere tools van verschillende leveranciers", zegt hij. Deze systemen communiceren vaak niet goed, waardoor datasilo's en inconsistente standaarden ontstaan die integratie en governance bemoeilijken.

Jackson merkt op dat het in een kritieke omgeving als een operatiekamer vaak niet praktisch is voor iedere clinicus om midden in een procedure in te loggen op zijn persoonlijke account.

"Gedeelde of generieke toegang wordt soms uit noodzaak gebruikt, waardoor de risico's rondom data-integriteit, interne bedreigingen en verantwoordingsplicht toenemen", zegt hij.

Ondertussen vereisen HIPAA, de Algemene Verordening Gegevensbescherming en andere mandaten een strikte controle over gezondheidsgegevens.

"Het consistent toepassen hiervan op gefragmenteerde systemen in on-premises en cloudomgevingen, in combinatie met uiteenlopende gebruikerspraktijken, is een aanzienlijke, voortdurende uitdaging", aldus Jackson.

Adam Winston, Field CTO bij WatchGuard , zegt dat beleid voor het gebruik van AI-toepassingen intern binnen organisaties moet worden geïmplementeerd.

"Algemene hulpmiddelen die door eindgebruikers worden gebruikt, mogen niet worden gebruikt voor het verwerken of uploaden van beschermde gezondheidsinformatie of intellectueel eigendom. Zoek in plaats daarvan naar speciaal ontwikkelde producten die voldoen aan de HIPAA-regels of die speciaal zijn bedoeld om een aantal van deze taken te automatiseren", zegt hij.

Volgens Jackson moeten organisaties beginnen met het classificeren en in kaart brengen van hun data: "Als je niet weet wat je hebt of waar het zich bevindt, werk je blind."

"Bouw vervolgens privacy en beveiliging – zoals endpoint protection en uitgebreide detectie en respons – vanaf het begin in uw systemen op, en niet pas achteraf", zegt hij.

Regelmatige risicobeoordelingen, strenge toegangscontroles , encryptie en voortdurende bewustwordingstrainingen voor personeel (niet eenmaal per jaar) zouden standaardpraktijk moeten zijn.

"Deze maatregelen zijn niet optioneel; ze zouden als verplicht moeten worden beschouwd voor de bescherming van gevoelige gezondheidsgegevens en vormen een belangrijk onderdeel van het beveiligingsbeheer", aldus Jackson.

GERELATEERD: Dit moeten IT-leiders in de gezondheidszorg weten over risicomanagement door derden.

Risicomanagement afstemmen op innovatie en naleving

Volgens Murphy lijken de voordelen van de vindingrijkheid en toepassing van AI in de gezondheidszorg groter te zijn dan de risico's.

"Ik ben enorm bemoedigd door de innovatie die plaatsvindt binnen mijn cliëntengroep in de gezondheidszorg, waaronder onderzoeksziekenhuizen en universitair gelieerde ziekenhuizen", zegt ze. "Deze instellingen zijn niet onverschillig over de invoering ervan, maar ze zijn wel ongelooflijk agressief."

Operationeel gezien en met het oog op cybersecurity, leidt het beheren van de beveiliging van gegevens gedurende de gehele levenscyclus tot twee positieve resultaten: een lager risico op inbreuken en soepelere AI-ervaringen.

"Risicomanagement is een proactieve strategie, en proactiviteit zorgt ervoor dat je voorop blijft lopen", zegt Murphy. "Het is een filosofische strategie die je vanuit je innovatiepraktijk kunt doortrekken naar je beveiligings- en compliancepraktijk."

Volgens haar is beveiliging op deze manier een enorme stimulans voor innovatie, waardoor organisaties snel en veilig kunnen handelen, met minder technische problemen.

Jackson voegt eraan toe dat wanneer risicokaders vroeg in de ontwerp- en ontwikkelingsfasen worden geïntegreerd, ze snellere en veiligere innovatie ondersteunen.

"Compliance wordt een natuurlijk resultaat, geen last-minute gehaast, wat op de lange termijn hoofdpijn en uitdagingen vermindert", zegt hij. "Het doel moet altijd zijn dat beveiliging, risicomanagement en compliance naadloos samenwerken, niet als afzonderlijke processen."