Anda menghabiskan waktu berbulan-bulan untuk mengevaluasi perangkat lunak penyesuaian risiko. Anda membandingkan fitur, memeriksa referensi, menegosiasikan harga. Anda bertanya tentang tingkat akurasi, kemampuan integrasi, dan pengalaman pengguna. Anda mungkin tidak menanyakan pertanyaan mendetail tentang keamanan dan kepatuhan.
Itu sebuah masalah. Karena perangkat lunak penyesuaian risiko yang Anda terapkan akan menangani beberapa data paling sensitif di organisasi Anda. PHI dari ribuan anggota. Informasi penyedia. Data keuangan. Keputusan pengkodean yang dapat dipertanyakan dalam audit bertahun-tahun kemudian.
Ketika data tersebut dilanggar atau salah penanganan, “kami tidak menanyakan pertanyaan keamanan yang tepat” tidak akan menjadi penjelasan yang dapat diterima oleh CMS atau dewan direksi Anda.
Kebutaan Penyebaran Cloud
Sebagian besar perangkat lunak penyesuaian risiko modern berbasis cloud. Itu bagus untuk aksesibilitas dan skalabilitas. Ini juga merupakan risiko keamanan jika Anda tidak memahami di mana sebenarnya data Anda berada dan siapa yang dapat mengaksesnya.
Apakah data Anda berada di lingkungan khusus atau infrastruktur bersama? Infrastruktur bersama lebih murah bagi vendor, namun itu berarti data Anda berada di server yang sama dengan data organisasi lain. Jika akun orang lain disusupi, ada potensi paparan terhadap data Anda.
Di manakah lokasi pusat data secara fisik? Beberapa penyedia cloud menyimpan data secara internasional untuk mengoptimalkan kinerja. Jika PHI Anda disimpan atau diproses di negara dengan undang-undang perlindungan data yang lebih lemah, Anda menghadapi masalah kepatuhan.
Siapa yang memiliki akses administratif ke lingkungan Anda? Insinyur vendor memerlukan akses untuk dukungan dan pemeliharaan. Namun apakah mereka memiliki jejak audit yang ditampilkan setiap kali mereka mengakses data Anda? Bisakah mereka melihat informasi anggota sebenarnya atau hanya log sistem?
Kebanyakan organisasi tidak menanyakan pertanyaan-pertanyaan ini selama evaluasi. Mereka berasumsi “sesuai HIPAA” berarti aman. Kepatuhan terhadap HIPAA adalah dasar, bukan standar utama. Anda perlu memahami arsitektur keamanan spesifik, bukan hanya percaya bahwa vendor telah mengetahuinya.
Masalah Subkontraktor
Vendor perangkat lunak penyesuaian risiko Anda mungkin menggunakan subkontraktor. Penyedia hosting awan, layanan pemrosesan data, tim pengembangan luar negeri. Setiap subkontraktor mempunyai potensi kerentanan keamanan.
Vendor mungkin memiliki praktik keamanan yang sangat baik, tetapi jika mereka menggunakan layanan AI pihak ketiga untuk memproses catatan klinis Anda dan layanan tersebut memiliki keamanan yang lemah, data Anda akan terekspos.
Tanyakan kepada vendor Anda daftar lengkap subkontraktor yang akan memiliki akses ke data Anda. Tanyakan persyaratan keamanan apa yang mereka terapkan pada subkontraktor tersebut. Tanyakan apakah mereka mengaudit keamanan subkontraktor atau hanya percaya begitu saja.
Saya telah melihat organisasi menemukan beberapa bulan setelah implementasi bahwa vendor mereka menggunakan tim pengembangan luar negeri dengan akses langsung ke data produksi untuk tujuan debugging. Vendor melihat ini sebagai hal biasa. Tim keamanan organisasi mengalami serangan jantung.
Mimpi Buruk Retensi Data
Ketika Anda akhirnya berpindah vendor perangkat lunak penyesuaian risiko, apa yang terjadi pada data Anda? Sebagian besar kontrak memiliki bahasa yang tidak jelas tentang penghapusan data setelah penghentian.
Namun “penghapusan” memiliki arti yang berbeda bagi orang yang berbeda. Apakah vendor menghapus data Anda dari sistem produksi tetapi menyimpannya sebagai cadangan selama bertahun-tahun? Apakah mereka benar-benar menghapus semua data Anda dari semua sistem, termasuk lingkungan pemulihan bencana dan salinan pengembangan?
Jika mereka tidak menghapus data Anda dengan benar, Anda mempunyai tanggung jawab berkelanjutan atas PHI yang ada di sistem yang tidak lagi Anda kendalikan. Jika vendor tersebut dibobol dua tahun setelah Anda keluar, data anggota Anda dapat terekspos.
Sebelum Anda menandatangani, negosiasikan persyaratan penghapusan data tertentu. Dalam waktu 30 hari setelah pengakhiran kontrak, vendor harus menghapus semua data Anda dari semua sistem termasuk cadangan, memberikan sertifikasi penghapusan tertulis, dan mengizinkan Anda mengaudit penghapusan jika Anda mau.
Kesenjangan Keamanan Integrasi
Perangkat lunak penyesuaian risiko terintegrasi dengan EHR Anda, sistem klaim, dan platform lainnya. Integrasi tersebut menciptakan kerentanan keamanan jika tidak dirancang dengan benar.
Apakah integrasi menggunakan koneksi yang aman dan terenkripsi? Apakah kredensial disimpan dengan aman? Ketika kredensial integrasi disusupi (dan memang demikian), seberapa cepat Anda dapat mencabut akses?
Beberapa vendor membangun integrasi yang memerlukan akses yang terlalu luas ke sistem sumber Anda. Mereka mungkin perlu membaca catatan klinis dari EHR Anda, namun integrasi yang mereka bangun memerlukan akses baca penuh ke seluruh database EHR Anda. Itu adalah desain keamanan yang malas dan menciptakan risiko yang tidak perlu.
Bersikeras pada desain integrasi dengan hak istimewa paling rendah. Perangkat lunak penyesuaian risiko seharusnya hanya memiliki akses ke data spesifik yang diperlukan, tidak lebih. Jika ada pelanggaran, paparannya terbatas.
Persyaratan Jejak Audit
Perangkat lunak penyesuaian risiko harus mencatat semuanya: siapa yang mengakses grafik mana, keputusan pengkodean apa yang dibuat, kapan data diekspor, perubahan konfigurasi apa yang terjadi. Log ini tidak hanya berguna untuk keamanan. Hal ini penting untuk pertahanan dan kepatuhan audit RADV.
Namun banyak vendor yang menerapkan minimal logging. Mereka melacak tindakan-tindakan besar tetapi tidak merincinya. Ketika Anda perlu membuktikan tiga tahun kemudian bahwa pembuat kode memiliki akses yang sesuai ke dokumentasi yang mendukung HCC tertentu, Anda tidak dapat memberikan buktinya.
Minta vendor untuk mendemonstrasikan pencatatan audit mereka. Jangan menerima jaminan umum. Mintalah mereka menunjukkan log sebenarnya kepada Anda. Tanyakan berapa lama log disimpan. Tanyakan apakah Anda dapat mengekspor log untuk penyimpanan Anda sendiri. Tanyakan apakah log mereka memenuhi persyaratan kepatuhan Anda untuk penanganan data layanan kesehatan.
Respons Insiden Keamanan Vendor
Ketika (bukan jika) vendor Anda mengalami insiden keamanan, bagaimana mereka menanganinya? Apakah mereka akan segera memberi tahu Anda atau menunggu untuk menyelidikinya terlebih dahulu? Apakah mereka akan memberikan perincian tentang data apa yang berpotensi terekspos atau memberi Anda jaminan yang tidak jelas?
Respons insiden keamanan vendor harus dirinci dalam kontrak Anda. Jika ada pelanggaran yang melibatkan data Anda, Anda memerlukan pemberitahuan dalam waktu 24 jam, bukan saat mereka ingin memberi tahu Anda. Anda memerlukan informasi terperinci tentang apa yang terjadi sehingga Anda dapat menilai kewajiban pemberitahuan pelanggaran Anda sendiri.
Saya telah melihat vendor menunda pemberitahuan pelanggaran selama berminggu-minggu sementara mereka “menyelidiki”, sehingga pelanggan mereka tanpa sadar tidak mematuhi persyaratan pemberitahuan pelanggaran HIPAA. Itu tidak bisa diterima.
Pertanyaan Sertifikasi
Banyak vendor perangkat lunak penyesuaian risiko mengklaim bahwa mereka mematuhi HIPAA atau bersertifikat HITRUST. Verifikasi klaim tersebut. Mintalah salinan laporan audit keamanan terkini. Tanyakan kapan tes penetrasi terakhir dilakukan dan apakah Anda dapat melihat hasilnya.
Beberapa vendor menggunakan frasa seperti “dirancang untuk memenuhi persyaratan HIPAA” atau “menerapkan perlindungan HIPAA.” Itu adalah bahasa yang buruk yang menunjukkan bahwa mereka belum benar-benar diaudit atau disertifikasi.
Jika keamanan penting bagi Anda (dan memang seharusnya demikian), bekerjalah hanya dengan vendor yang dapat membuat sertifikasi keamanan pihak ketiga dan laporan audit terkini. Vendor yang tidak menunjukkan hasil audit keamanannya menyembunyikan sesuatu.
Keamanan bukanlah hal yang glamor dan bukan itu yang disorot dalam presentasi penjualan. Namun perangkat lunak penyesuaian risiko menangani data yang sangat sensitif. Satu pelanggaran dapat menyebabkan kerugian jutaan dolar dalam hal remediasi, sanksi peraturan, dan kerusakan reputasi. Ajukan pertanyaan keamanan yang sulit sebelum Anda menandatangani, bukan setelah Anda dibobol.