Autenticação direita é fator-chave para a segurança da saúde nos USA, e assinatura eletrônica


Simples, mas poderosas, e as assinaturas são ferramentas poderosas para organizações de saúde. Eles podem manter paciente, faturamento ou documentação de administração em formato digital puro, salvando centenas de milhares de dólares em papel, tinta e custos relacionados. E com a habilidade de assinar e enviar documentos de qualquer lugar onde haja uma conexão com a Internet, eles dirigem a eficiência e conveniência. Neste post convidado, John Harris, vice-presidente sênior de gerenciamento de produto a um provedor de soluções de assinatura eletrônica, explica por que a tecnologia “e-assinatura” é um obstáculo para os hospitais, e os diferentes tipos de autenticação para considerar quando utilizar assinaturas eletrônicas.

Então, por que a natureza da tecnologia digital da e-assinatura continuam a ser um obstáculo para muitas organizações de saúde?

Tudo se resume a mitigar o risco, e garantir que informações pessoais de saúde e outros materiais sensíveis são mantidos seguros e protegidos.
No ciberespaço, não há relações pessoais. Código digital não discernir se uma pessoa tentar acessar a um documento médico on-line é um paciente de 20 anos ou um estranho com segundas intenções.
Assim, o processo de provar que as pessoas são quem elas dizem que são, on-line – chamado de autenticação de identidade – não deve ser subestimado. E há muitos tipos diferentes de autenticação a considerar quando se utiliza assinaturas eletrônicas.

O E-mail

Verificação de e-mail é a autenticação de identidade na sua forma mais simples. Com este método, a pessoa deve acessar seu e-mail e clique em um link para acessar os documentos digitais. O pressuposto é que uma vez que a pessoa ganhou com sucesso a entrada na conta de e-mail correto, ele ou ela é a pessoa para quem os documentos são destinados.
Este nível de verificação oferece o menor nível de segurança para autenticação de identidade. Então, quando existe informações sensíveis no documento, a verificação de e-mail pode ser um primeiro passo para autenticação, mas geralmente não é o único passo, como ele funciona melhor em combinação com outros métodos.

Mensagem de texto

Serviço de mensagens curtas (SMS) ou mensagem de texto, autenticação valida um signatário ao exigir que a pessoa a apresentar um código PIN uma vez que ele ou ela recebeu através de uma mensagem de texto. Os códigos são únicos e aleatória para cada usuário com cada tentativa de acesso.

Perguntas secretas compartilhadas

Para forçar uma segurança adicional, os usuários podem exigir apoiadores para responder a perguntas pessoais, uma vez que acessar o link portal via e-mail. Estas questões são baseadas em informações conhecidas pelo signatário, que é o usuário final, como um número de conta ou de identificação, ou fornecidos pelo signatário para o usuário final, como o nome de solteira da mãe. As perguntas compartilhadas não devem ser amplamente conhecidas, fora o assinante ou usuário.

Conheça seu cliente

O conteúdo de alguns documentos demandando mais segurança. Com conheça o seu cliente (KYC) um tipo de autenticação, será solicitado a fornecer seu número de Seguro Social (SSN) e data de nascimento (DOB). Se o SSN é válida e corresponde com a DOB, o usuário é verificado. Isto também pode ser utilizado em conjunto com perguntas secretas partilhadas para adicionar uma proteção adicional.

Autenticação baseada no conhecimento

A autenticação baseada em conhecimento (KBA) vai um passo além. Como KYC, KBA requer a SSN correta e DOB antes de acessar os documentos. Mas uma vez que a informação corresponde, signatários devem responder a quatro questões de múltipla escolha. Ao contrário de questões comuns, que podem ser qualquer pergunta conhecido tanto pelo remetente ou signatário, autenticação KBA requer apoiadores para responder a perguntas com base em informações encontradas dentro de 30 anos de registros de dados públicos.
Os signatários podem ser solicitados detalhes sobre a propriedade e posse de veículo, telefone e endereço antigos, a vacinação de animais ou outras informações. Todas as perguntas seriam extremamente difícil para alguém que não seja proprietário saber, como conseguir a informação seria difícil, rapidamente on-line ou na carteira de alguém. Normalmente, há também um limite para o número de vezes que uma pessoa pode tentar responder as perguntas, reforçando ainda mais um nível mais alto de segurança.

Autenticação e o cumprimento da regulamentação

Enquanto HIPAA não delinear regras específicas para as assinaturas eletrônicas, a lei não exigir que as entidades abrangidas para verificar se uma pessoa que solicita o acesso à PHI tem a autorização para fazê-lo. O espírito da lei aponta para a necessidade de mais de um método de autorização – ou autenticação multi-fator.
Autenticação mutifactorial ocorre quando, pelo menos, dois métodos de autenticação de identidade são usados ​​em combinação. Assim, por exemplo, um paciente assinar uma renúncia processual on-line pode primeiro log in via e-mail, clique em um link para acessar o portal e-assinatura e, em seguida, responder a perguntas da KBA. Somente quando esses desafios foram aprovadas, ele ou ela pode assinar a renúncia.

Esta abordagem multi-fator é necessário para outras áreas de conformidade da indústria de saúde. Por exemplo, a DEA requer pelo autenticação de dois fatores menos antes de um médico pode inscrever uma receita de substâncias controladas. E está se tornando mais comum entre os outros profissionais de saúde. De acordo com uma breve do Gabinete do Coordenador Nacional de Saúde Tecnologia da Informação, a adoção de autenticação de dois fatores entre os não-federais hospitais de cuidados agudos aumentou em 53% desde 2010.
Com high-stakes transações e documentos que contenham informações pessoais, profissionais de saúde seria prudente considerar a autenticação SMS e KBA. Para os acordos básicos que não sejam titulares de qualquer informação pessoal, médica ou financeira, poderá ser mais apropriado para simplesmente usar a autenticação de e-mail e manter os processos de assinatura e tão simples quanto possível.
A chave é considerar sempre a estratégia certa para a transação na mão – lembrando que no setor de saúde, permitindo que os olhos errados vejam os dados pode resultar em multas de milhões de dólares.

A RDC30 no Brasil

Lembrando que no Brasil, a ANVISA coloca em vigor agora em JANEIRO de 2016. A RDC30 que obriga os laboratórios de todo território nacional, utilizarem a Certificação Digital.

Tem alguma dúvida sobre a RDC30?
Baixe nosso E-book



Comentários