Der allgegenwärtige kriminelle Zugriff auf das Internet bedeutet, dass gestohlene geschützte und vertrauliche Daten regelmäßig missbraucht werden. Gesundheitsorganisationen können verheerende, manchmal irreparable Folgen erleiden, wenn Ransomware oder Malware die Computersysteme des Unternehmens infizieren, und es kann Jahre teurer Rechtsstreitigkeiten dauern, diese Verluste zu beheben.
Zusätzlich zu den mittlerweile bekannten Formen von Cyberangriffen, die medizinisches Personal und medizinische Praxen bedrohen, müssen Organisationen mit möglichen Sanktionen und Strafen im Zusammenhang mit Angriffen sowie mit Risiken neuartiger Formen von Sicherheitsverletzungen durch Anwendungen künstlicher Intelligenz (KI) rechnen. Gesundheitsorganisationen können diese Risiken durch eine Kombination aus Vorausplanung und Zusammenarbeit mit vertrauenswürdigen Geschäftspartnern mindern.
Bedrohungen aus dem Ausland
Die Cybersicherheit stellt für die Gesundheitsbranche eine besondere Herausforderung dar, da bei groß angelegten Online-Angriffen wichtige geschützte Daten offengelegt werden können, wenn Patientenakten verletzt werden. Diese Störungen bedrohen die Integrität klinischer Praktiken und die Bereitstellung medizinischer Behandlungen. Verstöße gegen die Systemsicherheit beeinträchtigen auch häufig alltägliche Versicherungsgenehmigungen und die rechtzeitige Auszahlung von Zahlungen für bereits erbrachte Leistungen und untergraben Routinetätigkeiten bei der Bereitstellung von Gesundheitsleistungen, wie das Einlösen von Rezepten. Ein Beispiel dafür war laut Harvard Business Review der Angriff auf Change Healthcare im Jahr 2024, der „die medizinische Abrechnung in den Vereinigten Staaten zum Erliegen brachte und Hunderte finanziell angeschlagene Gesundheitssysteme und Arztpraxen an den Rand des Bankrotts trieb“.
Diese Angriffe werden nicht selten von ausländischen Regierungen gesponsert, die unsere finanzielle, wirtschaftliche und politische Stabilität untergraben wollen. Auch staatliche Websites wie die der Social Security Administration sind Ziel betrügerischer Angriffe, die weitreichende Folgen für einen großen Teil der alternden und gefährdeten Bevölkerung haben können. Um das Risiko von Verstößen und daraus resultierenden katastrophalen Schäden für die Öffentlichkeit zu begrenzen, wurden Software-Sicherheitslösungen entwickelt.
Schwierigkeiten zu Hause
Bundes- und Landesdatenschutzgesetze stellen aus regulatorischer und Compliance-Sicht ein zusätzliches Risiko für Kliniker dar. Datenschutzverletzungen führen häufig zu Beschwerden bei staatlichen Aufsichts- und Zulassungsbehörden, darunter dem Office for Civil Rights, und mögliche Untersuchungen führen anschließend zu Geldbußen, Sanktionen und entsprechenden Verwaltungsstrafen. Das Weiße Haus selbst leitete im Frühjahr 2024 eine Untersuchung ein, nachdem Change Healthcare angegriffen worden war und die Daten von Millionen Amerikanern offengelegt wurden. Eine unbeabsichtigte Offenlegung kann auch zu negativer Publizität in den sozialen Medien führen, was den beruflichen Ruf einzelner oder institutioneller Anbieter schädigen und damit die Fähigkeit der Kliniker beeinträchtigen kann, ihre Praxis zu betreiben und sogar ihren Lebensunterhalt zu verdienen.
Zu den Begleitschäden – und oft unerwartet – können Einschränkungen oder der vollständige Verlust von Aufnahme- und Operationsprivilegien in einer medizinischen Einrichtung oder der Ausschluss aus Drittzahlernetzwerken, einschließlich CMS, gehören. Ohne eine vorausschauende Strategie kann die Lösung dieser schlimmen Folgen Jahre schrittweiser Anpassungen sowie erhebliche finanzielle Ausgaben erfordern.
KI für Freund und Feind
Eine Vielzahl von KI-Anwendungen kann die Verwaltungseffizienz verbessern und potenzielle Personalprobleme identifizieren. Allerdings können Tools, die klinische Empfehlungen abgeben sollen, derzeit problematisch sein, da in der Software unerkannte Verzerrungen oder technische Betriebsfehler auftreten können. Und die sich schnell entwickelnden Technologien der künstlichen Intelligenz, auch als erweiterte Intelligenz bezeichnet, verkomplizieren die Landschaft der Cybersicherheit noch weiter.
KI-Anwendungen bergen das Potenzial, die Cybersicherheitsrisiken im Gesundheitswesen aus mehreren Richtungen zu erhöhen:
Risiko, dass eine KI-Anwendung gehackt wird: Menschliche Kontrolle, Überwachung und ständige Wachsamkeit sind für die Integration von KI-gestützten Tools in das Gesundheitswesen von entscheidender Bedeutung. Das Risiko externer Sicherheitsverletzungen verstärkt diese Besorgnis nur, da böswillige Akteure die Qualität der erbrachten Versorgung beeinträchtigen und so das Risiko ungünstiger Ergebnisse erhöhen können. Eine Sicherheitsverletzung könnte auch zu unvorhersehbarem Ausmaß zivilrechtlicher Haftung für Ärzte und Organisationen führen. Besorgniserregend ist, dass KI-Tools leichter gehackt werden können als andere Technologien, und es besteht ein höheres Risiko, dass Angriffe unentdeckt bleiben. Risiko, dass eine KI-Anwendung von Hackern verwendet wird: So wie KI-gestützte Tools im Gesundheitswesen verwendet werden können, können sie auch für Angriffe auf das Gesundheitswesen verwendet werden: ChatGPT beispielsweise ist mehr als in der Lage, Muster-Phishing-E-Mails zu generieren, die überzeugender sind als viele, die Cyberkriminelle selbst erstellt haben.
Der präventive Einsatz von KI-Anwendungen ohne sorgfältige Evaluierung und Implementierung kann riskant sein und potenziell gefährliche unbeabsichtigte und unvorhergesehene Folgen haben, die wiederum eine optimale Patientenversorgung behindern oder untergraben können. Die Gesundheitsgemeinschaft wird dringend dazu angehalten, bei jedem Schritt des Prozesses die verschiedenen Schutzmaßnahmen, die alle relevanten Aspekte der Informationstechnologie und der elektronischen Sicherheitsmaßnahmen bieten, sorgfältig anzuwenden und zu integrieren.
Strategien zur Minderung von Cybersicherheitsrisiken
Gesundheitsorganisationen sollten proaktiv mit Experten in den entsprechenden Bereichen zusammenarbeiten, um potenzielle Cybersicherheitsrisiken zu erkennen und zu mindern. Angehörige der Gesundheitsberufe können:
Risikofaktoren identifizieren: Experten für Gebäudeschäden und Cybersicherheit können die Arten von Umständen identifizieren, die zu wirtschaftlichen Schäden oder anderen, weniger bekannten Arten von Schäden für den Praxisbetrieb führen können. Die genaue Art dieser Schäden variiert je nach Geschäftsmodell, aber zu den möglichen negativen Ereignissen gehören solche im Zusammenhang mit zivilrechtlicher Haftung, Vertragsverletzungen und Verwaltungsbeschwerden bei staatlichen Aufsichtsbehörden, die zu Verwaltungsuntersuchungen führen können, sowie äußerst schädliche und oft diffamierende Social-Media-Postings, die möglicherweise den Ruf und die anhaltende finanzielle Stabilität der Praxis oder Institution schädigen können. Koordinieren Sie sich mit Versicherungsfachleuten: Agenten und Makler, die auf Gesundheitsleistung und Cybersicherheitsprobleme spezialisiert sind, können die Arten des erforderlichen Schutzes bestimmen, um wahrscheinliche Risiken zu bewältigen. Praktiker können sich mit diesen Versicherungsfachleuten abstimmen, um eine Risikobewertung durchzuführen, die Einschätzungen der Gefährdung aus zahlreichen Quellen umfasst, wie z. B. Ansprüche aus ärztlicher Kunstfehlerhaftung, allgemeine Gebäudehaftung, Unternehmensfehler und -unterlassungen, Arbeitnehmerentschädigung und Cybersicherheit. Darüber hinaus sollen entsprechende Absicherungen vor Komplikationen schützen, die die Fähigkeit eines Arztes beeinträchtigen könnten, weiterhin ungehindert von Verwaltungsbeschränkungen oder Geldstrafen als Arzt oder Zahnarzt zu praktizieren. Die Entwicklung einer umfassenden Risikobewertung vor dem Eintreten einer Krise ist entscheidend, um im Falle eines unvorhergesehenen unerwünschten Ereignisses die Kontinuität der professionellen Dienstleistungen und die Betriebsintegrität sicherzustellen. Abstimmung mit Geschäftspartnern: Gesundheitsdienstleister können in enger Zusammenarbeit mit ihren Versicherungsträgern mit Geschäftspartnern Richtlinien und Verfahren zur Bewertung und Bewältigung von Risiken entwickeln. Eine proaktive Analyse kann der Organisation dabei helfen, ihre Bemühungen auf die Umsetzung bewährter Verfahren auszurichten und gleichzeitig den geltenden Gemeinschaftsstandards zu entsprechen, die sich im Laufe der Zeit weiterentwickeln. Ärzte und ihre Praxismanagementteams sollten routinemäßige regelmäßige Prüfungen der Praxisrichtlinien durchführen, um sicherzustellen, dass die Praxisprotokolle einheitlich angewendet, in regelmäßigen Abständen aktualisiert werden, um den sich entwickelnden Standards zu entsprechen, und ordnungsgemäß und rechtzeitig in Verwaltungsakten dokumentiert werden. Eine solche Dokumentation stellt sicher, dass die Einrichtung mit kompetenten und überzeugenden Beweisen nachweisen kann, dass die gebotene Sorgfalt zum Schutz von Patienten und Geschäftspartnern angewendet wurde, falls eine Sicherheitsverletzung zu zivil- oder verwaltungsrechtlichen Verfahren führt, in denen Schadensersatz oder andere institutionelle Sanktionen gefordert werden. Durch die Befolgung einer solchen Strategie verringert sich die Wahrscheinlichkeit, dass das Unternehmen durch bestehende oder noch unbekannte potenzielle Bedrohungen Schaden nimmt, und gleichzeitig wird die Qualität der Transaktionseffizienz verbessert.
Obwohl das US-Gesundheitssystem bekanntermaßen fragmentiert ist, sind die einzelnen Einheiten miteinander verbunden. Wenn eine Organisation verwundbar ist, kann sie unbeabsichtigt Angriffen auf andere Tür und Tor öffnen. Ebenso schützt jede Einheit, die über starke Cyber-Schutzmaßnahmen verfügt, sich selbst und ihre Partnerorganisationen und damit auch die Integrität des gesamten US-Gesundheitssystems.
Foto: boonchai wedmakawand, Getty Images
Rich Cahill ist derzeit Vizepräsident und stellvertretender Rechtsberater bei The Doctors Company und bietet den Schadens- und Patientensicherheitsabteilungen juristische Unterstützung, überwacht Berufungsverfahren des Unternehmens und hält regelmäßig Vorträge zu Themen im Zusammenhang mit der Gesundheitsfürsorge.
Herr Cahill erhielt 1975 seinen Bachelor-Abschluss (summa cum laude) von der UCLA und seinen Juris Doctor von der Notre Dame Law School. Zu Beginn seiner Karriere war er stellvertretender Bezirksstaatsanwalt in Kalifornien und wurde anschließend als Anwalt in den Central Legal Staff des Obersten Gerichtshofs von Nevada berufen, bevor er sich in Kalifornien als Anwalt niederließ.
Herr Cahill hat sich 39 Jahre lang auf verschiedene Aspekte von Rechtsstreitigkeiten im Gesundheitswesen spezialisiert, darunter die Verteidigung von Berufshaftpflichtansprüchen von Krankenhäusern und Ärzten, Streitigkeiten um Managed-Care-Verträge, Fragen zu Netzwerkprivilegien und damit verbundene Wirtschaftsdelikte. Er hat über 185 Prozesse und verbindliche Schiedsverfahren mit einer Gesamtgewinnquote von 92 % abgeschlossen. Er hat eine hervorragende Bewertung bei Martindale-Hubbell, dem führenden Peer-Review-Anwaltsbewertungsdienst in den Vereinigten Staaten.
Dieser Beitrag erscheint im Rahmen des MedCity Influencers-Programms. Über MedCity Influencers kann jeder seine Sichtweise zu Wirtschaft und Innovation im Gesundheitswesen auf MedCity News veröffentlichen. Klicken Sie hier, um zu erfahren, wie.
