Dyman Associates Risk Management - 5 Tipps Für Die Verwaltung Von Drittanbieter-Risiko



Daten-Sharing ist eine unvermeidliche Aspekt des Geschäfts im Gesundheitswesen. Der schwierige Teil ist, dass wir nicht ganz die Sicherheit unserer Daten zu kontrollieren, sobald es in die Hände von Drittanbietern.

 

Trotz der Risiken und Schwachstellen der Austausch von Informationen, erscheinen einige Organisationen im Gesundheitswesen, eine eher glanzlosen Ansatz für Drittanbieter-Risikomanagement getroffen haben. Die Top-Ergebnisse der 2014 Vendor Risk Management Benchmark-Studie des Beratungsunternehmens Protiviti (Disclosure: gemeinsame Bewertungen auch bei der Erstellung der Studie beteiligt) zeigen, dass die aktuelle Risikomanagementpraktiken von Drittanbietern branchenübergreifenden - vor allem Versicherungen und Gesundheitswesen - anfällig und wenig sind Governance, Richtlinien, Standards und Verfahren

 

Betroffenen Einrichtungen nicht mehr leisten können, um Drittanbieter-Risikomanagement in den Wind schlagen. Datenschutzverletzungen sind gegeben, und ihre Auswirkungen im Gesundheits Ökosystem zu spüren. Betrachten wir nur einen Zwischenfall - die Community Health Systems Verletzung, die 4,5 Millionen Patienten in seiner 206-Klinikgruppe betroffen - und Sie erhalten eine Perspektive auf die Tragweite des Problems zu haben.

 

Zu helfen, Gesundheitsorganisationen gewinnen ein gewisses Maß an Kontrolle über die Sicherheit ihrer Daten, bieten wir die folgenden fünf Strategien:

 

1. Verstehen Sie die laufende, umfassende Natur der Drittanbieter-Risikomanagement. Bewertung und Steuerung der Lieferantenrisiko ist nicht ein "einmal und getan" Aufwand, aber ein fortlaufender Prozess für Fremd Risiko in jeder Phase des Lebenszyklus der Drittanbieter-Beziehung, von der On-Boarding, um die laufende Überwachung, um Strategien zu verlassen. Ältere Programme sollten eine föderierte Ansatz, der alle Teile einer Organisation, die eine Rolle in der Dritten Risikomanagement spielen zusammen bringt nehmen, um einen ganzheitlichen Ansatz zur Risikosicherung Verkäufer zu fahren.

 

2. Wissen Sie, wo Ihre Daten. Nach Informationen liegt in den Händen von Geschäftspartnern und Zulieferern, neigen betroffenen Einrichtungen zu verfolgen, wo es ist und wie es verwendet wird verlieren. Sie können eine allgemeine Vorstellung - medizinischen Ansprüche Prozessoren haben Zugriff auf CPT-Codes, zum Beispiel -, aber sie das Sicherheitsumfeld, in dem diese Ansprüche verarbeitet werden das wissen? Welche Mitarbeiter haben Zugriff auf die Daten auf der Ansprüche Prozessor und kann sie zugreifen PHI Ferne, oder von ihren mobilen Geräten? Organisationen im Gesundheitswesen sollten zu verfolgen und den Datenfluss im gesamten Ökosystem zu verwalten - mit anderen Worten, behandeln sie wie der Vermögens es ist.

 

3. Erkennen Sie es in Ihrer Verantwortung, zu lehren Geschäftspartner ihrer Verantwortung. Unter der HIPAA Final Rule, Geschäftspartner - nicht betroffenen Einrichtungen - sind für die Einhaltung zuständigen Sicherheitsregel. Sie sind auch für die Sicherheit ihrer Subunternehmer verantwortlich. Aber betroffenen Einrichtungen sollten nicht ruhig schlafen. Nur rezitieren entsprechenden Regulierungs Sprache in Business Associate Verträge ist keine Garantie, dass korrekte Sicherheitskontrollen an Ort und Stelle gebracht werden. Geschäftspartner sind berüchtigt für Sicherheitslücken; in der Tat sind einige Geschäftspartner nicht über ihre Stellung als solche. Bewährte Risikomanagementpraktiken mit den betroffenen Einrichtungen zu starten und filtern nach unten.

 

Was mehr ist, sind die Kombination von Datenpannen Vorkommen, Geschäftsführer von Drittanbietern Risiken und regulatorischen Kontrolle erhöht die Haftung und Verantwortung von Organisationen. Mit Datenpanne Cyber drohenden und so viel auf dem Spiel, ist die Beweislast auf die Unternehmen - vor allem im Gesundheitswesen, Einzelhandel und Finanzbranche - ihre Drittanbieter-Programme Risiko in Form zu bringen.

 

4. Nehmen Sie einen risikobasierten Ansatz, nicht eine Compliance-basierte eins. Die Anzahl der Vorschriften über PHI verwirrt den Verstand. Es ist kein Wunder, dass Gesundheitsorganisationen neigen dazu, auf Konformität ausge sein. Aber Compliance ist keine Versicherung gegen Risiken, und in der Tat, sollten Regelungen der Boden sein - nicht die Decke - für die Verwaltung von Drittanbieter-Risiko (oder jedes Risiko, für diese Angelegenheit).

 

Die Finanzdienstleistungsbranche ist ein ideales Beispiel für einen risikobasierten Ansatz. Finanzinstitute in Frage zu stellen, wie man am besten schützen ihre Kunden, nicht nur ihre Privatsphäre und Sicherheit Bemühungen von Vorschriften anzugleichen. Überlegen Sie, wie Krankenhäuser verfügen über Nadeln oder anderen gefährlichen Abfällen. Es ist alles über das Halten Patienten sicher.

 

5. Behandeln Sie die Krankheit, nicht die Symptome. Wenn Daten gefährdet ist, den ersten Schritt - und oft die einzige Bewegung - ist um es zu sichern. Zukunftsorientierte Organisationen im Gesundheitswesen noch nicht alles. Sie ermitteln, warum das Leck passiert in den ersten Platz; Mit anderen Worten, führen sie eine Ursachenanalyse. Sie bestimmen:

 

ein. Sind die richtigen Strategien und Verfahren an Ort und Stelle?

b. Müssen Mitarbeiter die folgenden Richtlinien und Verfahren?

c. Haben Mitglieder Belegschaft geschult, und ist eine solche Ausbildung Strom - das heißt, aktualisiert und vom Management genehmigt?

 

Der Schlüssel zur Risikokontrolle

Schließlich sollten Gesundheitsorganisationen ihre Risikomanagement -Richtlinien und Verfahren zu dokumentieren. Dokumentation muss nicht entmutigend sein - einfach schreiben, was Ihr Job mit sich bringt, und haben eine unabhängige Partei überprüfen es. Dies hilft Organisationen Lücken und Zukunftssicherheit Zwischenfälle zu vermeiden.

 

Der beste Weg, um eine Verletzung zu verhindern, ist ein robustes Programm zu beurteilen, wie Ihre Lieferanten sind die Verwaltung von Daten Risiken haben. Das ist die einzige Kontrolle, die Sie haben. Diese fünf Strategien können helfen, Beschaffungsstellen, behalten Sie die Kontrolle von Daten, sei es innerhalb der Firewall oder in den Händen von Geschäftspartnern und Zulieferern.