Table of Contents

التحدي المتنامي في بيانات الأجهزة في مجال الصحة والخدمات البشرية

وقد أدى رقمنة الخدمات الصحية والبشرية إلى تحقيق كفاءة غير مسبوقة، وإلى ملاءمة، وإلى الحصول على الرعاية، كما أن أجهزة تتبع اللياقة البدنية، ومراقبي الغلوكوز المستمرين، وأجهزة الاستنشاق الذكية، وبرامج الصحة عن بعد، ومجموعة واسعة من أجهزة التأمين الطبي تولد مجموعة من البيانات التي لا يمكن الرجوع عنها، ولا تثري هذه البيانات إلا مع وجود أنماط تعريفية من جانب أصحاب العمل الذين يتمتعون بالحماية الصحية.

ولم تعد إدارة البيانات الفعالة للأجهزة مهمة اختيارية لتكنولوجيا المعلومات بل هي ضرورة تشغيلية واستراتيجية أساسية، ويجب على المنظمات أن تعتمد نهجا متعدد المستويات يمتد إلى الضوابط التقنية، وهياكل الإدارة، والتدريب على القوة العاملة، والرقابة الصارمة على البائعين، وتتيح هذه المادة استكشافا متعمقا لأفضل الممارسات الرامية إلى حماية خصوصية البيانات وأمن الأجهزة عبر النظام الإيكولوجي لنظام الخدمات الصحية البشرية، ويمكن للوكالات، من خلال تنفيذ هذه الممارسات، أن تفي بالالتزامات القانونية، والحد من مخاطر الإخلال، وبناء أساس من الثقة مع السكان الذين تخدمهم.

المبادئ الأساسية لخصوصية البيانات النثرية

فالخصوصية هي في جوهرها احترام حق الفرد في مراقبة معلوماته الشخصية، وهذا يعني في سياقات الصحة البشرية ضمان جمع البيانات عن الأجهزة واستخدامها وتقاسمها فقط لأغراض مشروعة وشفافة بموافقة مستنيرة، وتشكل المبادئ التالية حجر الزاوية للنهج الأول الخاص.

تقليل البيانات: جمع فقط ما هو أساسي

ولا يمكن أن تكون حماية الخصوصية أكثر فعالية هي جمع البيانات في المقام الأول، بل إن تطبيق البيانات إلى أدنى حد ممكن: لا يحتاج برنامج رصد المرضى عن بعد للضغط الفائق إلى موقع مستمر من النظام العالمي لتحديد المواقع إذا كان مطلوبا فقط، كما أن جهاز الصحة العقلية ينبغي ألا يطلع على قائمة الاتصال أو الكاميرا إلا إذا كان مطلوبا صراحة لأداء وظيفة علاجية، ويقلل تطبيق جدول البيانات من سطح الهجوم، ويحد من المسؤولية، ويضع سجلات للاحتفاظ بالأعلام.

الشفافية والموافقة على السلع الأساسية

ويجب أن يُطلع الأفراد بوضوح على ما يتم جمعه من بيانات عن الأجهزة وكيفية استخدامها، مع من يمكن تقاسمها، وعلى مدى المدة التي ستُحتفظ بها، وينبغي أن تكون الموافقة على الموافقة غير العادية، أو اختيارية بالتقصير، وأن تكون قابلة لإعادة إحياء في أي وقت، وعلى سبيل المثال، ينبغي أن يكون بوسع العميل الذي يستخدم منصة العلاج الرقمي الموافقة على تقاسم بيانات تتبع الأعراض مع فريق الرعاية التابع له، ولكن ينبغي أن يخفض صراحة تبادل البيانات المتعلقة بالدل على استخدام البيانات المميزة.

إزالة الهوية وإخفاء الأسماء

(ب) إذا أمكن، فإن بيانات أجهزة التعري أو التجميع لمنع إعادة تحديد الهوية، وما زالت مجموعات البيانات المشهورة تدعم تحليلات صحة السكان، وتقييم البرامج، ومراقبة الصحة العامة دون تعريض خصوصية الفرد، وتشمل التقنيات إزالة محددات الهوية المباشرة (الأسماء، والشبكة، والتعرف على هوية الأجهزة)، وتعميم التواريخ والمواقع (مثلاً، السنة فقط، مدونات الزب بدلاً من العنوان الكامل).

مراجعة الحسابات وتقييمات الأثر المنتظمة

إجراء تقييمات لأثر الخصوصية لكل مبادرة جديدة من مبادرات البيانات المتعلقة بالأجهزة، بما في ذلك عمليات الطيارين وتكامل البائعين، ويحدد تقييم المخاطر المحتملة المتعلقة بالخصوصية، ويقيّم الامتثال للقوانين السارية، وتدابير التخفيف من الوثائق، ويُجري مراجعات داخلية سنوية للحسابات ويُشرك خبراء مستقلين في الخصوصية من أطراف ثالثة لاستعراض ممارسات مناولة البيانات، ويحتفظ بسجل للمخاطر يتتبع النتائج، وإجراءات الإصلاح، والأطراف المسؤولة.

الضوابط الأمنية التقنية للبيانات النثرية

والتدابير الأمنية هي النظير التقني لسياسات الخصوصية، فهي تمنع الوصول غير المأذون به، وتضمن سلامة البيانات، وتحافظ على توافر النظم الحيوية، ونظرا لحساسية بيانات الصحة البشرية، فإن استراتيجية الدفاع المتعمق ضرورية.

تشفير قوي في كل مكان

:: استخدام نظام AES-256 للبيانات في نظام الاستراحة ورقم 1-3 للبيانات في مجال النقل العابر، كما أن الأجهزة الصحية المتنقلة، تطبق التشفير النهائي حتى لا يستطيع مقدم الخدمة قراءة المحتوى، كما أن مفاتيح التشفير التي تستخدمها الإدارة السحابية المشفرة للبيانات (أجهزة الأمن التشغيلي المشفرة) هي أيضاً من أجل الأجهزة التي تعمل على إعادة تصميمها، وهي تعمل على ضمان عدم قدرة مقدِّم خدمات التخزين الاحتياطية التي تستخدمها الأجهزة الآلية.

صفر - صفر - صفر - مراقبة الدخول

(ج) اعتماد هيكل لا يثق فيه أي مستخدم أو جهاز أو شبكة، بغض النظر عن موقعها، وتنفيذ نظام مراقبة الدخول القائم على أساس الأدوار، مع مبدأ أقل الامتيازات، واستخدام نظام التوثيق المتعدد الأطراف لجميع النظم، ولا سيما بالنسبة للمستعملين المميزين والعمال عن بعد، مع نشر جهاز واحد من أجهزة تحديد الهوية، وذلك لتبسيط إدارة المستخدمين مع الاحتفاظ بسجلات التحقق فيما بعد.

التخزين الآمن والهياكل الأساسية

(ب) بيانات الأجهزة المسروقة في بيئات متوافقة ومرنة - بالنسبة للخدمات السحابية، اختيار مقدمي الخدمات من الفئة الثانية من المرفقات، أو من النوع الثاني من التصنيفات الموحدة، أو شهادات الاعتماد من جانب اتحاد الأعمال الحرة، وضمان وجود اتفاق مبرم مع شركة تجارية شريكة، واستخدام أدوات منع فقدان البيانات لرصد وحجب عمليات نقل البيانات غير المأذون بها، بما في ذلك البريد الإلكتروني، والكميات السحابية، وأجهزة المسح الضوئي.

التخطيط الشامل لمواجهة الحوادث

ويجب أن تكون لدى كل منظمة من منظمات الصحة البشرية خطة موثقة للاستجابة للحوادث مصممة خصيصاً لتتميزها مع خروقات البيانات المتعلقة بالأجهزة، وينبغي أن تشمل الخطة الكشف (نظم الكشف عن الدخول، والمعلومات الأمنية وإدارة الأحداث)، والمحللين السلوكيين، والاحتواء (توحيد الأجهزة المهددة، والحسابات المعطلة)، والإبادة (تجديد المواسير، وكشف البيانات عن البيانات عن البيانات)

تفعيل الخصوصية والأمن من خلال السياسات والتدريب

فالتكنولوجيا وحدها لا يمكن أن تضمن حماية البيانات، فالأهمال والتلف والخطأ والتهديدات الداخلية هي السبب الرئيسي لحوادث البيانات، والسياسات القوية والحوكمة والتعليم المستمر للقوة العاملة هي أمور حيوية.

وضع إطار لإدارة البيانات

إنشاء هيكل رسمي للحوكمة يحدد الأدوار والمسؤوليات المتعلقة ببيانات الأجهزة، وتعيين مرشد للبيانات لكل مجال من مجالات البيانات الرئيسية (مثل الأجهزة السريرية، والملابس، والملابس الإدارية، والموظف المعين للخصوصية، والقيادة الأمنية، ووضع سياسة لتصنيف البيانات تصنف البيانات في مجموعات من المستويات (مثلا، عامة، داخلية، سرية، مقيدة) وتضع قواعد تنظيمية لكل فئة من فئات السياسات الإدارية.

التدريب المستمر للتوعية الأمنية

تدريب جميع الموظفين - من المستوصفين والأخصائيين الاجتماعيين على دعم تكنولوجيا المعلومات، والموظفين الإداريين، والمسؤولين التنفيذيين - على خصوصية البيانات وأفضل الممارسات الأمنية، وتغطي مواضيع مثل الكشف عن المواد الاصطناعية، والنظافة الصحية لكلمات السر، وحساسية البيانات المتعلقة بالمسح الأحيائي، والتصرف السليم في الأجهزة الملغومة (مسح الآمن أو التدمير المادي)، وإجراءات الإبلاغ عن معدلات فقدان الأجهزة أو سرقتها، واستخدام سيناريوهات التدريب الحقيقي، ونماذج مصممة لزيادة المشاركة في كل ستة أشهر.

إدارة المخاطر في البائعين وأطراف ثالثة

وتعتمد منظمات كثيرة من منظمات خدمات الصحة البشرية على شركات تصنيع الأجهزة، ومقدمي البرامجيات حسب الخدمة، ومنابر السحب، ومتعاقدي تحليل البيانات، وتبذل العناية الواجبة قبل دخول أي طرف ثالث يتولى معالجة البيانات المتعلقة بالأجهزة، وتلتمس أدلة على شهادات أمنية (هيدروست، أو 2، أو إيزو 27001)، وتُجري مراجعات في الموقع حيثما أمكن، وتتضمن بنودا قوية تتعلق بحماية البيانات في العقود (مثلا، وخرق العقود).

الأمن المادي للأدوات

وتتوقف خصوصية البيانات على المراقبة المادية للمعدات، وتتأكد من تخزين الحواسيب المحمولة والأقراص والهواتف الذكية والأجهزة الطبية في خزانات مغلقة أو في محطات آمنة للحجز عند عدم استخدامها، واستخدام تتبع الأصول (المكتب الدولي لإدارة المخدرات، ومسح الشوك) لتحديد الأجهزة، وإنفاذ قدرات إعادة التدوير عن بعد بالنسبة للمستشعرات التي يتم نشرها في الميدان (مثلا، زجاجات سحب الذكية، ومراقبات البيئة)

الاعتبارات التنظيمية والأخلاقية الملاحية

والمشهد القانوني للبيانات المتعلقة بالأجهزة في نظام HHS معقد وسريع التطور، وفيما عدا برنامج العمل الإنساني الدولي، يجب على المنظمات أن تلغي قوانين خصوصية الدولة، واللوائح الخاصة بقطاعات محددة، والمبادئ التوجيهية الأخلاقية الناشئة.

HIPA and Other Federal Regulations

ويجب على الكيانات المشمولة والجهات الشريكة في الأعمال أن تكفل حماية البيانات المتعلقة بالأجهزة التي تحتوي على معلومات عن المواد الخطرة بموجب قواعد السرية والأمن الخاصة بالوكالة، مما يتطلب إجراء تحليلات شاملة للمخاطر، وتنفيذ الضمانات الإدارية والفيزيائية والتقنية، وحفظ وثائق واسعة النطاق، كما أن لجنة التجارة الاتحادية، فيما يتعلق بالتقديمات الصحية المتنقلة، تقوم أيضاً بإنفاذ توقعات أمن البيانات ويمكنها أن تتخذ إجراءات بشأن الممارسات غير العادلة أو الخداعية.

قوانين الدولة المتعلقة بخصوصية الأشخاص والمسائل عبر نطاق الولاية

وتفرض قوانين الدولة، مثل قانون كاليفورنيا لخصوصية المستهلك وقانون نيويورك الخاص بهلد، التزامات إضافية تشمل توسيع نطاق تعريف المعلومات الشخصية، والجداول الزمنية لإخطار الإخلال، وحقوق العمل الخاصة، وعندما تعبر البيانات عن الأجهزة الحدود بين الدولة أو الحدود الوطنية، يصبح الامتثال أكثر تعقيدا، وتحتاج بعض الدول إلى موافقة صريحة على نقل البيانات إلى الولايات القضائية ذات الحماية الأضعف، وفيما يتعلق بتدفقات البيانات الدولية، ضمان الامتثال لوثائق الناتج المحلي الإجمالي، أو الناتج المحلي الإجمالي، أو عمليات حفظ البيانات، أو غيرها من خلال عمليات حفظ البيانات.

الاستخدام الأخلاقي للبيانات النبضية: AI و Vulnerable Populations

وتلجأ منظمات الصحة البشرية بصورة متزايدة إلى استخدام بيانات الأجهزة للتحليلات التنبؤية والاستخبارات الاصطناعية والتعلم الآلي والتدخلات الشخصية، وفي حين أن هذه التكنولوجيات تتيح فوائد هائلة - الكشف المبكر عن التدهور، وخطط العلاج المصممة خصيصا، وتعظيم الموارد - وهي تضاعف أيضاً من خصوصيات الناس ومخاطرهم الأخلاقية، كما يمكن أن تنشئ مجلساً لاستعراض الأخلاقيات لتقييم حالات الاستخدام الجديدة، ولا سيما الحالات التي تنطوي على فئات ضعيفة من قبيل الأطفال، والأشخاص المسنين، والأشخاص ذوي الإعاقة، أو الذين يعانون من مبادئ الرقابة على صحة عقلية.

النظر إلى الرأس: الإعداد للتهديدات المستقبلية

إن الصورة العامة للبيانات المتعلقة بالأجهزة دينامية، إذ أن التكنولوجيات الجديدة مثل 5G، والحوسبة الحافة، والاستخبارات الاصطناعية، والحساب الكمي ستتيح فرصا وتحديات غير مسبوقة على السواء، ويجب على المنظمات أن تعتمد عقلية تحسين مستمرة للبقاء في مأزق التهديدات المتطورة.

إدارة أمن آيوت و إيو إم تي في سكال

ويوسع انتشار أجهزة " إنترنت " للأشياء الطبية بشكل كبير سطح الهجوم، إذ يفتقر العديد من الأجهزة الطبية إلى السمات الأمنية القائمة، وينفذ نظم التشغيل التي لا يمكن معالجتها بسهولة، وينفذ أدوات قوية لاكتشاف الأجهزة وجردها للحفاظ على قائمة الأصول في الوقت الحقيقي، ويستخدم تقسيم الشبكة لعزل حركة النقل عبر الإنترنت عن النظم الطبية والإدارية الأساسية، وينشئ عملية رسمية لإدارة التصحيح، بما في ذلك وضع ضوابط على الأجهزة الافتراضية(ز)

بناء ثقافة الأمن والخصوصية

وفي نهاية المطاف، فإن أقوى حماية هي قوة عاملة تستوعب حماية البيانات باعتبارها قيمة أساسية، وتشجع على الإبلاغ الصريح عن الحوادث المحتملة دون خوف من العقاب، وتحتفل ببطولة الخصوصية وتدمج القياسات الأمنية في استعراضات الأداء وسجلات الأداء في الإدارات، وتعزز التعاون بين أفرقة تكنولوجيا المعلومات، والأفرقة القانونية والعيادية، والأفرقة البرنامجية لضمان أن تكون خصوصية وأمنية في كل قرار تنفيذي.

خاتمة

وتتطلب معالجة البيانات المتعلقة بالأجهزة في مجال الصحة والخدمات البشرية نهجاً شاملاً ومبدئياً يوازن بين الابتكار والحماية الصارمة، ومن خلال دمج البيانات إلى أدنى حد، والتشفير، والضوابط القوية للوصول، والتدريب المستمر، والاستجابة للحوادث الاستباقية، يمكن للمنظمات أن تحافظ على المعلومات الحساسة للأفراد الذين تخدمهم، وبما أن المتطلبات التنظيمية تشدد وتتطور التهديدات الإلكترونية، فإن هذه الممارسات الفضلى ستظل أساسية للحفاظ على الثقة وضمان قدرة وكالات الرعاية الصحية البشرية على الوفاء بمهم على الخصوصية وعلى نحو فعال وأخلاقي.

ولمزيد من المعلومات، استكشاف الموارد الخارجية التالية: