quale sarebbe un buon modo per un medico di inviare xray crittografati a un altro medico?

Se vuoi utilizzare le e-mail, allora vuoi le e-mail crittografate. Esistono due soluzioni canoniche: S / MIME e OpenPGP . Il primo è già supportato da molte applicazioni di posta elettronica e utilizza i certificati X.509. Quest'ultimo richiede alcuni add-on, che esistono per molte applicazioni e non sono troppo difficili da usare.

Ma vuoi usare le email? Le immagini a raggi X sono spesso ingombranti e le e-mail non sono affidabili come si vorrebbe; in particolare, i file si trovano in qualsiasi server di posta elettronica utilizzato dai medici, quindi avranno backup o mancano backup, a seconda della configurazione di ciascun server. Inoltre, non ci sarà alcuna classificazione o indice di cui parlare. Ultimo ma non meno importante, la diffusione dei dati medici, che è considerata riservata, dovrebbe essere controllata e verificabile. Ci sono molti dettagli legali di cui occuparsi.

I paesi che stanno attualmente cercando di configurare sistemi e reti per la gestione dei dati medici e la condivisione tra i medici coinvolti (ma nessun altro!) stanno scoprendo che è un lavoro duro e richiede un sacco di pensiero e procedure. Nella mia esperienza, sono preferite le architetture centralizzate (cioè le immagini dei raggi X saranno archiviate in un database centrale, con controllo degli accessi usando le smartcard), piuttosto che le e-mail.

L'invio di informazioni sanitarie come questa è molto difficile, dal momento che devi rispettare le leggi sulla sicurezza e la privacy della sanità nel tuo paese (HIPAA in America). Potresti essere in grado di utilizzare qualcosa come PGP per crittografare le e-mail e questo potrebbe essere legalmente valido (non sono però un avvocato). La crittografia implementata tramite PGP avrebbe un supporto abbastanza buono nei client di posta elettronica, quindi dovrebbe funzionare per la maggior parte dei luoghi in cui si desidera condividere i dati. Tuttavia, questa è una soluzione molto difficile da usare. Sarei molto meglio non dover inviare email a PHI in questo modo. Devi ancora preoccuparti di controllare l'accesso ai dati e il controllo di accesso appropriato.

Ciò di cui hai veramente bisogno è un software che possa consentire la collaborazione tra due operatori sanitari. Ciò darebbe alla tua organizzazione molto più potere di quello che hai attualmente. Questo software gestirà quindi la comunicazione sicura tra le due pratiche di assistenza sanitaria. Ti permetterebbe anche di condividere questi dati in un modo molto più semplice e basato su standard.

Come nota a margine, ho avviato una proposta di scambio di stack Healthcare Industry dove questo la domanda sarebbe perfetta Coloro che sono interessati a domande come questa dovrebbero prendere in considerazione l'adesione.

Il grande ospedale (~ 10000 dipendenti) al quale lavoro (anche se non come medico, nonostante il nome utente) ha un'applicazione web di trasferimento file sicura che usiamo per questo spinoso problema.

Il flusso di lavoro funziona con il medico che invia il collegamento

Accedi con le credenziali del tuo ospedale e carica i file e specifica uno o più destinatari e eventualmente aggiungi un messaggio. I file vengono archiviati crittografati all'interno dell'applicazione Web.

Ricevono un'email dicendo che la persona A ha trasferito i file da examplehospital.org , fare clic sul link qui. Se sono un nuovo utente, creano un account. Ricevono un token di registrazione di breve durata via e-mail, fanno clic su di esso e quindi possono impostare una password. Ora sono connessi all'applicazione e possono scaricare le loro immagini su https (crittografate).

Allo stesso modo, un medico di un'altra istituzione può inviarti una PHI crittografata creando un account che acceda, caricando un'immagine e inviandola a un medico della tua istituzione. (Tuttavia, il mittente o il destinatario deve essere presso il proprio istituto).

L'ospedale non ha creato questo servizio da soli; il logo in basso indica che è fatto per accellion e ci sono probabilmente molti prodotti concorrenti simili. (Non ho familiarità con il costo / la facilità di installazione / manutenzione, oltre che da un punto di vista dell'utente è relativamente semplice da usare, ma è necessario prestare attenzione a inviare PHI a account e-mail compromessi). Ma prodotti come questo esistono e funzionano bene; Cerco qualcosa come 'secure file transfer hipaa'.

EDIT: dovrei chiarire, questo non dovrebbe essere usato per i trasferimenti di file di routine; ma solo i tipi di file che potresti ritenere necessario inviare per e-mail (ad es., per il paziente che si trasferisce in una clinica remota con cui non hai mai lavorato in precedenza). Per casi di routine, è necessario impostare un flusso di lavoro in cui alcuni medici / pazienti delle relative istituzioni possano trasferire le immagini a PACS remoti in modo conveniente.

Non posso darti consigli sui prodotti, ma se stavo progettando un software per supportare questo tipo di collaborazione, un'opzione che prenderei in considerazione è di farlo come un servizio web: qualcosa in cui puoi accedere a un sito web, caricare i file e lasciare che l'altro medico scarichi i file. Ciò eliminerebbe la necessità di software speciali. D'altra parte, se i file sono molto grandi, il tempo per caricarli e scaricarli potrebbe essere proibitivo.

Ho l'impressione superficiale che in questo momento si faccia tipicamente masterizzando i file su un DVD e poi portando il paziente a portare il DVD all'altro medico o inviando il DVD attraverso la posta. Questo sembra un approccio abbastanza ragionevole, a patto di evitare alcune insidie (ad esempio, l'uso di autorun sul DVD).

Vedi, ad esempio, Andare dal dottore e preoccuparsi della cybersecurity di Jeremy Epstein. (Leggi anche i commenti lì.)

Trovo interessante il fatto che nessuno abbia offerto questo: Perché non utilizzare un server SFTP o FTPS, l'accesso ad esso bloccato per indirizzo ip, gli utenti sono limitati alle proprie cartelle home che sono memorizzate su un'unità crittografata? Lavoro per un ospedale di medie dimensioni, e usiamo questa configurazione per trasferire informazioni HIPAA su base giornaliera. C'è un sacco di lavoro per un amministratore di sistema per ottenere il setup iniziale e mantenere gli elenchi di accesso IP aggiornati (soprattutto se gli utenti finali hanno connessioni DHCP) impiega un po 'di tempo a settimana, ma una volta che tutto è a posto è molto soluzione facile e accettabile per ciò che Ken sta cercando.

Fammi sapere se desideri ulteriori informazioni su come ottenere una soluzione come questa e saremo lieti di fornire ulteriori informazioni.