【HC3i独家翻译】近来,一些集团联合起来要求加紧受保护的健康信息的安全性,把寻找财务方面的缺口放在一个中心地位。但标识专家的主席和创始人Rick Kam提出:有一个关于保护PHI(个人健康信息)的重要方面仍未被提及,那就是把重点放在CIO和CFO的关系上。
Kam在最近的一份报告“破坏健康信息保护的财务影响”中说道,“大约一年前我们曾试着发现如果PHI泄露将会发生什么,同时会给财务带来什么影响,我们意识到的事情之一是在旁观者眼中的数据价值”。
随着半信半疑地把重点放在保护PHI上,Kam和他的团队得出的结论是:能否把技术性言论转变成财务性言论取决于CIO。Kam说,“CIO善于谈论技术,但把CIO和CFO聚在一起时,他们除了一起打球或观看全国曲棍球联赛,其他事情都会遇到麻烦。”
Kam提出了CIO获取保护PHI的资金必须了解的5点:
1、一些机构不知道保护PHI的价值所在。据Kam所说,很多企业不明白PHI和泄露PHI将会带来怎样的危害,这并不奇怪。“管理团队经营这些机构,他们中的很多人不明白这些风险和保护PHI 的价值所在,因为他们在自己的平台上有更多其它的事情要做。”Kam说,实现有意义使用和维护医疗保险及医疗补助只是他们排列在投资保护PHI之前的众多事情中的一小部分。
2、CIO和CFO总是持有不同的观点。Kam和他的团队设想了一场在机构领导人之间的谈话,以判定CIO在阐述为保护PHI投资的意义时会露出的破绽。他举例解释说,销售副总裁和市场副总裁都可以很容易地提出有投资回报潜力的项目,而这些东西是CIO通常不会想到的。“CIO们有不同的说法,他们会跳出来说,我们有一些提议,比如防止数据丢失、加密、防火墙等,它们的成本在1000万美元”。Kam继续说,尽管CIO可能以立法已经颁布等为由来继续争论,但这并不能为他们争取到所需要的资金。“你可以想象,大家围着桌子都已经昏昏欲睡,所以当CFO最后问到我们投资的这些资金会给我们的机构带来怎样的回报呢?CIO就会不知所云了。”
3、CIO应该确定他们的风险所在。解决沟通问题的首要是CIO们应该在一个很基础的水平做一个小研究。“他们必须辨别出需保护的信息是什么,它是PII(个人身份信息)还是PHI,或者是精神健康记录等”。接下来,他们也需要确定一些适当的风险缓解策略,可能包括加密、防止数据丢失或者一些进程和政策等,这对下一个即将到来的预算周期是很重要的。他说,“他们也需要制定一些可以减轻风险的计划。这些计划不仅仅是个列表,也将是面对很多倡议的一个解决方案。”
4、然后,这些风险需要被转换为成本。Kam认为思考一个潜在违规行为的各个方面是很重要的,只有这样才得以全面了解到机构可能赔钱的地方。他说,“我们确定了50个或60个成本要素,”比如机构的声誉,“雇佣一家好的公关公司可以重建你的声誉,优化招聘新CIO的运营成本”。更何况,几乎每一个重大的违约事件都可以带来一系列的诉讼案件。Kam说:“开始的成本标价是数以百万的,但它在机构范围内是由很多不同的成本构成的。”比如一个提供数据处理服务的公司不可能与一家主要的医院具有相同的需求。Kam说:“所以CIO致力于此并要拿出2500万美元作为破坏PHI的风险资金,这些数值都是有依据的,因此问题就产生了,投资多少钱才算是合理的?”
5、以商业案例的方式来展示信息也是一个关键。Kam和他的团队依靠保险公司计算来决定医疗机构须投资多少钱来应对风险。他说:“因此CIO可以去CFO那里说他们已经对看到的风险做了一个评估,并且已经有相对的解决方案,他们应该知道基于实践的适量投资是多少,比如说,根据计算,为防止亏损2500万做一个月800万的投资将是适当的。”CIO应该用CFO和CEO的语言来向他们展示商业案例。“因此CIO不用谈论需要防火墙,而应该说我们有一个2500万美元的风险事件,因此我们今年希望做一个200万美元的投资来防止这种不必要的损失。”
原文标题:5 things CIOs need to know about funding the protection of PHI
原文作者:Michelle McNickle
【编辑推荐】
验证码: | 点击图片可刷新验证码 |