医疗机构(HCOs)越来越依赖BYOD来支持合同专家并扩大对服务不足地区的医疗服务。虽然这种方法降低了成本并简化了运营,但也带来了关键的安全隐患。从保护患者数据到管理设备访问,BYOD需要仔细规划以确保灵活性和合规性。
医疗机构常与合同医生合作处理复杂病例,如心脏手术。这些合同医生很可能使用个人设备访问EHR客户端如Haiku,合同结束后IT无法控制。尽管该应用防止用户截屏,但BYOD仍存在安全风险。例如,医生可能使用个人设备拍照并上传到Haiku。
较大型医疗机构与社区中心建立合作,为服务不足人口提供医疗服务。此类情况下BYOD较为普遍,原因包括:
一份近期的Gartner®报告, 何时及如何允许移动BYOD,值得一读,报告详细分析了按所有权和成本划分的BYOD政策。
不幸的是,如果包含PHI的个人设备用于工作,且设备丢失或遭入侵,责任在于组织。2013年的HIPAA安全规则没有明确提及移动设备,但要求覆盖实体进行安全风险评估(SRA)以识别ePHI的访问或存储位置。在当前环境下,这意味着两种方法:
你可以在用户的移动设备上提供虚拟映像,数据不存储在设备上,仅传输像素。但有一些缺点:
移动设备上的数据隔离对安全非常重要。UEM提供BYOD容器,将工作应用与个人空间分隔开。这意味着医院IT只控制医院数据的存储位置,还能远程锁定或删除医院数据,同时保持个人数据完整。请参阅我们的案例研究,了解一家医疗机构如何利用ManageEngine的UEM解决方案满足医疗用途需求。
对任何医疗机构来说,调整BYOD管理政策都会遭遇不愿让IT控制其设备人员的反对,尤其是合同医生。此外,BYOD管理必须制定成书面政策,并经医生委员会批准后方可实施。DHMW调查的基础设施部分可作为拟定BYOD政策的起点,建议在制定BYOD管理时考虑图片中所示的领域:
在构建机构BYOD管理时,拥有来自UEM供应商的隐私政策,清晰界定其控制权范围及操作内容,可缓解董事会的担忧。欲了解更多,请参见 移动设备管理策略的隐私设置.