The Financing of Information Security Management in Entities Performing Medical Activities

• Autorzy: Dominika Lisiak-Felicka , Paweł A. Nowak , Maciej Szmit , Radosław Zajdel

Warianty tytułu

Finansowanie zarządzania bezpieczeństwem informacji w podmiotach wykonujących działalność leczniczą

• Języki publikacji: EN

Abstrakty

EN

All healthcare organizations process "sensitive data" that needs special protection. To ensure an appropriate level of security for this data, it is necessary to allocate adequate financial resources for security measures. The exploratory aim of the research here is the recognition of the current state of information security management systems in selected entities performing medical activities. An analysis and evaluation of these systems and the financing of information security were conducted. The methods and techniques used in the research are Computer Assisted Telephone Interviews, literature studies, and a questionnaire survey with applications for access to public information. The subjects of the research were medical entities subordinate to the local governments of three Polish voivodeships (Łódź, Świętokrzyskie and Pomeranian). The research was conducted between 2017 and 2018. Research findings show that the surveyed entities did not properly manage information security and did not allocate adequate financial resources to ensure information security. The lack of efficient information security management in medical entities may entail negative consequences in the future.(original abstract)

Wszystkie organizacje opieki zdrowotnej przetwarzają "dane wrażliwe", które wymagają specjalnej ochrony. W celu zapewnienia właściwego poziomu bezpieczeństwa tych danych, konieczne jest przeznaczenie odpowiednich środków finansowych. Celem poznawczym badań jest rozpoznanie istniejącego stanu systemów zarządzania bezpieczeństwem informacji w wybranych podmiotach wykonujących działalność leczniczą. Przeprowadzono analizę i ocenę tych systemów oraz finansowania bezpieczeństwa informacji. W badaniach wykorzystano następujące metody i techniki: wspomagany komputerowo wywiad telefoniczny, studia literaturowe i ankietę z wnioskiem o udostępnienie informacji publicznej. Przedmiotem badań były podmioty medyczne podległe samorządom trzech polskich województw (łódzkie, świętokrzyskie, pomorskie). Badanie było prowadzone w latach 2017-2018. Wyniki badania pokazują, że badane podmioty nieprawidłowo zarządzały bezpieczeństwem informacji i nie przeznaczały odpowiednich środków finansowych na zapewnienie bezpieczeństwa informacji. Brak efektywnego zarządzania bezpieczeństwem informacji w podmiotach medycznych może mieć wpływ na wystąpienie incydentów w przyszłości.(abstrakt oryginalny)

Słowa kluczowe

EN

Safety management; Data security; Sensitive data; Finance

PL

Zarządzanie bezpieczeństwem; Bezpieczeństwo danych; Dane wrażliwe; Finanse

• Czasopismo: Zeszyty Naukowe Uniwersytetu Przyrodniczo-Humanistycznego w Siedlcach. Administracja i Zarządzanie
• Rocznik: 2020
• Tom: 53
• Numer: nr 126
• Strony: 5--17

Twórcy

autor

Dominika Lisiak-Felicka

• University of Lodz, Poland

autor

Paweł A. Nowak

• University of Lodz, Poland

autor

Maciej Szmit

• University of Lodz, Poland

autor

Radosław Zajdel

• University of Lodz, Poland

Bibliografia

• Appari, A., Johnson, M.E. (2010). Information security and privacy in healthcare: current state of research. Int. J. Internet and Enterprise Management, 6(4): 279-314.
• Brandom, R. (2017). UK hospitals hit with massive ransomware attack. Retrieved from https://www. theverge.com/2017/5/12/15630354/nhs-hospi-tals-ransomware-hack-wannacry-bitcoin.
• Chen, Y.P., Hsieh, S.H., Cheng, P.H., Chien, T.N., Chen, H.S., Luh, J.J., Lai, J.S., Lai, F.L., Chen, S.J. (2010). An Agile Enterprise Regulation Architecture for Health Information Security Management. Telemedicine Journal and E-health, 16(7): 807-817.
• Constitution of RP (1997). Constitution of the Republic of Poland of 2nd April, 1997. Retrieved from http://www.sejm.gov.pl/prawo/ konst/polski/ kon1.htm.
• Davis, J. (2018a). Nearly 280,000 Medicaid patient records breached in Oklahoma hack. Retrieved from https://www.healthcareitnews.com/news/ nearly-280000-medicaid-patient-records-breached-oklahoma-hack.
• Davis, J. (2018b). Medical data of 33,000 BJC HealthCare patients exposed online for 8 months. Retrieved from https://www.healthcareitnews. com/news/medical-data-33000-bjc-healthcare-patients-exposed-online-8-months.
• Davis, J. (2018c). Ransomware attack on fetal diagnostic lab breaches 40,800 patient records. Retrieved from https://www.healthcareitnews. com/news/ransomware-attack-fetal-diagnostic-lab-breaches-40800-patient-records.
• EU (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Retrieved from https://eur-lex.europa.eu/legal-content/EN/TXT/ ?uri=CELEX:32016R0679.
• Glaser, A. (2017). U.S. hospitals have been hit by the global ransomware attack. Retrieved from https://www.recode.net/2017/6/27/15881666/global-eu-cyber-attack-us-hackers-nsa-hospitals.
• Haber, M. (2017). The Fallout from MongoDB Breaches. Retrieved from https://www. beyondtrust.com/blog/fallout-mongodb-breaches/.
• Haertle, A. (2017). Wyciek danych wrażliwych 50 tysięcy pacjentów polskiego szpitala. [A leak of the sensitive data of 50,000 patients in a Polish hospital]. Retrieved from https://zaufanatrzeciastrona.pl/post/wyciek-danych-wrazliwych-50-tysiecy-pacjentow-polskiego-szpitala/.
• Herjavec Group (2019). The 2019 Healthcare Cybersecurity Report. Retrieved from https://www.herjavecgroup.com/2019-healthcare-cybersecurity-report/.
• HIMSS (2018). 2018 HIMSS Cybersecurity Survey. Retrieved from https://www.himss.org/ sites/hde/files/d7/u132196/2018_HIMSS_ Cybersecurity_Survey_Final_Report.pdf.
• Hou, Y., Gao, P., Nicholson, B. (2018). Understanding organizational responses to regulative pressures in information security management: The case of a Chinese hospital, Technological Forecasting and Social Change, 126: 64-75.
• International Organization for Standardization (2016). ISO 27799:2016 Health informatics - Information security management in health using ISO/IEC 27002, Geneva, ISO.
• Irwin, L. (2018). Portuguese hospital appeals GDPR fine' IT Governance. Retrieved from https://www.itgovernance.eu/blog/en/portuguese-hospital-appeals-gdpr-fine.
• Lisiak-Felicka, D., Nowak, P. (2018). RODO w podmiotach wykonujących działalność lecz-niczą. Wybrane zagadnienia. [GDPR in entities performing therapeutic activity. Selected aspects], Przedsiębiorczość i Zarządzanie XIX(5), Part 1: 57-67.
• Lisiak-Felicka, D., Nowak, P., Szmit, M. (2018). Selected aspects of information security management in entities performing medical activity. Economic and Social Development 34thInternational Scientific Conference on Economic and Social Development - XVIII International Social Congress (ISC-2018) Book of Proceedings: 51-60.
• Lisiak-Felicka, D., Zajdel-Całkowska, J., Zajdel, R. (2017). Wybrane aspekty zarządzania bezpie-czeństwem informacji w podmiotach prowa-dzących działalność leczniczą. [Selected aspects of information security management in entities performing therapeutic activity], Przedsiębiorczość i Zarządzanie, XVIII(4), Part 2: 167-180.
• Maj, M. (2017). Dane setek pacjentów na serwerze zewnętrznej firmy obsługującej szpitale. [Data leak of hundreds of patients on the server of an external company serving hospitals]. Retrieved from https://niebezpiecznik.pl/post/dane-pacjentow-i-szpitali-wyciekly-z-helpdesku-eskulapa-szpitale-powinny-zmienic-hasla/.
• Mehraeen, E., Ayatollahi, H., Ahmadi, M. (2016). Health Information Security in Hospitals: the Application of Security Safeguards, Acta informatica medica, 24(1): 47-50.
• Ministry of Health (2018). Statistical Bulletin of the Ministry of Health. Retrieved from https://www. csioz.gov.pl/fileadmin/user_upload/Biuletyny_informacyjny/biuletyn_2018_5c3deab703e35.pdf.
• Morse, S. (2018). CMS responds to data breach affecting 75,000 in federal ACA portal. Retrieved from https://www.healthcarefinance news.com/news/cms-responds-data-breach-affecting-75000-federal-aca-portal.
• O'Connor, Y., Rowan, W., Lynch, L., Heavin, C. (2017). Privacy by Design: Informed Consent and Internet of Things for Smart Health. Procedia Computer Science, 113: 653-658.
• Ponemon Institute (2018). 2018 Cost of a Data Breach Study. Global Overview, Benchmark research sponsored by IBM Security Independently conducted by Ponemon Institute LLC. Retrieved from https://www.ibm.com/ downloads/cas/AEJYBPWA.
• Regional Information Service (2018). Jednostki podległe. [Subordinate units]. Retrieved from http://www.zdrowie.lodzkie.pl/zadania-departamentu/jednostki-podlegle.
• Sánchez-Henarejos, A., Fernández-Alemán, J.L., Toval A., Hernández-Hernández I., Sánchez-García A.B., Carrillo de Gea, J.M. (2014). A guide to good practice for information security in the handling of personal health data by health personnel in ambulatory care facilities. Aten Primaria, 46(4): 214-22.
• UoDL (2011). Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej. [Act of 15 April 2011 on Medical Activity]. (Dz.U.2011 Nr 112 poz. 654).
• UoSG (1998). Ustawa z dnia 8 marca 1990 r. o samorządzie gminnym. [Act of 8 March 1990 on Municipal Government]. (Dz.U. 1990 Nr 16 poz. 95).
• UoSOZ (2004). Ustawa z dnia 27 lipca 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. [Act of 27 July 2004 about health care benefits financed from public funds]. (Dz.U.2004 Nr 210 poz. 2135).
• UoSP (1998). Ustawa z dnia 5 czerwca 1998 r. o samorządzie powiatowym. [Act of 5 June 1998 on poviat local government]. (Dz.U. 1998 Nr 91 poz. 578).
• UoSW (1998). Ustawa z dnia 5 czerwca 1998 r. o samorządzie województwa. [Act of 5 June 1998 on the voivodeship local government]. (Dz.U. 1998 Nr 91 poz. 576).
• Voight, P., von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR). A Practical Guide. Springer International Publishing AG.
• Woo-Sung, P., Sun-Won, S., Seung-Sik, S., Mee- -Jeong, L., Shin-Hyo, K., Eun-Mi, Ch., Ji-Eon, B., Yea-Eun, K., Ok-Nam, K. (2010). Analysis of Information Security Management Systems at 5 Domestic Hospitals with More than 500 Beds. Healthcare Informatics Research, 16(2): 89-99.
• Zammani M., Razali R. (2016). Information Security Management Success Factors, Advanced Science Letters, 22(8): 1924-1929.
• Zarei J., Sadoughi F. (2016). Information security risk management for computerized health information systems in hospitals: a case study of Iran. Risk management and health policy, 9: 75-85.

Identyfikatory

DOI

https://doi.org/10.34739/zn.2020.53.01