A Knowledge-Constrained Role-Based Access Control model for protecting patient privacy in hospital information systems

Current access control mechanisms of the hospital information system can hardly identify the real access intention of system users. A relaxed access control increases the risk of compromise of patient privacy. To reduce unnecessary access of patient information by hospital staff, this paper proposes a Knowledge-Constrained Role-Based Access Control (KCRBAC)model in which a variety of medical domain knowledge is considered in access control. Based on the proposed Purpose Tree and knowledge-involved algorithms, the model can dynamically define the boundary of access to the patient information according to the context, which helps protect patient privacy by controlling access. Compared with the Role-Based Access Control model, KC-RBAC can effectively protectpatient information according to the results of the experiments

Metodología integral de protección de datos electrónicos médicos, aplicado al almacenamiento, acceso y análisis forense de las historias clínicas en Colombia

La Historia Clínica tiene unas características especiales que requieren un manejo diferente desde el punto de vista de la seguridad informática. Dadas las condiciones que anteceden para mantener su integridad, además de cumplir con la normatividad propia de cada país, se hace conveniente la transformación de la forma tradicional mediante manuscritos, a la utilización de las tecnologías de información. Con esta evolución, los incidentes de seguridad cibernética en un sector tan crítico como este, tienen un gran impacto en la sociedad, considerando que la información de la historia clínica podría ser usada de manera inadecuada, permitiendo el robo de identidad, ingreso no autorizado, daño de la información u alteración de los datos del paciente. Aplicando la Resolución Colombiana 1995 de 1999 [1], se desprende que la información del paciente debe registrarse cronológicamente, de la misma manera que los actos médicos, procedimientos ejecutados por el equipo de médico o cualquiera intervenga en su atención, a lo largo de los planteamientos hechos, los sistemas de salud se van volviendo cada vez más vulnerables a incidentes de seguridad informática, en consecuencia a la automatización, las tecnologías de información, los volúmenes de información y la conexión con los pacientes; Al mismo tiempo la inclusión de la seguridad en los sistemas de información de salud no es una prioridad. El resultado de esta investigación es una metodología integral que permita asegurar la accesibilidad al sistema, garantizar la integridad de los datos, además de la posibilidad de realizar un análisis forense en caso de ser vulnerado, al mismo tiempo logrando mitigar las causas, generando alertas, y factores por los cuales los datos electrónicos médicos en historias clínicas no logran ser protegidos.The Clinical History has some special characteristics that require different management from the point of view of computer security. Given the above conditions to maintain its integrity, in addition for complying with the regulations of each country, it is convenient to modify the traditional form by means of manuscripts, to the use of information technologies. With this evolution, the incidents of cybersecurity in a sector as critical as this one, have a great impact on society, such as information on history. Damage to information or alteration of patient data. Applying Colombian Resolution 1995 of 1999 [1], it follows that patient information must correspond chronologically, in the same way as medical acts, procedures performed by the doctor's team or any intervention in their care, throughout the given the facts, health systems are becoming increasingly vulnerable to computer security, automation, information technology, information and connection with patients; At the same time, the inclusion of security in health information systems is not a priority. The result of this research is a comprehensive methodology that allows accessibility in the system, the integrity of the data, the possibility of carrying out an analysis in the case of vulnerability, the same time in which mitigation of the causes is being achieved, generating alerts, electronic data in clinics cannot be protecte