Coping with personal data breaches in healthcare

Abstract

Nykyinen tietoyhteiskunta pitää dataa arvokkaana resurssina. Valitettavasti tämä tarkoittaa, että myös laiton datan hyväksikäyttö on kohtuuttoman yleistä. Verkkorikolliset pitävät terveystietoja arvokkaimpina, ja siksi tietomurrot koskevat suhteettomasti terveydenhuoltoa. Tutkittaessa tietomurtotapausten vaikutuksia, nykyinen kyberturvallisuustutkimus priorisoi usein organisaation näkökulman yksittäisen uhrin näkökulman sijaan. Tämä tutkimus pyrkii kuitenkin tukemaan potilaan näkökulmaa terveydenhuollon tietorikkomuksen uhrina tutkimalla potilaan selviytymisprosessia. Tutkielman tarkoituksena on tutkia potilaan selviytymistä terveydenhuollon tietomurroista. Ymmärtämällä paremmin, miten terveydenhuollon tietomurtojen uhrit reagoivat ja selviytyvät kyseisistä tapahtumista, on mahdollista suunnitella yleisiä käytäntöjä, joilla säännellään toimintaa tietomurtojen jälkeen ottamaan potilas uhrina paremmin huomioon. Tämä tutkimus koostuu kirjallisuuskatsauksesta sekä empiirisestä tutkimuksesta. Tutkimuksen empiirinen osuus toteutettiin kvalitatiivisin menetelmin, ja empiirinen data kerättiin temaattisten haastattelujen sekä fiktiivisen vinjetin avulla, edustaen terveydenhuollon tietomurron olosuhteita. Kerätty tieto analysoitiin käyttäen abduktiivista sisällönanalyysiä. Tutkimustulokset henkilökohtaisen selviytymisprosessia, selviytymisprosessi alkaa tietomurtotapahtuman ensisijaisesta arvioinnista, joka aiheuttaa potilaalle erilaisia negatiivisia kokemuksia, minkä jälkeen seuraa tapahtuman toissijainen arviointi sekä potilaan näkemys tilanteen hallittavuudesta, mitkä vaikuttavat valittuun selviytymisstrategiaan ja selviytymistoimintoihin, joita potilas käyttää kokemansa ahdingon lievittämiseen.

Today’s information age considers data as a valuable resource. Alas, this means that illegal data-related activity is also rampant and data breach events are unfortunately common. Medical information is considered the most lucrative by cyber criminals, and therefore data breach events disproportionately damage the healthcare industry. However, when investigating the effects of data breach incidents, extant cyber security and data breach research often prioritizes the organizational point of view over the individual victim’s perspective. By examining the patient's coping process, this thesis intends to support the patient's perspective as a victim of a healthcare data breach. The purpose of this thesis is to study patient coping with a healthcare data breach involving confidential medical information. By better understanding how victims of healthcare breaches react and cope with the negative event, it will be possible to design a general code of conduct and improve policy regulating conduct following a breach that takes the patient as a victim better into account. This thesis consists of a literature review on data breaches and coping theory as well as an empirical investigation on how patients cope with a healthcare data breach. The studies empirical component was carried out utilizing a qualitative approach, with primary data collected via virtual thematic interviews supplemented with a fictitious vignette to provide research participants with space. The collected data was examined using abductive content analysis. The study found that patients coping with a personal health care data breach follows the coping process defined by coping theory, beginning with the primary appraisal of the stressor event resulting in various negative outcomes, followed by the secondary appraisal of the event and the patient perception of controllability, that influence the chosen coping strategy and coping activities employed to alleviate the distress experienced by the patient.