Juan Pablo Núñez

Punto de vista

Ciberseguridad y medicina, cada vez más de la mano

Guardar

Punto de vista

La protección de datos en el campo de la medicina, en donde se contemplan tantos aspectos personales, debe se objeto de especial atención, como se pone de manifiesto en este trabajo.Historias, informes médicos, citas, datos de contacto, resultados de pruebas, ADN, etc. son los registros derivados de las actividades clínicas y, por ello, esenciales para la atención médica de los pacientes. Muchos de estos datos, hoy en día en gran medida en formato digital, son datos personales, y por ello confidenciales, estando especialmente protegidos por la legislación vigente. Y es que las brechas de seguridad y las fugas de datos ocasionan graves perjuicios a las empresas sanitarias y a sus pacientes.

Las brechas de seguridad y las fugas de datos ocasionan graves perjuicios a las empresas sanitarias y a sus pacientes.

• A las empresas, además de pérdidas financieras por cese de actividad y sanciones, importantes daños de imagen provocando la pérdida de confianza de los pacientes.• A los pacientes, la pérdida de control de sus datos con consecuencias que van desde la invasión de su intimidad, por la difusión de sus datos hasta tratos discriminatorios.

Datos protegidos
Con técnicas de Big Data es posible analizar los datos de los resultados de los tratamientos con fines de investigación, aportando inestimables avances en la clínica médica
Los datos sanitarios están protegidos por la LOPD (Ley Orgánica de Protección de Datos Personales), que vela por la privacidad de los usuarios con los cambios que se derivan del nuevo Reglamento Europeo de Protección de Datos; y por leyes específicas, como la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica. También les aplica la norma ISO 27799:2010 que, aunque no es una ley, establece detallados controles para la gestión de la seguridad de la información específica para el ámbito sanitario.Los datos de los pacientes son también materia prima para las investigaciones. Hoy en día con técnicas de Big Data es posible analizar los datos de los resultados de los tratamientos con fines de investigación, aportando inestimables avances en la clínica médica. En estos tratamientos de datos personales se ha de garantizar la privacidad de los pacientes, anonimizándolos, es decir, eliminando cualquier información que permita identificarlos con los usuarios.
Transferencia de datos
Por otra parte, se ha de vigilar la posible transferencia de datos a terceros pues, por sí solos o cruzados con otros datos, podrían derivar en graves perjuicios para el paciente. Por ejemplo, podrían ser utilizados con fines comerciales por compañías de seguros o por empresas de contratación para sesgar sus ofertas, clasificando (creando perfiles) a los usuarios en función de sus antecedentes clínicos.Por eso, cumplir la ley implica algo más que poner en marcha controles de seguridad (control de acceso, backup, cifrado…) para proteger los datos personales. También hay que introducir los mecanismos en los procesos para garantizar los derechos de los pacientes, como su derecho al olvido o sus derechos ARCO (acceso, rectificación, cancelación y oposición), con el fin de informarles de forma comprensible acerca de los tratamientos que se van a dar a sus datos personales, con garantías de que sus datos sólo serán utilizados para los fines médicos para los que los ceden.
Ampliación de la protección
La seguridad resulta crítica para las empresas del sector sanitario por el carácter de los datos que manejan
Y es que, con la introducción de las nuevas tecnologías, la relación con el paciente y gran parte de los procesos se han digitalizado (historias clínicas digitales, receta electrónica, cita online), por lo que debemos extender la protección desde los registros físicos a los sistemas de información y comunicación digitales.Hemos visto que la seguridad resulta crítica para las empresas del sector sanitario por el carácter de los datos que manejan: información médica y personal de pacientes (tanto en formato físico como electrónico); información económica y administrativa derivada de tratamientos médicos, enfermedades profesionales o accidentes laborales; datos económicos de la financiación de tratamientos, etc.Ser consciente de los riesgos asociados al uso de la tecnología y a la criticidad de datos que se manejan, es esencial para asegurar estos procesos y garantizar su confidencialidad, integridad y disponibilidad en todo momento frente a posibles pérdidas de información, acceso o manipulación indeseadas, entre otros.
Nuevas amenazas
La protección de la información debe ser un proceso global y planificado
Tendremos que considerar, además de las amenazas tradicionales, las procedentes de todos los equipos conectados o conectables a redes, las ciberamenazas: introducción de malware, ataques a páginas web y sistemas, fraude, robo de identidad on-line, secuestro de equipos, manipulación o robo información sobre pruebas, diagnósticos o tratamientos. Tampoco se pueden pasar por alto las derivadas de la incorporación a las redes corporativas de estas empresas, en muchas ocasiones sin control ni medidas de seguridad de aquellos equipos informáticos y no informáticos, que antes funcionaban de forma aislada.Por ejemplo, puede suponer un riesgo para el paciente, con consecuencias en el mundo físico, el uso de dispositivos de seguimiento y tratamiento médico basados en aplicaciones móviles o dispositivos internos (marcapasos, implantes cocleares, bombas de insulina, etc.) que se envían y reciben datos a través de redes de comunicación para su control. Estos dispositivos pueden ser hackeados, manipulando los datos enviados/recibidos o los propios equipos, poniendo así en riesgo la salud y la vida del paciente.
Proceso global y planificado
Resumiendo, la protección de la información debe ser un proceso global y planificado que abarque tanto la información física, como la digital almacenada en equipos, servidores y equipos de tratamiento y diagnóstico conectados a las redes corporativas, así como las comunicaciones llevadas a cabo con terceros, como centros concertados, mutuas colaboradoras, servicios públicos de salud, etc.Todo ello sin olvidar que para tener éxito con los mecanismos de seguridad implantados, lo más importante es contar con el factor humano: los empleados. Si conseguimos formar y concienciar a los empleados de la necesidad de la protección de la información, el esfuerzo dedicado a asegurar la información de la empresa verá sus frutos.