La información sanitaria personal se refiere, en pocas palabras, a la información demográfica, los historiales médicos, los resultados de pruebas y laboratorios, las condiciones de salud mental, la información sobre seguros y otros datos que un profesional sanitario recopila para identificar a una persona y determinar la atención adecuada.
Esta misma información detallada sobre nuestra salud también es un producto. Además de su utilidad para los pacientes y los profesionales sanitarios, también son valiosos para los investigadores clínicos y científicos cuando se anonimizan.
Para los piratas informáticos, estos datos son un tesoro. Al fin y al cabo, se trata de información personal del paciente que podría ser robada y vendida en otro lugar. Es más, pueden secuestrar los datos mediante ransomware hasta que la institución médica pague el rescate.
Las instituciones médicas manejan información sanitaria personal y esto puede suponer un riesgo
Como hemos visto, por la naturaleza del sector, las organizaciones sanitarias manejan datos confidenciales de los pacientes. Esta información incluye la fecha de nacimiento, las afecciones médicas y las solicitudes de seguro médico.
Ya sea en registros en papel o en un sistema de registro electrónico, la información sanitaria personal describe el historial médico de un paciente, incluidas enfermedades, tratamientos y resultados.
Para que se haga una idea, desde los primeros momentos después de nacer, es probable que hoy en día un bebé tenga su información sanitaria personal introducida en un sistema de historia clínica electrónica, incluido el peso, la longitud, la temperatura corporal y cualquier complicación durante el parto.
El seguimiento de esta información a lo largo de la vida del paciente proporciona al médico el contexto de la salud de la persona. Esto facilita al profesional la toma de decisiones sobre el tratamiento.
Cuando se registra adecuadamente, la información sanitaria personal puede almacenarse sin rasgos identificativos y añadirse de forma anónima a grandes bases de datos de información sobre pacientes.
Estos datos desidentificados pueden contribuir a la gestión de la salud de la población y a los programas de atención basados en el valor.
Sin embargo, hay casos en los que no se aplican medidas de seguridad, protección y privacidad de los datos. Esto pone en grave peligro a las instituciones sanitarias, al personal y, sobre todo, a los pacientes.
Las amenazas a la ciberseguridad en la sanidad afectan a pacientes e instituciones
A medida que avanza la tecnología, los profesionales sanitarios trabajan para aplicar innovaciones que mejoren la atención, pero las amenazas a la ciberseguridad también siguen evolucionando.
Ataques de ransomware ransomware y las violaciones de datos sanitarios siguen siendo las principales preocupaciones de las entidades sanitarias y los socios comerciales de todos los tamaños.
El ransomware es un buen ejemplo de gran impacto para el sector sanitario. Se considera de alto riesgo porque las organizaciones sanitarias tienen la misión de cuidar a las personas. Así, si cierta información está bloqueada o es inaccesible, esta atención puede verse afectada.
La responsabilidad de la protección de la información sanitaria personal recae en todas las instituciones y sus socios comerciales.
Una situación a veces mal entendida por las organizaciones sanitarias es que la privacidad y la seguridad de la información sanitaria no siempre van de la mano.
Aunque la privacidad requiere medidas de seguridad, es posible tener restricciones de seguridad que no protejan totalmente la información privada de pacientes y cuidadores.
Pensemos en un ejemplo: si una organización sanitaria o un proveedor en la nube comparte datos médicos cifrados con un ambulatorio, la protección y la privacidad pueden estar en peligro.
Al fin y al cabo, las instituciones tienen que firmar un acuerdo de colaboración que incluya requisitos para los procesos y políticas de seguridad de los datos. Si esto no ocurre, la información compartida corre un alto riesgo.
A pesar del alto riesgo, puede proteger su organización de la ciberdelincuencia protegiendo la información de los pacientes.
El ransomware y otros ataques de ciberdelincuencia se producen cuando un pirata informático consigue acceder a la red de una organización. A continuación, los archivos se cifran o se roban.
En el caso concreto del ransomware, los archivos son inaccesibles para el objetivo hasta que se pague un rescate.
Para proteger a su organización de ataques como éste y otros ciberdelitos dirigidos al sector sanitario, los expertos en protección de datos recomiendan diez prácticas para asegurar la información sanitaria:
1. Definir políticas y procesos claros de protección de datos y privacidad
Un paso importante en la protección y privacidad de la información sanitaria de pacientes y cuidadores es definir claramente las políticas y procesos de protección de datos y privacidad.
Este es el pistoletazo de salida de todas las demás recomendaciones de seguridad en beneficio de las instituciones médicas.
2. Proteger la información de los pacientes en el lugar de trabajo
Utilizar controles de acceso para garantizar que sólo el personal autorizado tenga acceso a la información sanitaria de los pacientes.
|
|
3. Impartir formación al personal sobre las políticas y los procesos de protección de datos sanitarios y privacidad.
Una organización sanitaria protegida debe formar a todos los miembros de su plantilla sobre las políticas y procedimientos relativos a la información sanitaria personal.
La formación debe impartirse a cada nuevo profesional en un plazo razonable tras su incorporación a la institución.
Además, los miembros del personal también deben recibir formación si sus funciones se ven afectadas por un cambio material en las políticas y procedimientos de las normas de privacidad y protección definidas.
4. Los procedimientos para divulgar o compartir información sanitaria deben estar documentados y autorizados
Se requiere una autorización escrita del paciente cuando una institución sanitaria necesita compartir o divulgar registros, información o notas de psicoterapia, trastornos por abuso de sustancias y tratamiento.
5. Definir procedimientos seguros de almacenamiento y recuperación de datos sanitarios
Hay que hacer copias de seguridad de los datos periódicamente. Por cierto, también es una buena práctica hacer copias de seguridad periódicas de los datos a través de hardware como memorias flash y discos duros externos, y luego copiar los datos a través de la nube mientras se modifican.
Esta redundancia garantiza la disponibilidad inmediata de la información crítica. Si es posible, las instituciones sanitarias deberían tener copias de seguridad en varias ubicaciones.
6. Los cortafuegos son esenciales para garantizar que la información protegida no se destruya indebidamente
El uso adecuado de un cortafuegos puede ayudar a evitar que su organización sea víctima de accesos no autorizados que podrían poner en peligro la confidencialidad, integridad o disponibilidad de la información sanitaria de los pacientes.
7. Los datos sanitarios registrados en papel deben protegerse
La preocupación por la protección de datos y la privacidad también se aplica al uso de papel y otros archivos físicos. Además de las políticas y procedimientos relativos a la seguridad física de los documentos, debe instruirse al personal para que informe inmediatamente de todos los incidentes que puedan implicar la pérdida o el robo de dichos documentos en papel.
8. La información sanitaria personal nunca debe dejarse sin supervisión
Se debe tener especial cuidado cuando los historiales de los pacientes se transportan temporalmente a otras instituciones sanitarias.
Esta información debe ser supervisada y protegida por profesionales responsables durante el viaje, la entrega y el almacenamiento de la información sanitaria personal.
9. El cifrado de documentos y dispositivos debe proteger los datos médicos de los ciberdelincuentes
En resumen, los dispositivos y documentos deben protegerse mediante cifrado y firmas digitales cuando se compartan entre instituciones y otros profesionales sanitarios.
10. Mantener actualizados los programas antivirus y antimalware es de vital importancia para la información sanitaria personal.
Además, las actualizaciones y los parches de software deben aplicarse a tiempo para mantener la seguridad de las redes y los sistemas.
También conviene recordar que el sentido común es siempre una buena práctica. Los empleados nunca deben compartir contraseñas. Las contraseñas por defecto deben cambiarse inmediatamente después de asignar una nueva aplicación. Por último, no deben reutilizarse entre distintos sistemas y también deben cambiarse si se ven comprometidos.
El objetivo final es alcanzar altos niveles de seguridad, protección y privacidad de los datos, garantizando así la integridad de la información sanitaria personal de los pacientes y otros cuidadores.
Acerca de Eval
A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.
