//
Estás leyendo...
eSalud

Seguridad en el mundo de la eSalud

Una de las consecuencias más importantes del desarrollo de la eSalud es la gran acumulación de datos que se recogen a través del ecosistema de aplicaciones involucradas. Historia Clínica Electrónica, Receta Electrónica, imagen digital y las nuevas aplicaciones y dispositivos que surgen de la mano de teléfonos inteligentes y wearables almacenan gran cantidad de información en distintas plataformas y formatos.

En este contexto la seguridad de la información es un aspecto fundamental que no debemos olvidar si queremos no poner en riesgo ni la seguridad de los pacientes y los procesos asistenciales ni las propias instituciones sanitarias como salvaguarda de los mismos. Los datos de salud son cada vez más valiosos y hay mucha gente interesada en hacerse con ellos. Leíamos recientemente en el blog People in the eSalud que 2014 ha sido el año con mayor crecimiento de infracciones de seguridad, especialmente en el mundo de la salud, y por ello debemos permanecer alerta.

Sin embargo no debemos pensar que los fallos de seguridad se deben a ataques directos de grupos que quieren hacerse con nuestra información (al estilo de las películas o lo que trasciende a los medios de comunicación). La mayor parte de estos problemas se generan de forma fortuita (pérdida o robo de equipos informáticos, envíos por correo electrónico, grabaciones en memorias usb, …) y son fácilmente evitables aplicando el sentido común y algunas medidas de seguridad sencillas.

Principios básicos de la seguridad

De forma general se suele definir la seguridad de la información de acuerdo a tres principios básicos:

  • Disponibilidad. La información recogida debe estar disponible siempre y en todo momento independientemente del medio a través del cual haya sido recogida.
  • Integridad. La información debe ser completa y estar libre de errores para que sea de utilidad en el momento en que vaya a ser utilizada.
  • Confidencialidad. La información debe estar únicamente accesible a aquellas personas autorizadas a su uso.

Existen diversas normas y procedimientos técnicos diseñados para garantizar estos principios básicos en la protección de información. Entre ellas destaca la norma ISO 27001, de carácter generalista pero aplicable en entornos sanitarios y basada en la identificación de todos los potenciales problemas de seguridad y que puede servir de guía para implementar adecuadas políticas de seguridad y control de la información de salud. También la legislación vigente, a través de la LOPD (de sobra conocida por todos) y sus reglamentos tiene en cuenta la protección de datos personales relacionados con la salud.

Todos ellos así como nuestro propio sentido común deben servir de guía para la elaboración de sistemas y procedimientos que garanticen que los datos de salud, tan sensibles, estén debidamente protegidos.

Compromiso entre confidencialidad y disponibilidad

El punto quizás más crítico a la hora de diseñar una estrategia de seguridad sobre la información es el compromiso entre confidencialidad y disponibilidad, ya que son dos conceptos totalmente contrapuestos.

Cualquier esfuerzo por hacer los datos más accesibles pone en riesgo la seguridad y confidencialidad de los mismos. Si se limita mucho el acceso a la información se corre el riesgo de que estos no puedan ser consultados cuando un profesional lo requiera. Por el contrario, si hacemos la información fácilmente accesible, es seguro que alguien en algún momento accederá sin un motivo justificado lo que supone claramente una violación de la confianza que el paciente deposita en aquellos que guardan sus datos de salud.

No existe una solución sencilla al problema ni un fórmula mágica que permita cumplir todos los requisitos que la naturaleza de la información sanitaria requiere. Solo un buen análisis de la información almacenada y de los flujos de utilización, una correcta segmentación (separando la información más sensible y que, por tanto, requiere más control, de aquella más fácilmente consultable) y una correcta implementación permitirá tener éxito a la hora de poner a disposición de los profesionales los datos de sus pacientes.

¿Quién es dueño de los datos de salud? La titularidad, a debate

Existe un gran debate sobre quién es el titular de los datos de salud de los pacientes. Hasta no hace mucho tiempo, los datos pertenecían a las instituciones que los generaban y custodiaban o, incluso, a los propios profesionales responsables de ellos. Esta ha sido la visión que históricamente se ha tenido y que aún persiste en gran número de instituciones y profesionales.

Sin embargo, con el avance de la sociedad de la información, el desarrollo de aplicaciones móviles y lo que se ha venido denominando “el paciente empoderado“, la idea de que deba ser el propio paciente quien asuma el rol de garante de su propia información está adquiriendo mucha fuerza.

A ello está contribuyendo notablemente el desarrollo de las carpetas personales de salud que muchas instituciones, tanto públicas como privadas están poniendo en marcha (CatSalut, Osakidetza o Sanitas son solo algunos ejemplos). A través de ellas los pacientes podemos consultar la información generada durante los procesos asistenciales y controlar quién y cómo se puede acceder a ella.

No obstante aún estamos en las primeras etapas del desarrollo de este tipo de sistemas. Queda mucho trabajo por hacer para equilibrar esos conceptos de los que hemos hablado anteriormente: la privacidad que los pacientes desean en su propia información frente a la conveniencia de que los profesionales puedan acceder a la totalidad de la historia clínica de un paciente para garantizar que la atención que se le presta sea la mejor posible en función de su situación clínica. Y será , por supuesto, necesario velar por la integridad de la información en posesión de los profesionales durante los procesos asistenciales.

La seguridad en el mundo wearable

Otro aspecto a tener en cuenta es el desarrollo de la tecnología wearable, con las implicaciones que conlleva en lo que a recogida y almacenamiento de información sensible se refiere.

En este caso la problemática es doble puesto que en primer lugar debemos considerar la información almacenada por los propios dispositivos y aplicaciones, gestionada por los usuarios y pacientes, y por otro la almacenada en las plataformas de operadores e instituciones sanitarias, de la que ya hemos hablado.

En ambos casos, las medidas de seguridad a aplicar deben tener en cuenta la sensibilidad de la información recogida en todos los entornos y el perfil de los usuarios que lo hacen. No se deberá realizar de la misma forma la protección de los datos en nuestros teléfonos que la almacenada en la nube o en los propios centros.

La seguridad es cosa de todos

La mejor forma de atacar los problemas en la seguridad de la información es ser conscientes de que la seguridad es cosa de todos. Solo a través de la formación y concienciación de todos los agentes implicados en los procesos de salud obtendremos el éxito que buscamos:

  • Los equipos directivos debenconsiderar que la seguridad es algo en lo que es necesario invertir y no verlo como un gasto superfluo.
  • Los responsables de IT deben aplicar las medidas necesarias para proteger la información y trabajar de forma proactiva (y no reactiva) en la detección y eliminación de las brechas de seguridad que puedan surgir.
  • Los desarrolladores de aplicaciones deben poner en marchar todas las medidas necesarias en cuanto a seguridad de la información se refiere y facilitar además el trabajo de los responsables de seguridad implementando sistemas de análisis y auditorías eficientes y eficaces.
  • Los usuarios deben ser conscientes de que la seguridad de la información depende, en gran medida, de sus acciones y prestar la debida atención a los procedimientos que se deben aplicar para su salvaguarda.

¿Están nuestros datos de salud debidamente protegidos? ¿Pensáis que se dedica suficiente esfuerzo e inversión a proteger esta información tan valiosa?

Foto: Chris Potter

Anuncios

Comentarios

Trackbacks/Pingbacks

  1. Pingback: Seguridad en el mundo de la eSalud | Pediatría en Panamá - 02/02/2015

  2. Pingback: Seguridad en el mundo de la eSalud | Formaci&oa... - 04/02/2015

  3. Pingback: Seguridad en el mundo de la eSalud | Redes Soci... - 10/02/2015

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: