En el día europeo de la protección de datos, queremos profundizar en un tema que no solo acapara titulares, sino también la atención de los profesionales del ámbito médico y hospitalario. Ante la amenaza de filtraciones, fugas y usos negligentes, ¿conocemos realmente los riesgos más habituales en la protección de datos sanitarios?. Sigue leyendo para conocer cómo evitar los errores más comunes en la gestión de historias clínicas e información convencional y, por supuesto, reducir la posibilidad de brechas de seguridad.
Los datos sanitarios de los ciudadanos están incluidos dentro del listado de datos «sensibles» o «especialmente protegidos». Esta información es aquella que, yendo más allá de la meramente personal, tiene especial relación con su intimidad, las libertades públicas y los derechos fundamentales del ser humano. Por este motivo, junto con información sobre la orientación política, religiosa, sexual u otras informaciones como el origen racial, se incluye también la historia clínica y sus archivos vinculados. En ellos se recogen las enfermedades diagnosticadas, pruebas realizadas y tratamientos recibidos, así como cualquier otro contenido que arroje luz sobre el bienestar físico y mental de la persona en cuestión. Pese al buen trabajo y celo de los profesionales sanitarios, las brechas existen y, en ocasiones, esta información tan delicada queda al descubierto, pudiendo suponer un menoscabo de la dignidad del paciente, o, en los casos más extremos, convertirlo en blanco de ataques contra su persona.
Ataques más comunes contra la protección de datos sanitarios
En la actualidad ciudadanos y profesionales estamos más que acostumbrados a leer noticias sobre filtraciones, brechas de seguridad y ataques cibernéticos. Sin embargo, no somos tan conscientes de cómo los datos sanitarios se pueden ver comprometidos en nuestra actividad diaria. Los riesgos más comunes a los que nos enfrentamos en el entorno profesional en cuanto a la protección de datos sanitarios son los siguientes:
- Filtraciones intencionadas por parte de la plantilla. Los motivos pueden ser de lo más variados, pero el afectado es siempre el paciente.
- Robo masivo de datos. Al igual que en el caso de contraseñas e emails, las historias clínicas y otras informaciones médicas pueden ser blanco de grupos organizados. La reventa de estos datos en la Internet Profunda (Deep Web) no es un escenario tan descabellado en un momento en el que el Big Data y la personalización es clave para anunciantes y empresas.
- Uso negligente de los accesos a material sensible. Un ordenador sin bloquear, una contraseña poco segura o no contar con un protocolo de actuación en materia de uso de dispositivos es una de las formas más comunes de facilitar el trabajo a los ciberdelincuentes.
- Compra y venta de datos sanitarios de terceros. Aunque pueda sonar descabellado, hay empresas dispuestas a negociar con las historias clínicas y datos médicos de pacientes.
Buenas prácticas en la gestión de datos sanitarios
Por otro lado, tal como nos recuerda la Agencia Española de Protección de Datos (EPD), con nuestra labor diaria también podemos luchar contra las ciberamenazas. Para eso, es importante tener en cuenta algunas reglas tan sencillas como estas:
- Establecer una normativa de seguridad y hacer partícipes a todos los empleados de la necesidad de cumplirla. La elaboración de una política de seguridad y de una serie de normas y procedimientos a seguir facilitará la labor diaria de los profesionales y reducirá los fallos humanos en la custodia de documentos sensibles. La formación específica es imprescindible y debe ser periódica, refrescando los conocimientos y poniendo énfasis en las buenas prácticas en la protección de datos sanitarios.
- Implanta un control de acceso. Solo los usuarios autorizados podrán acceder a la información comprometida. No se deberán compartir contraseñas, dejar sesiones iniciadas o tener acceso a material no relevante para la función del profesional. Del mismo modo, la actividad de cada uno de los usuarios deberá quedar registrada para permitir un seguimiento de los eventos de importancia, especialmente de aquellos que ponen en peligro la seguridad de nuestros datos. Los armarios inteligentes, por ejemplo, realizan un registro automático de los accesos y acciones llevadas a cabo en cada sesión.
- Realiza copias de seguridad en el soporte más adecuado. Contar con un respaldo nos asegura que nunca se perderán datos de importancia y, si por el motivo que fuera, resultase imprescindible reiniciar el sistema, siempre se mantendría la integridad de la información.
- Actualizaciones, protecciones antimalware y firewalls. La red interna debe ser planteada con la protección de la información como base. Del mismo modo, debemos garantizar que todos los dispositivos estén correctamente actualizados para evitar que los ciberdelincuentes puedan explotar tanto el software como el hardware de nuestra organización. p
- Seguridad de la red: Internet es una fuente inagotable de amenazas. Por ello, debemos restringir y controlar al máximo el acceso externo a nuestra red corporativa poniendo especial vigilancia en el uso de dispositivos de almacenamiento extraíbles.
- Tránsito y movilidad. Vivimos en un mundo conectado y por eso es posible que nuestros trabajadores se conecten a los servidores de la empresa desde dispositivos externos o, incluso, fuera del país. Es imprescindible realizar un análisis previo de vulnerabilidades y establecer una pauta de uso de los dispositivos profesionales. Se evitará el acceso a través de redes no seguras, así como el uso de dispositivos no autorizados previamente. Esto aplica, especialmente a aquellos casos en los que los especialistas trabajan a distancia (teletrabajo) o colaboran de forma digital con sus compañeros.
Estas son solo algunas de las medidas más básicas para asegurar una buena praxis en la gestión de documentación sanitaria. ¿Se aplica alguna otra en tu entorno? Déjanos un comentario, compártela con nosotros y la añadiremos a esta lista.
