Medicina digital debe aplicar alta seguridad para datos
La encriptación y uso de servidores especializados son parte de las medidas de protección
Los servicios médicos digitalizados, que van desde expedientes en línea hasta telemedicina, recibieron un espaldarazo con la llegada de la pandemia por COVID-19.
Con su crecimiento, el acceso y la protección de los datos sensibles de los pacientes salta a la luz como el principal riesgo asociado, un área en el que el sector salud no duda en tomar acciones.
La encriptación de datos, múltiples capas de seguridad, servidores especializados y bloqueos particulares de información, son parte de las medidas que se toman actualmente para proteger los datos de los pacientes.
Quién puede ver cada sección, qué se puede editar y cómo acceder a los datos médicos es parte de lo que cambia con el auge de la medicina digital.
Los riesgos
Las ventajas de poder acceder a la medicina de forma virtual no se resumen en agendar una cita a través de Internet. Lo más importante es que se mejora el acceso. Eliminar las barreras físicas que quedan evidenciadas con la pandemia en el sistema de salud, tanto público como privado, es de las principales ventajas de este avance.
También hay ventajas competitivas. La digitalización permite ampliar la oferta y brindar canales nuevos de servicio.
Sin embargo, hay riesgos. El almacenamiento de datos personales siempre ha sido un tema sensible y los hospitales, clínicas y demás servicios de salud son bancos de este tipo de información, pero la digitalización y el acceso vía web de estos multiplica las posibilidades de filtración.
No es que el pasado fuera mejor, el expediente en papel se enfrentaba a riesgos como el robo o los incendios.
Lo primero, y básico de acuerdo con Federico Portuguez, gerente de informática del Hospital CIMA, es seguir la normativa vigente del país en esa materia. Costa Rica tiene la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (8.968). La legislación fue actualizada en 2016.
La ley tiene como objetivo garantizar el derecho a la autodeterminación de la vida o actividad privada de las personas, así como la defensa de su libertad respecto al tratamiento automatizado o manual de sus datos o bienes. Esta se aplica a los datos personales que figuren en bases de datos automatizadas o manuales, de entes públicos o privados.
El país también cuenta con una Agencia de Protección de Datos de los Habitantes (Prodhab).
Sin embargo, estas medidas de seguridad deben estar más presentes que nunca en medio del auge para evitar peligros, de acuerdo con Alejandro Vega, gerente general de Huli. Un ejemplo simple es el enlace de las citas que usan los pacientes para llevar su videoconsulta dentro de la plataforma en línea.
“Este enlace al igual que una cuenta de banco o una firma digital se debe mantener privado y no compartirlo con terceros, ya que a través del mismo es que se conecta con el médico”, explica Vega.
Seguir exclusivamente las normativas nacionales actuales no es suficiente para blindar la información médica.
Tanto el CIMA como Huli apostaron por adoptar como buenas prácticas, algunas regulaciones establecidas en la Ley de Portabilidad y Responsabilidad del Seguro Médico de Estados Unidos (HIPAA por sus siglas en inglés).
Además, el CIMA implementa otras prácticas de la Unión Europea (UE) que son estándares de la industria como la General Data Protection Regulation (GDPT) y los ISO 27.000.
La idea de ir un paso más allá de la regulación nacional se fortalece de cara al crecimiento del turismo médico en el país. Estas dinámicas son repetidas por otros centros de salud privados en Costa Rica.
De acuerdo con Massimo Manzi, director ejecutivo de la Cámara Costarricense de la Salud, muy buena parte de la regulación HIPAA se cumple en el país, para que los centros médicos puedan ser acreditados en Estados Unidos. La ejecución de estas normas tiene que ver con cómo se almacenan y cómo se comparten los datos de los pacientes: quién tiene acceso a los datos y quién no.
Algunos de las reglas de la HIPAA son:
Asegurar la confidencialidad, integridad y disponibilidad de toda la información electrónica de salud protegida (e-PHI) que crean, reciben, mantienen o transmiten.
Identificar y proteger contra amenazas razonablemente anticipadas a la seguridad o integridad de la información.
Proteger contra usos o divulgaciones razonablemente anticipados e inadmisibles.
Asegurar el cumplimiento por parte de su fuerza laboral.
La información médica protegida es todo lo relacionado a la salud, el tratamiento o la facturación que pueda identificar a un paciente. Esto incluye: Nombre.
Fechas (por ejemplo, fecha de nacimiento, fecha de tratamiento).
Ubicación (dirección, código postal).
Números de contacto. Información de contacto web (correo electrónico, URL o IP).
Números de identificación (seguro social, cédula, cuenta médica).
Información de identidad física (foto, huellas dactilares).
Manejo complejo
Los hospitales son entes complejos y para evitar filtraciones de cualquier información sensible utilizan distintos sistemas.
“Desde el área de informática los riesgos son prioritarios”, apunta Portuguez. Para enfrentarlos, y preverlos, se utiliza un conjunto de mecanismos, porque no existe ninguna herramienta con la que se pueda garantizar una seguridad completa.
En el caso de Huli, la empresa utiliza servidores de Amazon Web Services (AWS) que cumplen con las medidas de HIPAA.
También hay procesos dentro de cada centro. Por ejemplo, encriptar la información y protegerla con distintos procesos de acreditación. En resumen, poner distintas capas de seguridad sobre los datos. También hay labores de etiquetado para datos.
Sin embargo, es información que no destaca como “demasiado sensible” para que no pueda estar en Internet.
“Lo que debe haber son políticas, procesos y normas que permitan asegurar esa información”, declaró Portuguez.
De acuerdo con Vega, la información médica es tan sensible como otros tipos de información, bancaria o legal, por ejemplo. Y como con estas, hay mecanismos para respaldarla y protegerla.
Aquí entran en juego los métodos de respaldo y redundancia. Por ejemplo, la caída de un servidor es un hecho que puede afectar casi cualquier negocio, pero es un lujo que no se puede dar un hospital. Por eso utilizan servidores múltiples, de esa manera si uno falla no afecta el sistema porque hay varios más como respaldo. También hay múltiples enlaces para ingresar a la información.
¿Qué hacer ante una filtración?
Lo principal ante cualquier tipo de detección de información filtrada es aislar la amenaza y reducirla lo más posible. Una vez que el equipo de datos debe investigar qué fue lo que sucedió y cómo, para blindar el problema a futuro.
Una buena práctica es la divulgación para enterar a los afectados. Hay protocolos de cómo comunicar a los usuarios lo más rápido posible lo sucedido.
Esto, aunque no es un proceso obligatorio es fundamental si se quiere demostrar transparencia y mantener la confianza, agregó Portuguez.