Inicio ASP Protegiendo la información sanitaria

Protegiendo la información sanitaria

Compartir

Los datos son, posiblemente, uno de los recursos más importantes que puede tener el mundo sanitario. Es un hecho que ya nadie pone en duda por su cantidad y por la importancia que tienen y tendrán en el futuro, tanto en la atención a los pacientes como en otros procesos relacionados con su análisis y explotación.

Y es por eso que los datos hay que protegerlos. Deben estar sujetos a las mayores medidas de seguridad posibles sin comprometer el acceso de quien realmente los necesita. No podemos permitirnos ningún fallo en lo que a su seguridad se refiere.

El control de acceso a la información
Por supuesto, la primera barrera de protección que deben tener los datos está en las aplicaciones que los recogen y los explotan. Controlar quién accede a qué e impedir accesos no autorizados a información sensible debe ser prioritario para cualquier sistema o aplicación que trate con datos de carácter sanitario.

Evidentemente esta norma básica se viene abajo cuando los propios usuarios utilizan credenciales genéricas (como analizábamos en un pasado artículo) o cuando estos mismos usuarios comparten sus propias credenciales personales.  En dichos casos todas las medidas de seguridad implantadas quedan anuladas, comprometiendo la seguridad de la información, la trazabilidad y otros puntos clave de control.

Tampoco debemos olvidar que los datos sanitarios son un bien muy deseado por elementos externos a las organizaciones, que serían capaces de hacer cualquier cosa por disponer de ellos. La seguridad perimetral, antivirus, controles de acceso externo, etc. de la mano de los servicios de IT, son también elementos muy importantes para proteger la información recogida por las organizaciones.

Las copias de respaldo y seguridad
En algunas ocasiones (afortunadamente no demasiadas) se producen situaciones que comprometen la integridad de la información almacenada. En esos momentos, disponer de copias de seguridad y respaldo de dicha información es fundamental para no perder datos. Los servicios de IT deben ser los responsables de crear y mantener estas copias de respaldo, asegurando su correcto funcionamiento y garantizando a los usuarios una adecuada respuesta ante un problema.

No obstante hay ocasiones en las que los usuarios mantienen información sensible de forma aislada (hablábamos también en otro artículo de las islas de información sanitaria) y fuera del control de los departamentos de IT. La pérdida de dicha información puede resultar crítica para los propios profesionales y sus organizaciones por lo que deberían eliminarse estos casos para evitar situaciones potencialmente peligrosas.

El tránsito de información entre sistemas
Un aspecto generalmente olvidado es que la información entre sistemas, cuando así lo requiera, debe viajar debidamente cifrada y protegida. El tránsito de información debe estar tan protegido como los propios datos dentro de las organizaciones.

Y esto no hace referencia exclusivamente a las comunicaciones de sistema a sistema. También hay que tenerlo en cuenta cuando enviemos información por medios electrónicos. El email, por ejemplo, es un mecanismo que por defecto no tiene ninguna seguridad y la transferencia de información clínica por este medio debería estar completamente prohibida. De forma similar, la mensajería electrónica u otros mecanismos de comunicación deben estar controlados y su uso, regulado por las organizaciones. Todo para proteger la información sanitaria de los pacientes.

El papel también cuenta
Y una cosa que nunca debemos olvidar es que el papel también contiene información de carácter personal que debe protegerse. Los documentos, informes y listados poco a poco van siendo eliminados de nuestros sistemas sanitarios pero aún persiste la necesidad (o costumbre) de utilizarlos.

Las historias clínicas en papel, de la misma forma, aún se mantienen en muchos centros sanitarios y las normas de seguridad, tan presentes en los medios digitales hoy en día, son igualmente de aplicación a ellas.

Protocolos, medidas y de seguridad y, sobre todo, compromiso
La seguridad de la información debe ser una prioridad en el entorno sanitario pero nunca podemos pensar que es el trabajo de una sola persona o equipo.

Las organizaciones deberán protocolizar el acceso a la información, definiendo y aplicando las adecuadas políticas de seguridad necesarias para que tenga acceso a la misma quien lo necesite y no pueda acceder quien no lo requiera. Pero los propios profesionales deben concienciarse de que también de ellos depende la seguridad de la información que manejan y comprometerse a cumplir las medidas de seguridadque nacen en las organizaciones. Sólo de esta forma se podrá proteger adecuadamente la tan valiosa información de salud de nuestros pacientes.

El reciente informe de la Agencia de Protección de Datos del que ya os hemos hablando anteriormente nos recuerda que aún queda mucho camino por recorrerpara que los datos de salud de los pacientes estén completamente protegidos. Entre todos debemos revertir esta situación para conseguir el mayor nivel de seguridad en la información clínica.
..Pedro Gonzalo. Hablando de eSalud