Dar resguardo a los datos es fundamental en tiempos de transformación digital.
La pérdida o filtración de datos puede tener consecuencias complejas. Desde repercusiones financieras, hasta daños en la imagen y la credibilidad.
Por lo tanto, garantizar medidas de seguridad adecuadas hoy es una prioridad esencial. Especialmente para las organizaciones de la salud, teniendo en cuenta la sensibilidad de la información que gestionan. Evaluemos en profundidad este tema.
¿Por qué es central proteger los datos en la gestión sanitaria?
La razón principal de la protección de datos en el ámbito de la salud está relacionada con el cumplimiento de la legislación vigente de cada país. Así como con el objetivo de garantizar la seguridad de esos datos, y consolidar su confidencialidad, integridad y disponibilidad.
De igual modo, para salvaguardar la privacidad y dignidad de los pacientes, preservar la ética médica y fomentar la confianza en los sistemas de atención médica.
Analicemos en detalle cada una de las cinco (5) razones que destacan la importancia de la protección de datos en salud.
¿Cómo priorizar procesos en un proyecto de transformación digital?
La clave para establecer una priorización de procesos en el marco de un proyecto de transformación digital en el ámbito de las aseguradoras de salud, reside en focalizarse en aquellos que permitan que el asegurado tenga victorias tempranas.
Una vez obtenidos estos logros, será el momento de centrarse en los procesos críticos internos. En los procesos misionales o esenciales que determinarán el éxito de un modelo de aseguramiento.
1° Cumplimiento legal y normativo
Existen leyes y regulaciones estrictas que rigen la protección de datos en salud en cada país. Como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) en Estados Unidos o el Reglamento General de Protección de Datos (GDPR) en la Unión Europea.
En la República Argentina se dictó la ley 25.326, instituyendo un mecanismo de protección de los datos personales, que incluye los datos sensibles y de salud. También estableció principios de licitud de tratamiento de datos personales en general, que resultan aplicables a los datos relativos a la salud.
En Colombia, la Ley 1581 de 2012 de Protección de Datos Personales reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o en archivos y que sean susceptibles de tratamiento por entidades de naturaleza pública o privada.
Como explica Tatiana Sanmiguel Ballesteros (Comité de Comunicaciones – Asociación de Usuarios Sanitas), en el sector salud, forman parte de sus datos sensibles las historias clínicas, los exámenes de laboratorio y todos los datos relacionados con la salud, que obliga a la protección por parte de las entidades responsables.
El incumplimiento de estas leyes y regulaciones destinadas a proteger la información médica confidencial, puede derivar en sanciones legales y multas significativas.
Asegurar el cumplimiento de la normativa vigente en cada país en el que se opera, es un compromiso ineludible que tienen que asumir tanto las aseguradoras como los prestadores de salud y los proveedores de tecnología.
2° Confidencialidad del paciente
La confidencialidad del paciente se refiere al principio ético y legal que protege la privacidad de la información médica y personal de una persona que está recibiendo atención sanitaria.
Este principio establece que los profesionales de la salud, así como cualquier persona que tenga acceso a la información médica de un paciente en el marco de un tratamiento médico, debe mantenerla en secreto y resguardada.
Teniendo en cuenta que la información sanitaria es extremadamente sensible y privada, se debe garantizar que se mantenga confidencial, evitando la divulgación no autorizada que pueda afectar la privacidad y la dignidad de las personas.
En cada país hay normativas asociadas al principio de la confidencialidad de los datos. Estas indicaciones se vinculan con el nivel de sensibilidad de cada dato almacenado y que está siendo procesado, dependiendo del estado donde se encuentra la información.
“Basados en el principio de la confidencialidad, en la regulación vigente y en el estado actual de la seguridad a nivel de ataques informáticos, es súper importante ejecutar actividades de aseguramiento en relación a los activos confidenciales o datos personales sensibles, asegurando la disponibilidad de los mismos”, explica José Ríos, especialista en Ciberseguridad de Conexia.
3° Seguridad de la Información
Los datos de salud son objetivos valiosos para ciberdelincuentes y estafadores. A fin de reducir los riesgos asociados al accionar de estos grupos, la protección de datos incluye medidas para garantizar la seguridad de la información médica. Protegiéndola contra accesos no autorizados, robos o ataques cibernéticos, que podrían comprometer la integridad de los registros médicos y la seguridad de los pacientes.
“Hay que tener un equipo de seguridad dedicado. Y estar certificados en la norma ISO 27.000. Si no se está certificado, se está bailando en la cornisa”, advierte Luis Navas, CEO de Conexia. “Si bien la certificación no garantiza el 100%, minimiza las chances de ser víctima de un ataque”, precisa.
4° Etica médica y confianza del paciente
Los pacientes confían en que sus datos médicos estarán protegidos y no serán utilizados de manera indebida.
La confidencialidad es una parte fundamental de la relación médico-paciente, y de la aseguradora de salud con sus asegurados.
Se trata de un factor crucial para mantener la confianza en las organizaciones y los profesionales de la salud, y en el sistema de atención médica en general.
5° Prevención de discriminación y estigmatización
La divulgación no autorizada de información médica podría llevar a la discriminación y estigmatización de los pacientes.
Justamente, la protección de datos ayuda a prevenir y evitar que los datos médicos se utilicen con fines perjudiciales para las personas como:
- La exclusión social.
- El acceso restringido a seguros médicos.
- Problemas para el acceso al empleo.
- El estigma asociado a ciertas condiciones de salud.
Por ello es crítico preservar la confidencialidad. Hacerlo, garantiza el derecho a la privacidad de los datos.
Garantizar la protección de datos en procesos de transformación digital
Los datos se pueden resguardar aplicando ciertos controles de seguridad a nivel de los procesos de operación que ejecuta ese dato.
Es necesario y crítico contar con controles puntuales de acceso. Lo cual permite garantizar que la persona que accede a un dato tenga los privilegios requeridos para poder hacerlo, y obviamente el rol indicado.
“Desde la perspectiva del almacenamiento, se deben implementar controles asociados a la parte de criptografía. Hay que tener en cuenta que el dato está en reposo, cifrado y cuenta con un debido control de acceso y aseguramiento, frente a su manipulación, pérdida de integridad y confidencialidad”, explica José Ríos.
El especialista en Ciberseguridad de Conexia agrega, que “hay muchos controles de seguridad adicionales, en la capa de red y en la capa de usuario. Por eso es tan importante también la concientización a nivel de usuario final, implementando un grupo de controles de seguridad que minimicen riesgos”.
“El usuario que está procesando el dato debe ser consciente del uso que le está dando, y obviamente del nivel de confidencialidad y tratamiento que se le va a dar”, añade Ríos, aclarando que hay muchos controles y estándares que observar.
¿Cómo se define quién tiene acceso a los datos de salud?
Uno de los retos más determinantes para la protección de datos es decidir quién tiene o tendrá acceso a un determinado tipo de información.
“Algo que no decide Conexia. Nuestro cliente es el que decide hasta dónde le va a dar permisos de acceso a cada persona”, manifiesta Luis Navas, manifestando que para el acceso a la información se tienen roles en la plataforma Suite Conexia, y cada rol maneja cierto nivel de acceso.
“Si se le pregunta a un médico qué información necesita, su respuesta va a ser que necesita todo. Entonces hay que tomar decisiones sobre el acceso que se va a dar a cada actor del sistema”, añade.
No hay respuestas en blanco o negro al momento de tomar la decisión. Entre los datos hay información privada, muy delicada. Si una persona tiene SIDA u otras afecciones que pueden ser estigmatizantes, ¿quién debe tener acceso a ellas? ¿Un dentista? Posiblemente, sí. ¿Un fisioterapeuta o un psicólogo?
Para permitir la adecuada gestión de esta información sensible, es primordial operar con una plataforma que le permita a quien toma la decisión, darle su acceso a no a un determinado profesional, según sus propios estándares.
Compromiso de Conexia con la protección de datos de salud
Desde Conexia acompañamos a las organizaciones de salud en su camino de transformación digital, desde hace más de 27 años.
Desde el inicio, fue nuestra prioridad poder garantizar una gestión segura de la información transaccionada a través de nuestra plataforma tecnológica. Nos esforzamos en la protección de su confidencialidad y privacidad, y en el aseguramiento de su integridad y disponibilidad.
A través de una sólida política de seguridad de la información, trabajamos de forma continua para identificar y gestionar los potenciales riesgos a los que está expuesta la operación. También, prevenir incidentes, detectar vulnerabilidades e implementar planes de capacitación y concientización, tanto internamente como a sus clientes.
En Conexia somos conscientes de la importancia del manejo seguro de los datos sensibles y estamos comprometidos con nuestro rol. Por eso, todos los procesos de trabajo son auditados periódicamente y medidos para asegurar la inviolabilidad de la cadena de custodia dentro del ciclo de vida de la información.
A través de la certificación en la norma ISO 27001:2015 de las operaciones en todos los países en los que operamos, aseguramos a nuestros clientes los más altos estándares de seguridad de la información.