Seguridad y Privacidad
9 nov 2017
|
Lectura breve
Privacidad de la Información de Salud – ¿Por qué Debería Importarnos?
Las recientes violaciones de datos que involucran información de salud representan riesgos significativos para nuestra privacidad en línea. Aprende a proteger tus valiosos datos de salud.
Todos somos conscientes de los recientes titulares sobre importantes violaciones de datos de información personal y similares incidentes cibernéticos, desde el robo de 145 millones de registros de una importante agencia de informes crediticios hasta informes sobre ransomware que paraliza negocios. Pero de todos los datos que están en riesgo, una violación de nuestra información de salud es probablemente la más preocupante.
Los datos de salud son muy personales y pueden contener información que deseamos mantener confidencial (por ejemplo, registros de salud mental) o que potencialmente pueden impactar las perspectivas de empleo o la cobertura de seguros (por ejemplo, enfermedades crónicas o antecedentes familiares de salud).
Es de larga duración: una tarjeta de crédito expuesta se puede cancelar, pero tu historial médico te acompaña toda la vida.
Es muy completo y exhaustivo: la información que las organizaciones de salud tienen sobre sus pacientes incluye no solo datos médicos, sino también información de seguros y cuentas financieras. Esto podría ser información personal como números de Seguridad Social, direcciones o incluso los nombres de los parientes más cercanos. Tal cantidad de datos puede ser monetizada por adversarios cibernéticos de muchas maneras.
En nuestro mundo digital de la salud, la disponibilidad confiable de datos de salud precisos para los clínicos es crítica para la prestación de atención y cualquier interrupción en el acceso a esos datos puede retrasar la atención o poner en peligro el diagnóstico.
La privacidad y seguridad de la información de salud está estrictamente regulada en los EE. UU. bajo leyes federales, como la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA), pero también a través de varias leyes estatales y leyes que protegen a las personas contra la discriminación basada en datos genéticos.
Desafortunadamente, las violaciones de datos de salud son demasiado comunes. Para 2016, el Departamento de Salud y Servicios Humanos de EE. UU. informó un total de 450 violaciones de datos de atención médica que afectaron a más de 27 millones de pacientes, con los 10 incidentes más grandes representando la mitad de los registros violados solo (13 millones). Y, lo más preocupante, más de la mitad de todas las violaciones se debieron a ataques cibernéticos externos, en lugar de exposición accidental debido a errores humanos o pérdida de dispositivos.
Mirar ejemplos recientes de incidentes de seguridad en el cuidado de la salud mostrará un amplio espectro de eventos y motivaciones subyacentes del ciberdelincuente. Hemos visto informes de empleados en hospitales observando registros médicos por curiosidad o publicando información sobre pacientes en redes sociales. También ha habido casos en los que la identidad, la información financiera o de seguros de un individuo es robada para beneficio personal, por ejemplo, para obtener una hipoteca o recibir servicios médicos en nombre de otra persona (y con el seguro de otra persona).
Los incidentes que tienen un impacto más amplio y afectan a más pacientes son el robo de registros médicos e intentos de extorsionar a organizaciones de atención médica amenazando con divulgar datos robados. Además, las instituciones de atención médica se han visto afectadas por ransomware, con algunas optando por pagar y otras no, eligiendo en su lugar aceptar el impacto en los servicios al paciente y la pérdida de ingresos.
Para los proveedores de atención médica y aseguradoras, típicamente no hay limitación para que los pacientes divulguen información sobre su salud. Al igual que cualquier paciente puede (y en su mayoría debería) compartir preocupaciones sobre su salud con familiares y amigos, ahora cualquier paciente puede fácilmente compartir lo que quiera con el mundo a través de las redes sociales o unirse a un grupo de apoyo en línea. Aunque estos son generalmente pasos positivos que ayudan a un individuo con preocupaciones de salud a encontrar apoyo y recibir consejos, ahora debemos ser mucho más conscientes de lo que compartimos y dónde termina.
¿Qué tan grande es tu red social, y quién puede ver lo que estás compartiendo? ¿Quién está hospedando el grupo de apoyo al que te acabas de unir y cuál es su compromiso con la privacidad de datos? Muchos sitios, especialmente si son hospedados por organizaciones de renombre, son seguros. Pero ¿cómo sabes qué, o si alguna, de tu información puede ser compartida y analizada con propósitos de marketing u otros?
De ningún modo este consejo debe interpretarse en contra de compartir o buscar apoyo en línea. Cuanto más sepamos, mejor preparados estaremos, y mejores decisiones sobre atención médica seremos capaces de tomar. La riqueza de información que podemos obtener de internet ha conducido a una población de pacientes más educada que es mucho más capaz de estar comprometida y ser parte del proceso de curación.
Sin embargo, las preocupaciones sobre la capacidad de tu proveedor de atención médica de proteger tus datos no deben llevar a los pacientes a retener información. Incluso en esta era digital, la relación de confianza paciente-doctor sigue siendo el aspecto más importante de nuestro sistema de atención médica, y esa confianza va en ambas direcciones: los pacientes necesitan confiar en sus proveedores con información a menudo íntima y personal, y los proveedores necesitan saber que sus pacientes no están ocultando nada debido a preocupaciones de privacidad.
Hemos entrado en la nueva era de la medicina digital y la disponibilidad casi universal de información, lo que lleva a mejores diagnósticos y tratamientos más exitosos, en última instancia reduciendo el sufrimiento y prolongando vidas. Sin embargo, esta gran oportunidad también viene con nuevos riesgos y todos nosotros – proveedores de atención médica y pacientes por igual – necesitamos ser conscientes de cómo usamos esta nueva tecnología y compartimos información.
Los siguientes blogs de esta serie discutirán estos problemas con más detalle, centrándose específicamente en las redes sociales, aplicaciones de salud y dispositivos personales de salud y fitness, y revisarán cómo nosotros, como pacientes y consumidores, podemos hacer un mejor trabajo para protegernos y proteger nuestra información.
Sobre los Autores
Los autores son miembros del Comité de Privacidad y Seguridad de la Sociedad de Sistemas de Información y Gestión de Salud (HIMSS):
Bayardo Alvarez, CPHIMS, es el director de tecnología de la información para el Boston PainCare Center, una práctica interdisciplinaria que se centra en el tratamiento e investigación del dolor crónico. Sus responsabilidades incluyen supervisar el programa de ciberseguridad y cumplimiento de Boston PainCare. Bayardo ha servido en la industria de salud por más de una década, y tiene más de 30 años de experiencia en tecnología de la información. Es el actual presidente del Comité de Privacidad y Seguridad de HIMSS.
Carrie McGlaughlin, CISM, ha trabajado dos décadas en TI de atención médica y es directora de tecnología de la información y oficial de seguridad HIPAA en el Buckeye Ranch, una organización de conducta y salud mental para jóvenes y familias.
Axel Wirth, CPHIMS, CISSP, HCISPP, es un distinguido arquitecto de soluciones para la industria de la salud de EE. UU. en Symantec Corporation. Proporciona visión estratégica y liderazgo técnico dentro del sector de atención médica de Symantec, sirviendo en un rol consultivo para proveedores de atención médica, socios de la industria y profesionales de tecnología de salud. Con más de 30 años de experiencia internacional en la industria, el Sr. Wirth está apoyando a los clientes de salud de Symantec para resolver sus desafíos críticos de seguridad, privacidad, cumplimiento y gestión de TI.
Artículos Destacados
Etiquetas