Todos estamos al tanto de los recientes titulares sobre importantes filtraciones de datos personales y otros incidentes cibernéticos similares, desde el robo de 145 millones de registros de una importante agencia de información crediticia hasta los informes sobre el cierre de empresas por ransomware. Pero de todos los datos que están en peligro, la violación de nuestra información sanitaria es probablemente la más preocupante.
- Los datos sanitarios son muy personales y pueden contener información que deseamos mantener confidencial (por ejemplo, historiales de salud mental) o afectar potencialmente a las perspectivas de empleo o a la cobertura del seguro (por ejemplo, enfermedades crónicas o antecedentes familiares de salud).
- Es de larga duración: una tarjeta de crédito expuesta puede cancelarse, pero su historial médico permanece con usted toda la vida.
- Es muy completa y exhaustiva: la información que las organizaciones sanitarias tienen sobre sus pacientes incluye no sólo datos médicos, sino también información sobre seguros y cuentas financieras. Puede tratarse de información personal como números de la Seguridad Social, direcciones o incluso los nombres de los familiares más próximos. Semejante riqueza de datos puede ser monetizada por los ciberadversarios de muchas maneras.
- En nuestro mundo sanitario digital, la disponibilidad fiable de datos sanitarios precisos para los médicos es fundamental para la prestación de asistencia, y cualquier interrupción en el acceso a esos datos puede retrasar la atención o poner en peligro el diagnóstico.
La privacidad y seguridad de la información sanitaria está estrictamente regulada en Estados Unidos por leyes federales, como la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), pero también por diversas leyes estatales y leyes que protegen a las personas contra la discriminación basada en datos genéticos.
Por desgracia, las filtraciones de datos sanitarios son demasiado frecuentes. En 2016, el Departamento de Salud y Servicios Humanos de Estados Unidos informó de un total de 450 fugas de datos sanitarios que afectaron a más de 27 millones de pacientes, y solo los 10 incidentes más importantes representaron la mitad de los registros vulnerados (13 millones). Y, lo que es más preocupante, más de la mitad de las filtraciones se debieron a ciberataques externos, en contraposición a la exposición accidental debida a errores humanos o pérdida de dispositivos.
Si nos fijamos en ejemplos recientes de incidentes de seguridad en la sanidad, veremos un amplio espectro de sucesos y motivaciones subyacentes por parte del ciberdelincuente. Hemos visto informes de empleados de hospitales que hojean historiales médicos por curiosidad o publican información sobre pacientes en las redes sociales. También ha habido casos en los que se ha robado la identidad de una persona o información financiera o sobre su seguro para obtener un beneficio personal, por ejemplo, para contratar una hipoteca o recibir servicios médicos a nombre de otra persona (y con el seguro de otra persona).
Los incidentes que tienen mayor repercusión y afectan a más pacientes son el robo de historiales médicos y los intentos de extorsionar a las organizaciones sanitarias amenazándolas con la divulgación de los datos robados. Asimismo, las instituciones sanitarias se han visto afectadas por el ransomware, y algunas han decidido pagar y otras no, optando en su lugar por aceptar el impacto en los servicios a los pacientes y la pérdida de ingresos.
Para los proveedores de asistencia sanitaria y las aseguradoras, no suele haber limitaciones para que los pacientes revelen información sobre su salud. Del mismo modo que cualquier paciente puede (y casi siempre debe) compartir sus preocupaciones sobre su salud con familiares y amigos, ahora cualquier paciente puede compartir fácilmente lo que quiera con el mundo a través de las redes sociales o unirse a un grupo de apoyo en línea. Aunque en general se trata de medidas positivas que ayudan a las personas con problemas de salud a encontrar apoyo y recibir asesoramiento, ahora tenemos que ser mucho más conscientes de lo que compartimos y dónde va a parar.
¿Qué tamaño tiene tu red social y quién puede ver lo que compartes? ¿Quién aloja el grupo de apoyo al que te acabas de unir y cuál es su compromiso con la privacidad de los datos? Muchos sitios, sobre todo si están alojados en organizaciones de confianza, son seguros. Pero, ¿cómo sabe qué información puede compartirse y analizarse con fines de marketing o de otro tipo?
De ninguna manera debe interpretarse este consejo en contra de compartir o buscar apoyo en línea. Cuanto más sepamos, mejor preparados estaremos y mejores decisiones de atención sanitaria podremos tomar. La gran cantidad de información que podemos obtener de Internet ha dado lugar a una población de pacientes más instruida, mucho más capaz de participar y formar parte del proceso de curación.
Sin embargo, la preocupación por la capacidad de su proveedor de atención sanitaria para proteger sus datos no debe llevar a los pacientes a ocultar información. Incluso en esta era digital, la relación de confianza entre el paciente y el médico sigue siendo el aspecto más importante de nuestro sistema sanitario, y esa confianza es recíproca: los pacientes deben confiar a sus proveedores información a menudo íntima y personal, y los proveedores deben saber que sus pacientes no ocultan nada por motivos de privacidad.
Hemos entrado en la nueva era de la medicina digital y de la disponibilidad casi universal de la información, lo que permite mejorar el diagnóstico y el éxito de los tratamientos y, en última instancia, reducir el sufrimiento y prolongar la vida. Sin embargo, esta gran oportunidad también conlleva nuevos riesgos y todos -profesionales sanitarios y pacientes por igual- debemos ser conscientes de cómo utilizamos esta nueva tecnología y compartimos la información.
Los siguientes blogs de esta serie tratarán estas cuestiones con más detalle, centrándose específicamente en las redes sociales, las aplicaciones sanitarias y los dispositivos personales de salud y forma física, y revisarán cómo podemos, como pacientes y consumidores, mejorar nuestra protección y la de nuestra información.
Sobre los autores
Los autores son miembros del Comité de Privacidad y Seguridad de la Healthcare Information and Management Systems Society (HIMSS):
Bayardo Álvarez, CPHIMS, es el director de tecnología de la información del Boston PainCare Center, una consulta interdisciplinar centrada en el tratamiento y la investigación del dolor crónico. Sus responsabilidades incluyen la supervisión del programa de ciberseguridad y el cumplimiento de Boston PainCare. Bayardo trabaja en el sector sanitario desde hace más de una década y cuenta con más de 30 años de experiencia en tecnologías de la información. Es el actual presidente del Comité de Privacidad y Seguridad de HIMSS.
Carrie McGlaughlin, CISM, ha trabajado dos décadas en informática sanitaria y es directora de informática y responsable de seguridad de la HIPAA en el Rancho Buckeye, una organización de salud mental y del comportamiento para jóvenes y familias.
Axel Wirth, CPHIMS, CISSP, HCISPP, es un distinguido arquitecto de soluciones para el sector sanitario estadounidense en Symantec Corporation. Proporciona una visión estratégica y liderazgo técnico dentro de la vertical de atención sanitaria de Symantec, desempeñando un papel consultivo para los proveedores de atención sanitaria, socios del sector y profesionales de la tecnología sanitaria. Gracias a sus más de 30 años de experiencia internacional en el sector, el Sr. Wirth ayuda a los clientes del sector sanitario de Symantec a resolver sus problemas críticos de seguridad, privacidad, cumplimiento y gestión de TI.