Este documento trata sobre la seguridad de la información en la industria de la salud. Explica la necesidad de proteger la información de pacientes y cumplir con las leyes y regulaciones de privacidad de datos. También describe los riesgos de no proteger adecuadamente la información médica y los casos de exposición de datos. Finalmente, presenta un marco de protección que integra estándares y ofrece objetivos de control para establecer un entorno seguro para la información de salud.
1. Gestión de la
Información en el
Ámbito de Sanidad
SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA DE LA SALUD
Fabián Descalzo – Buenos Aires - ARGENTINA
2. Gestión de la
Información en el
Ámbito de Sanidad
Nueva visión de la seguridad (seguridad vs aseguramiento)
Necesidades y obligaciones de las Instituciones
Objetivos de aseguramiento
Riesgos del servicio asistencial
Casos de exposición
Identificación de componentes de información
Marco de protección:
Enfoque metodológico
Integración de estándares
Principales objetivos de control
Entorno de la información
Requerimientos para un entorno controlado
Dominios clave
Herramientas de implementación
Objetivos logrados
2
3. Nueva visión de la seguridad
Agregar valor al Servicio
Visión basada en riesgos asociados al Servicio
Liderazgo y poder de delegación
3
4. Necesidad de las Instituciones
Requerimientos
legales y
reglamentarios
de la actividad
Ley de Protección de
Datos Personales y
Acción de “Habeas
Data”
Disponer de
una gestión
que asegure el
tratamiento
de la
información
de sanidad y
sus procesos
asociados
Frameworks que
aportan valor
agregado al
actividad
4
5. Obligaciones de las Instituciones
Confidenciales
Sensibles
Datos personales
Filiatorios y
domiciliarios
Datos de Salud
Historia Clínica y
estudios
complementarios
5
6. Obligaciones de las Instituciones
Alcances
del control
Profesionales de la salud y
establecimientos de sanidad
• Investigaciones clínicas.
• Consentimientos informados, Respeto absoluto al secreto profesional y a las normas de
confidencialidad aplicables a los datos recolectados según la Ley de Habeas Data.
• Consentimiento para el tratamiento, cesión y/o transferencia de datos personales.
• Verificación del sistema de disociación de datos
Nivel de Capacitación del Responsable de la Base
+ Legalidad de los Datos
+ Idoneidad de los Medios Empleados en el Tratamiento y Toda Gestión
Anexa + Correcto Tratamiento incluyendo a Terceros + Publicidad y Formas
de Comunicación que involucren datos personales
6
7. Obligaciones de las Instituciones
Alcances
del control
•
•
•
•
•
•
•
Toda la documentación
Contratos
Hardware
Software
Procesos informatizados y manuales
Lugares de almacenamiento
Capacitación del todo el personal asignado al
tratamiento de datos y al proceso de acceso a
datos por parte de los titulares.
7
8. Objetivos de aseguramiento
Gestión de la Información de Sanidad
Garantizar la calidad
de los servicios de
salud
en base a la relación directa
entre la calidad de los
registros y la calidad de la
atención prestada
Brindar un proceso
que asegure los datos
de Pacientes y Socios
Asegurar la
información para
Prestadores y
Profesionales
Confidencialidad, Integridad y Disponibilidad
8
9. Objetivos de aseguramiento
Habilitar una compatibilidad y coherencia de la información a salud y datos
CONFIDENCIALIDAD
• datos personales
referentes a la
salud deben de ser
tratados con el
nivel más alto de
protección.
• En esta variable
conviene recordar
que existen
mayores riesgos
cuando la
información no está
informatizada
INTEGRIDAD
• Indispensable para
mantener la
información
médico-sanitaria
• Garantizar la
seguridad de los
pacientes en su
atención
• Garantizar a
prestadores y
profesionales
información
fidedigna
DISPONIBILIDAD
• Fundamental para
la eficacia de la
prestación de
servicios médicos
En el sector de sanidad la integridad y disponibilidad de una historia clínica es
muy importante. La falta de integridad o disponibilidad de datos de sanidad
en una historia clínica puede llegar a suponer la pérdida de vidas humanas
9
10. Riesgos para el servicio asistencial
Incumplimiento de normas de regulación legal y de
sanidad
Exposición de datos sensibles a personas (historias
clínicas, resultados de investigaciones, resultados de laboratorio)
Errores de gestión de seguridad con Gerenciadoras de
contratos, Distribuidoras, Droguerías, Farmacias, Obras
Sociales y empresas de medicina prepaga, Médicos
Exposición negativa ante la competencia y público en
general
10
11. Casos de exposición
Resumen: Papelería que
contenía la información de al
menos 66 pacientes del hospital
fue perdida, aparentemente
olvidada por un empleado, en
un tren. Los datos incluían
nombres, fechas de nacimiento
e información médica
(diagnósticos, proveedores,
etc.). El hospital envío cartas a
todos los pacientes cuyas
identidades estaban en los
papeles perdidos
11
13. Casos de exposición
Por vía reglamentaria se procederá a la regulación detallada de los distintos
extremos que deberá contener la inscripción, entre los cuales figurarán
necesariamente los siguientes:
A) Identificación de la base de datos y el responsable de la misma.
B) Naturaleza de los datos personales que contiene.
C) Procedimientos de obtención y tratamiento de los datos.
D) Medidas de seguridad y descripción técnica de la base de datos.
E) Protección de datos personales y ejercicio de derechos.
F) Destino de los datos y personas físicas o jurídicas a las que pueden ser
transmitidos.
G) Tiempo de conservación de los datos.
H) Forma y condiciones en que las personas pueden acceder a los datos referidos
a ellas y los procedimientos a realizar para la rectificación o actualización de los
datos.
13
14. Casos de exposición
CONSECUENCIAS DE ERRORES EN LA HISTORIA CLINICA
PERDIDA DE DATOS
¿QUÉ OCURRE SI NO SE ELABORA LA HC O SE OMITE ANOTAR ALGÚN PROCEDIMIENTO O
MEDICACIÓN?
Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero
adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente.
FALTA DE INTEGRIDAD DE LOS DATOS
¿QUÉ OCURRE SI SE HACEN ANOTACIONES DE LAS CONDICIONES DE SALUD DE UNA PERSONA,
O ACTOS MÉDICOS O PROCEDIMIENTOS QUE NUNCA SE REALIZARON?
Se comente el delito de falsedad ideológica en documento privado. Todo lo que no se precise en
ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las
sanciones ante el Tribunal de Ética Médica, disciplinariamente.
FALTA DE CONFIDENCIALIDAD DE LOS DATOS
¿QUÉ SANCIÓN TIENE UNA PERSONA PARTICULAR QUE REVELE ALGO QUE ESTE EN LA HISTORIA
CLÍNICA DE OTRA PERSONA?
Comete el delito de divulgación y empleo de documentos reservados.
14
15. Identificación de componentes de información
Físico, Documentos en papel, incluyendo historia
clínica, faxes y copias fotostáticas, radiografías,
recetas, estudios clínicos.
Formato electrónico, Documentos electrónicos en
procesador de texto, hojas de cálculo, datos en
aplicaciones (historia clínica electrónica, resultados
por correo electrónico)
Interpersonal, comunicada de una persona a otra
verbalmente por teléfono o en persona, o por escrito
vía fax, correo postal o correo electrónico.
15
17. Enfoque metodológico
• Implementación de frameworks de “Buenas Prácticas” integrados para
facilitar el cumplimiento de leyes y regulaciones
• Se consideran los estándares y las políticas corporativas
• El enfoque integrador, toda la Organización participa en el aseguramiento
de la información
Necesidades del Servicio
Tecnología
• Herramientas
• Interfaces
Implementación
(Procesos implantados)
• Herramientas
• Migraciones
• Interfaces
Mejoramiento continuo
• Herramientas
• Interfaces
• Documentación
• Nivel de Madurez
• GAP
Personas
•
•
•
•
Estructura
Instituciones
Nivel de destrezas
Capacitación
•
•
•
•
•
Diseño lógico
Diseño Físico
Vinculaciones
Documentación
Validación de
Funcionamiento
• Roles y
responsabilidades
• Entrenamiento
• Cambio Cultural
• Herramientas de
capacitación
•
•
•
•
Seguimiento
Ajustes
Refinamientos
Nuevos Procesos
• Entrenamiento
• Capacitación
Project Management
Assessment
(GAP, Plan Preliminar)
Procesos
17
18. Enfoque metodológico
27000
Frameworks de Control
Frameworks de Gestión y Calidad
ISO 9001
Sistema de
Calidad
Estrategia de IT
Planeamient
o IT
PMI
Gestión de
Proyectos
ISO 27799
Seguridad
de IT
CMMI
Desarrollo
de
Aplicaciones
ITIL/ISO 20000
Gestión de
Servicios IT
SEGURIDAD INTEGRAL
Operación de IT
Documentación legal, regulatoria y
operativa
Gestión de la Seguridad Física
Operación Documental
18
19. Integración de estándares
El uso de estándares simplifica el procesamiento de
la información
Facilitan la interoperabilidad entre los sistemas
Mejoran la especificidad clínica requerida para medir
resultados asistenciales
Definen políticas y procedimientos para proteger la
confidencialidad
Aportan en la evaluación de los programas de salud
Establecen requerimientos mínimos para la
seguridad e integridad de los datos
19
21. Principales objetivos de control
Control
1,00
2,00
3,00
4,00
5,00
6,00
7,00
8,00
9,00
10,00
11,00
12,00
13,00
14,00
15,00
16,00
Alcance
Auditoría, evidencias y monitoreo
Autenticación y control de acceso
Confidencialidad y No-Repudiación
Personal externo y contratistas
Tolerancia a fallas, backup y recuperación
Respuesta y reporte de incidentes
Mantenimiento y operaciones
Red de datos
Acceso físico
Documentación electrónica y en papel
Accesos remotos
Concientización y entrenamiento en Seguridad
Política de administración de la seguridad
Configuración del sistema
Desarrollo de sistemas y control de cambios
Proveedores, profesionales y prestadores
Interpretación
Unidades
Administrativas
Interpretación
Unidades de Servicio
Interpretación
Tecnología
21
22. Entorno de la información
Entorno Físico
• Ubicación de sector acorde a la
información de procesan
• Identificación de Áreas
Restringidas
• Control de acceso y vigilancia de
espacios físicos
• Mobiliario utilizado
• Guarda externa de documentación
• Data Center y salas de sistemas
22
23. Entorno de la información
Entorno informático
Aplicaciones = Seguridad de Acceso
Correo electrónico = Que compartir
Internet = Que publicar
Comunicaciones = Asegurarse de la
transmisión propia y de terceros
• Archivos digitales = Como almacenarlos
•
•
•
•
(La Secretaría de Salud Pública de la Nación establece en 15
años el período que obligatoriamente debe guardarse la
historia clínica)
• Asegurar la Integridad y Disponibilidad
(Desarrollo seguro, esquemas de contingencia y alta
disponibilidad, política de licenciamiento)
23
24. Entorno de la información
Entorno laboral
¿Todos necesitan “conocer”?
Si protejo los archivos y papeles
• ¿Porqué divulgo lo que dicen?
• ¿Sé quien debe conocer esta
información?
¿Cómo comparto la información con
“Terceras Partes”?
¿Aseguro que la información se
mantenga Confidencial, Integra y
Disponible?
24
25. Entorno de la información
Circuito de la información
Asociado
Centro de
Atención
INFORMACIÓN DOCUMENTAL
INFORMACIÓN ELECTRÓNICA
25
26. Requerimientos para un entorno controlado
Implementar para el ámbito sanitario, un
conjunto detallado de controles para la gestión
de la seguridad de la información para el ámbito
de la salud
Información de sanidad en todos sus aspectos
y en cualquiera de sus formas (palabras,
números, grabaciones sonoras, dibujos, vídeo
e imágenes de sanidad o radiografías)
Sobre cualquier medio de
almacenamiento (escrito o
impreso en papel y electrónico)
A través de cualquier medio de transmisión
(valijas o mensajería, faxes, redes informáticas
o correo electrónico).
26
27. Soluciones integrales para procesos de
Información de Sanidad
Sistemas de Gestión de Seguridad de la Información
Planes Directores de Seguridad
Evaluación y diagnóstico de la Seguridad de la Información
Planes de continuidad de actividades
Adecuación a buenas prácticas (ITIL / ISO 20000)
Certificaciones de SGC y SGS (ISO 9001 / ISO 27000)
Planes de formación concientización
Governance, Risk & Compliance
Auditoria y adecuación Habeas Data
27
28. Objetivos logrados
Brinda
Confidencialidad
e Integridad de
sus datos a
Pacientes y
Socios
Brinda a sus
Profesionales
Médicos y
Técnicos un
ambiente seguro
de trabajo
Asegura a las
Instituciones
una mejor
imagen en el
Mercado
28