-01-RES39-IO-01 -32 EL HOSPITAL VOL 72 No.2 29

EH_AbrMay2016

28 Karim Nader Ch., md* abril - mayo / 2016 TECNOLOGÍAS DE INFORMACIÓN EN SALUD Seguridad informática en Salud este artículo inicialmente estaba orientado al análisis de seguridad informática en telemedicina. Pero ante las circunstancias presentadas en los últimos cinco años en el entorno mundial, y a las cuales me referiré más adelante, decidí que se debía ampliar el espectro a la totalidad del sector salud. Hoy el mundo, gracias al internet, está abocado a una avalancha de información sin precedentes. Facebook, Instagram, Twitter, Skype, WhatsApp, etc., son parte de la vida cotidiana en la comunicación global. En muchos casos, sin temor a exagerar, ya no podemos vivir ajenos a estas aplicaciones, las necesitamos y las utilizamos a diario. Para nadie es un secreto la marcada vulnerabilidad de la red informática que utilizamos a diario; ejemplos hay miles. La prensa mundial nos ilustra al respecto con penetraciones espurias por hackers al pentágono en los Estados Unidos de América, al FBI, a bancos, a gobiernos, como el sonado caso de los Wiki- Leaks, en fin, la lista es interminable. Cuando nos referimos a las instituciones de salud, las cuales han avanzado de manera sensible en procesos informáticos, por lo regular no manifestamos preocupación por penetraciones espurias de hackers. Solo cuando estalla un escándalo de esta índole aquí o allá, vemos una corta nota en los medios de comunicación que refiere al tema, y esto es preocupante si tenemos presente que la legislación mundial considera la información médica de los pacientes estrictamente confidencial. Partamos de un principio: absolutamente, y sin excepción, toda la información médica alojada en computadores y servidores de las instituciones de salud está solo en custodia de estas últimas, no son las dueñas de esa información, el único dueño de ella es el paciente. El personal de la salud que está leyendo este artículo sabe y conoce hasta la saciedad la confidencialidad que existe entre los médicos y los pacientes. Para ilustración de los lectores, me permito citar algunos casos que demuestran que la seguridad informática CORTESÍA en salud no se puede tomar a la ligera: 1. En marzo de 2014, la base de datos contenida en 27 DVD de pacientes pertenecientes al sistema de salud NHS del Reino Unido fue entregada a la gestión de un grupo de consultores, quienes subieron la información a servidores de Google fuera del Reino Unido. Las consecuencias de esto se resumen en cuatro situaciones delicadas: a) La policía tuvo acceso por la “puerta trasera” a los historiales médicos de pacientes ambulatorios y hospitalizados. b) Se utilizaron los datos para localización de los pacientes por parte de terceros. c) Organizaciones como laboratorios farmacéuticos, compañías aseguradoras y proveedores de salud privados adquirieron los registros médicos de los pacientes desde el año 1999. d) La información extraída contenía: número NHS de la persona, fecha de nacimiento, código postal, etnia y género. Los grupos de pacientes se preguntaron: ¿qué garantías existen para proteger la privacidad de la información médica? 1 2. En mayo de 2014, dos organizaciones de salud americanas, el Hospital Presbiteriano de Nueva York y la Universidad de Columbia, debido a dos factores: almacenamiento de información médica en servidores con acceso a la nube de internet y a la no existencia de medidas de seguridad eficientes, ocasionaron que la información de 6.800 pacientes, entre ellas historias clínicas, medicamentos administrados, resultados de laboratorio clínico, etc., terminara en los buscadores web. La irregularidad fue detectada tiempo después, cuando una persona se percató por internet de que su socio había fallecido. Esta situación, investigada por el Departamento de Salud y Servicios Humanos, y la Oficina de Derechos Civiles, ocasionó sendas multas al hospital Presbiteriano de Nueva York y a la Universidad de Columbia que sumaron $ 4.800.000.oo dólares, en conjunto con esta advertencia: “Cuando las entidades de salud participan en acuerdos de cumplimiento, que pueden ser conjuntos, comparten la carga de hacer frente a los riesgos de la información protegida del paciente”, conceptuó Christina Heide, Directora adjunta de información de la privacidad en salud de la Oficina de Derechos Civiles 2. 3. Ocurrió en enero de 2016, en el hospital Royal Melbourne en Australia. Cuando Microsoft anunció el fin de soporte para Windows XP, el hospital de Melbourne fue penetrado por un virus informático que causó un caos hospitalario sin precedentes. Hasta hace pocos días, absolutamente todos los procesos de los pacientes que se llevaban a cabo en el sistema informático de la institución, por obligación tuvieron que realizarse en papel. El error ocurrido aquí se debió a un solo factor: toda la información gestionada al interior del hospital pasaba por la nube de internet 3. Las situaciones enteriores nos enseñan que la información en las instituciones de salud no debe por ningún motivo estar en la nube de internet. Absolutamente al interior de todas las instituciones de salud y a través de telemedicina “outdoor” se deben utilizar, sin ninguna excepción, redes bajo conectividad: Virtual Private Network (VPN), donde el acceso a la nube esté completamente bloqueado. Este principio, si bien no es una solución radical para estos problemas, por lo menos minimiza el riesgo de penetraciones espurias. En lo personal, cuando diseño sistemas de telemedicina, el acceso a cualquier computador siempre se realiza con identificación biométrica y/o identificación de iris, con lo cual queda almacenado el registro del paciente atendido por un profesional de la salud. *Médico cirujano. Especialista en telecomunicaciones. Lea una versión ampliada de este artículo en www.elhospital. com Busque por: EH0416SEGSAL Karim Nader Ch., MD


EH_AbrMay2016
To see the actual publication please follow the link above