Como una de las piezas de información personal más sensibles, los datos de salud del paciente deben protegerse de incidentes o violaciones de datos. Sin embargo, cuando la mayoría de los datos se distribuyen entre múltiples aplicaciones y dispositivos, mantener los datos a salvo de amenazas puede ser todo un desafío.
Hay algunas prácticas que las empresas del sector de la salud pueden usar para aumentar la seguridad de sus datos (y la confianza del paciente) de inmediato; aprenderá sobre ellas en este artículo.
Cómo la tecnología ha cambiado el sector de la salud
La industria de la salud se ha beneficiado de la tecnología de muchas maneras. Gracias a los registros médicos digitalizados almacenados en la nube, los médicos no tienen que dedicar tanto tiempo a crear, actualizar y administrar registros en papel. Los dispositivos portátiles y las aplicaciones de salud digital ayudan a los médicos a controlar a los pacientes con enfermedades a largo plazo. Incluso hay aplicaciones impulsadas por IA que pueden grabar conversaciones médico-paciente y convertirlas en notas completas, ahorrando mucho tiempo a los médicos.
Todas esas aplicaciones también generan enormes cantidades de datos todos los días, y esto es tanto una bendición como una maldición para el sector de la salud. Una bendición porque los datos provenientes de las aplicaciones pueden brindar a los profesionales de la salud mucha más información sobre un paciente que una entrevista. De esa manera, pueden tomar mejores decisiones sobre cómo tratarlos y brindar una mejor atención al paciente en general.
Sin embargo, la cantidad de datos que se generan todos los días hace que sea cada vez más difícil hacer un seguimiento de qué información médica confidencial se almacena, dónde y quién puede acceder a ella. Agregue a estos agitados días de trabajo, una conocida aversión por el papeleo entre el personal médico y (desafortunadamente con demasiada frecuencia) una falta de capacitación en seguridad cibernética, y puede ver por qué el sector salud se encuentre entre las industrias que experimentan la mayoría de los incidentes de datos. Desafortunadamente, los ataques al sector salud también se están volviendo más comunes. Esto se debe tanto al valor que tienen los registros médicos para los delincuentes como al hecho de que muchos centros de atención médica todavía usan equipos obsoletos, lo que facilita mucho la obtención de los registros para los delincuentes.
¿Cuál es el costo promedio de la pérdida/violación de datos en el sector de la salud?
El sector salud tiene el costo promedio más alto de violaciones de datos con $10.10 millones por incidente.
Lo que es aún más preocupante es que el costo de las violaciones de datos de atención médica está creciendo rápidamente. Según un informe de brechas de seguridad de IBM, el costo promedio de este tipo de incidentes en el sector de la salud ha aumentado un 42 % desde 2020 , y sigue creciendo.
El costo es tan alto por varias razones. El primero está relacionado con el tipo y la cantidad de datos que los proveedores de atención médica recopilan y almacenan en sus sistemas. En el expediente de todo paciente suele haber:
- Nombre completo y dirección del paciente
- Correos electrónicos
- número de identificación
- Información de facturación
- Números de seguridad social
- Historial médico, junto con prescripciones de medicamentos, etc.
Para los delincuentes, un registro médico de este tipo vale incluso 50 veces más que un número de tarjeta de crédito, ya que pueden crear una personalidad completamente falsa a partir de la información disponible en los registros de atención médica. Luego usan la nueva personalidad para comprar equipo médico en el seguro de salud de la víctima, tomar préstamos a nombre del paciente, abusar del plan de salud de la víctima o llenar reclamos de seguro. Además, dado que los registros de salud (en comparación con, por ejemplo, las tarjetas de crédito) no se pueden cancelar, bloquear o cambiar después de que se detecta un compromiso de los datos, a las empresas de atención médica les resulta mucho más difícil contenerlos y minimizar el daño.
Como resultado, se estima que ahora el 95 % de los robos de identidad provienen de registros médicos robados , lo que significa que cualquier incidente de datos podría representar un riesgo grave para la seguridad del paciente.
Otra factor que hace que los incidentes de datos del sector salud sean tan costosos es la cantidad de tiempo que se tarda en resolverlos. En su informe de 2022, la seguridad de IBM descubrió que el ciclo de vida promedio de la violación de datos de atención médica es de 329 días.
Teniendo en cuenta el poco tiempo que tienen los profesionales de la salud durante el día y la facilidad con la que se pueden copiar o compartir archivos (incluidos los de atención médica confidencial) sin que nadie se dé cuenta, una clínica u hospital puede tardar mucho en descubrir un incidente de datos.
Desafortunadamente, cuando se enteran, a menudo es demasiado tarde. Los datos de sus pacientes (desde los números de la seguridad social y los números de las tarjetas de crédito hasta el historial médico) ya se filtraron a la darknet, y la empresa ahora tiene que lidiar con daños a la reputación, pérdidas financieras y también consecuencias legales.
Violaciones de datos en el sector de la salud y consecuencias legales
Las violaciones de datos del sector salud también son muy costosas debido a la cantidad de leyes y regulaciones que la industria debe cumplir en estos días, y las sanciones por violarlas también son bastante fuertes.
Anthem Inc. pagó la mayor multa por violación de HIPAA hasta la fecha, $16 millones, en 2018 después de que un ataque cibernético en 2014 causó una violación de datos de atención médica que abarcó 78,8 millones de registros. Además, Anthem también tuvo que pagar $115 millones para resolver las demandas presentadas en nombre de las víctimas del incidente y $48 millones como multas.
La segunda infracción más grande con la sanción más alta se impuso a la compañía de seguros de salud Premera Blue Cross en 2020 . La empresa fue multada por ignorar varios requisitos de la HIPAA y provocar un incidente de datos en el que los piratas informáticos obtuvieron la información de salud protegida de 10 466 692 personas. Luego, la empresa acordó pagar una multa financiera de $6,850,000 para resolver el caso y adoptó un plan de acción correctivo para abordar todas las áreas de incumplimiento.
Además de eso, Premera Blue Cross resolvió una acción multiestatal por $10 millones y una demanda colectiva presentada en nombre de las víctimas por $74 millones.
Los datos de salud, genéticos y biométricos también se consideran categorías especiales de datos según el Reglamento General de Protección de Datos (GDPR). Es por eso que se espera que las empresas de atención médica sigan pautas más estrictas al recopilar, procesar y almacenar información de salud; de lo contrario, las multas también pueden ser bastante elevadas.
El 23 de febrero de 2021 , se publicaron en Internet los datos de salud de casi 500 000 personas tras una filtración masiva de datos en la empresa DEDALUS BIOLOGIE. Los datos expuestos incluían nombres, números de Seguro Social, el nombre del médico de cabecera del paciente, fechas de exámenes, así como información de salud confidencial relacionada con el VIH, cánceres, enfermedades genéticas, embarazos y terapia con medicamentos. Luego, la empresa fue multada con 1,5 millones de euros por la autoridad francesa de protección de datos (CNIL) por violar los requisitos de los artículos 28, 29 y 32 del RGPD y provocar la violación. Sin embargo, la investigación aún está en curso, por lo que el monto final que la empresa tendrá que pagar por las violaciones podría ser mucho mayor.
También es cada vez más común que las personas presenten demandas después de una violación de sus datos. Por ejemplo, el bufete de abogados Baker Hostetler analizó más de 1200 incidentes de seguridad de datos de 2021 que su empresa ayudó a los clientes a administrar y descubrió que el 23 % de esos incidentes involucraron violaciones de la atención médica.
Eso significa que, en caso de una violación grave de datos, los centros de atención médica pueden enfrentarse no solo a la aplicación de la ley de privacidad de datos, sino también a demandas privadas de las personas afectadas por el incidente. Entonces, las empresas podrían terminar teniendo que pagar los acuerdos de la demanda, la compensación y también reembolsar a las víctimas de la infracción los costos de desembolso relacionados con el incidente, lo que aumentará significativamente los costos de la infracción.
¿Cómo proteger los registros de los pacientes de pérdidas o violaciones?
Si bien mejorar la seguridad de los datos en las instalaciones del centro de salud probablemente requerirá algo de tiempo y esfuerzo, lo ayudará a largo plazo, ya que le facilitará evitar incidentes de datos o violaciones de cumplimiento. De esta manera, puede asegurar a sus pacientes y socios comerciales que sus datos están seguros con usted, así como evitar repercusiones financieras muy costosas por violaciones de datos de atención médica.
Sin embargo, ¿por dónde deberías empezar?
Aquí hay algunas cosas que puede hacer para reforzar sus sistemas de salud:
- Ejecutar una evaluación de riesgos de seguridad
Tanto GDPR como HIPAA requieren que los proveedores de atención médica realicen una evaluación anual de riesgos de seguridad para identificar posibles vulnerabilidades de seguridad y amenazas de datos en sus redes. Si bien por lo general toman algún tiempo, son increíblemente importantes para las empresas de atención médica, ya que pueden brindarles suficiente información sobre dónde podrían verse comprometidos los datos del paciente y cómo debe abordar las vulnerabilidades.
De esta manera, podrá corregir cualquier vulnerabilidad o problema en su red que pueda generar incidentes de incumplimiento o pérdida en el futuro, ahorrándole tiempo (y dinero).
- Eduque a su personal sobre las mejores prácticas de ciberseguridad
Sin capacitación en seguridad cibernética, es posible que sus empleados no estén al tanto de las políticas de seguridad o los riesgos cibernéticos de su empresa, lo que los lleva a tomar medidas arriesgadas, como enviar el archivo de un paciente a través del mensajero de las redes sociales. ¡Y, sin embargo, casi un tercio de los empleados de atención médica (32%) dijeron que nunca habían recibido capacitación en seguridad cibernética en su lugar de trabajo! La falta de conocimiento de las consecuencias de la infracción también puede hacer que los empleados se salten los procedimientos de seguridad solo para realizar una tarea más rápido. Sin embargo, esto puede conducir rápidamente a violaciones de datos de atención médica; de hecho, el error humano representó el 33% de las violaciones de atención médica solo en 2020.
Para reducir el número de incidentes, asegúrese de que sus empleados sepan cómo deben trabajar con datos sensibles y cuáles son las consecuencias de descuidar los procedimientos. Entregarles un plan de respuesta a incidentes con pautas sobre cómo responder cuando noten una violación de datos de atención médica también sería muy útil cuando se trata de prevenir y tratar amenazas de datos.
- Limitar el acceso a los registros de salud
Con cientos de personas y dispositivos dentro de una organización de atención médica, es vital que vigile de cerca quién puede abrir, editar y compartir los registros de salud de los pacientes para evitar el robo de datos. Los permisos de acceso para los archivos de atención médica más confidenciales deben configurarse de modo que solo los especialistas de atención médica que necesitan los registros médicos específicos puedan acceder y editarlos.
Cuantas menos personas tengan acceso a los registros de salud, menos probable es que los datos se vean comprometidos o se filtren al exterior.
- Limite el uso de dispositivos personales
Los profesionales de la salud pueden encontrar conveniente usar sus dispositivos personales para el trabajo, pero estos dispositivos no suelen ser tan seguros como los que tienen en la clínica o el hospital. Tener políticas claras que describan cómo los empleados pueden acceder a su red/aplicaciones cuando usan dispositivos personales y cómo deben manejar los incidentes es esencial si desea permitir que los empleados traigan y usen sus propios dispositivos para el trabajo. También es una buena idea vigilar de cerca qué dispositivos se agregan a su red y restringir o bloquear el acceso a archivos confidenciales para aquellos que no reconoce.
- Mantenga un registro de auditoría de datos
Mantener registros de datos es una parte esencial del cumplimiento de HIPAA, ya que a través de ellos, puede detectar rápidamente cualquier violación de la política y responder a ella de inmediato. Además, cuando ocurre un incidente, una pista de auditoría también ayudará a los especialistas forenses a identificar el lugar donde comenzó el incidente, determinar la causa y sugerir la mejor manera de evitar que ocurran problemas similares.
Sin embargo, rastrear y guardar manualmente el registro de auditoría llevaría mucho tiempo y sería complicado. Afortunadamente, aquí puede confiar en aplicaciones como Safetica que crearán y actualizarán los registros de auditoría por usted. Luego, cuando esté lidiando con un incidente de datos, solo tendrá que verificar los registros de datos y sabrá dónde y cómo comenzó, en lugar de tener que buscar en toda la red.
- Restrinja las acciones que se pueden tomar cuando se trabaja con datos confidenciales
Además de monitorear qué empleados tienen acceso a archivos confidenciales, se recomienda restringir lo que se puede hacer con esos archivos para evitar divulgaciones no autorizadas. Por ejemplo, limitar o bloquear la carga web de archivos confidenciales, la captura de pantalla, la copia en unidades externas, la adición de archivos como archivos adjuntos de correo o la impresión pueden contribuir en gran medida a reducir el riesgo de que ocurran incidentes. Los puntos finales de datos monitoreados y protegidos también reducirán en gran medida las posibilidades de que los ladrones de datos roben datos confidenciales, ya que tendrán muchas menos opciones para copiar o compartir los datos sin ser atrapados.
- Cifrar datos
El cifrado es uno de los métodos más eficaces para proteger la información confidencial. Incluso si alguien no autorizado obtiene acceso a archivos confidenciales, como los registros médicos de los pacientes, la información dentro de los archivos sería ilegible para ellos y, por lo tanto, no podrían usar los archivos de ninguna manera. Para mayor seguridad, también puede agregar más capas de cifrado para que se requiera más de una clave de cifrado para ingresar a un sistema o combinar el cifrado con la autenticación de múltiples factores.
- Destruir la información confidencial correctamente
HIPAA también tiene regulaciones estrictas con respecto a cómo debe destruir archivos y dispositivos con datos de pacientes u otra información confidencial para asegurarse de que ninguna persona no autorizada pueda usarla. Si no se destruyen correctamente los datos que ya no necesita, los datos pueden quedar expuestos y, luego, podría recibir una multa por incumplimiento.
De hecho, algunas de las multas más grandes por violaciones de HIPAA han sido por no cumplir con las reglas de destrucción de registros médicos. Por ejemplo, New England Dermatology and Laser Center tuvo que pagar $300,640 para resolver una investigación sobre la destrucción indebida de registros médicos.
Se recomienda contratar servicios de destrucción de datos que cumplan con HIPAA para eliminar los datos confidenciales y los dispositivos en los que estaban los datos para garantizar que se destruyan correctamente y que la información no se pueda recuperar.
- Realice copias de seguridad de los datos con regularidad y guárdelos en un lugar seguro
Ya sea que su sistema de atención médica se bloquee o que su empleado sobrescriba accidentalmente los registros de los pacientes, perder el acceso a datos confidenciales puede obligarlo a dedicar más tiempo a restaurar los archivos en lugar de cuidar a sus pacientes. Además, si tiene que reprogramar las citas o los procedimientos de los pacientes debido a un incidente de datos, corre el riesgo de perder su confianza en que sus datos están seguros con usted.
Es por eso que la regla final de HIPAA requiere que la información de salud protegida electrónicamente (ePHI, por sus siglas en inglés) se respalde regularmente y se almacene de forma segura fuera del sitio. Idealmente, debe tener tres copias de seguridad de los datos almacenados en diferentes ubicaciones, ya que de esa manera, reduce significativamente las posibilidades de perder todos sus datos.
También se recomienda que las copias de seguridad se realicen diariamente o al menos una vez por semana. Sin embargo, si no tiene tiempo para hacerlo usted mismo, sería una buena idea programar copias de seguridad automáticas a intervalos establecidos, por ejemplo, todos los días a la medianoche. Además, debe asegurarse de que solo las personas que necesitarán las copias para su trabajo tengan acceso a las copias, y también que todas las copias estén encriptadas.
¿Cómo puede Safetica ayudarlo a proteger los datos?
Cumplir con los requisitos de cumplimiento y seguridad de los datos y al mismo tiempo brindar a los pacientes la mejor atención posible definitivamente no es una tarea fácil, especialmente si la mayoría de las tareas relacionadas con la seguridad de los datos se realizan manualmente. Safetica puede hacerse cargo de las tareas de cumplimiento y seguridad de datos para dar a sus profesionales de la salud más tiempo para atender a sus pacientes.
Después de establecer sus propias políticas y requisitos de privacidad de datos dentro de la plataforma, Safetica monitoreará todos sus datos de atención médica dentro y (lo que es más importante en estos días) fuera del entorno de trabajo, las 24 horas del día, los 7 días de la semana.
¿Qué más puede hacer Safetica por usted?
- Descubra, clasifique y asegure automáticamente los archivos confidenciales.
- Analice su entorno para descubrir los lugares donde existe el riesgo de violación de datos o incumplimiento.
- Asegúrese de que todos los empleados sigan las políticas de seguridad internas y cumplan con los requisitos de cumplimiento de HIPAA/GDPR.
- Responda a cualquier actividad sospechosa de la manera que especificó anteriormente (por ejemplo, puede mostrar una advertencia a un empleado cuando esté trabajando con datos confidenciales).
- Supervise todos los dispositivos externos o remotos en busca de posibles incidentes o violaciones de datos e informe todos los dispositivos nuevos agregados a la red.
- Cree automáticamente registros de actividad de datos para auditorías.
Puede obtener más información en inglés sobre cómo Safetica puede proteger los datos en su centro de atención médica leyendo nuestro documento técnico dedicado
Conclusión
Los hospitales, las clínicas y los proveedores de atención médica son responsables de salvaguardar los datos de los pacientes y la información médica crítica, ya que las consecuencias de que caigan en las manos equivocadas pueden ser desastrosas. El costo promedio de una violación de datos también está creciendo, por lo que la prevención de varios tipos de violaciones e incidentes es más crítica que nunca.
Sin embargo, al educar a los miembros del personal del hospital y al personal de atención médica, restringir el acceso a los datos del paciente y cifrar los datos, la cantidad de incidentes y el daño que pueden causar pueden reducirse visiblemente.
Safetica también puede facilitar la seguridad de los datos de los pacientes al monitorear los datos de atención médica y protegerlos de las amenazas. Una vez que combina las mejores prácticas de seguridad con Safetica, puede estar seguro de que todos los datos dentro del sistema de su organización están seguros y protegidos.