Por: María Luisa Madrigal.   21 septiembre, 2020
Desde encriptación de datos, múltiples capas de seguridad, hasta bloqueos particulares de información, son parte de las medidas tomadas actualmente por los servicios de salud para proteger la información de los pacientes en el servicio digital. Huli es una de las plataformas disponibles para trámites en línea.
Desde encriptación de datos, múltiples capas de seguridad, hasta bloqueos particulares de información, son parte de las medidas tomadas actualmente por los servicios de salud para proteger la información de los pacientes en el servicio digital. Huli es una de las plataformas disponibles para trámites en línea.

Los servicios médicos digitalizados, que van desde expedientes en línea hasta telemedicina, recibieron un espaldarazo con la llegada de la pandemia por COVID-19.

Con su crecimiento, el acceso y la protección de los datos sensibles de los pacientes salta a la luz como el principal riesgo asociado, un área en el que el sector salud no duda en tomar acciones.

La encriptación de datos, múltiples capas de seguridad, servidores especializados y bloqueos particulares de información, son parte de las medidas que se toman actualmente para proteger los datos de los pacientes.

Quién puede ver cada sección, qué se puede editar y cómo acceder a los datos médicos es parte de lo que cambia con el auge de la medicina digital.

Los riesgos

Las ventajas de poder acceder a la medicina de forma virtual no se resumen en agendar una cita a través de Internet. Lo más importante es que se mejora el acceso. Eliminar las barreras físicas que quedan evidenciadas con la pandemia en el sistema de salud, tanto público como privado, es de las principales ventajas de este avance.

También hay ventajas competitivas. La digitalización permite ampliar la oferta y brindar canales nuevos de servicio.

Sin embargo, hay riesgos. El almacenamiento de datos personales siempre ha sido un tema sensible y los hospitales, clínicas y demás servicios de salud son bancos de este tipo de información, pero la digitalización y el acceso vía web de estos multiplica las posibilidades de filtración.

No es que el pasado fuera mejor, el expediente en papel se enfrentaba a riesgos como el robo o los incendios.

Mientras el expediente en papel se enfrentaba a otros miedos, como ser robado o un incendio, el expediente digital debe multiplicar sus defensas. En la imagen se ven parte de archivos de la CCSS. Hoy la institución utiliza el Expediente Digital Único en Salud (EDUS). Fotografía: Alejandro Gamboa Madrigal
Mientras el expediente en papel se enfrentaba a otros miedos, como ser robado o un incendio, el expediente digital debe multiplicar sus defensas. En la imagen se ven parte de archivos de la CCSS. Hoy la institución utiliza el Expediente Digital Único en Salud (EDUS). Fotografía: Alejandro Gamboa Madrigal

Lo primero, y básico de acuerdo con Federico Portuguez, gerente de informática del Hospital CIMA, es seguir la normativa vigente del país en esa materia. Costa Rica tiene la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (8.968). La legislación fue actualizada en 2016.

La ley tiene como objetivo garantizar el derecho a la autodeterminación de la vida o actividad privada de las personas, así como la defensa de su libertad respecto al tratamiento automatizado o manual de sus datos o bienes. Esta se aplica a los datos personales que figuren en bases de datos automatizadas o manuales, de entes públicos o privados.

El país también cuenta con una Agencia de Protección de Datos de los Habitantes (Prodhab), creada tras la aprobación de la legislación, que trabaja en orientar a las personas sobre cómo aplicarla.

Sin embargo, estas medidas de seguridad deben estar más presentes que nunca en medio del auge para evitar peligros, de acuerdo con Alejandro Vega, gerente general de Huli. Un ejemplo simple es el enlace de las citas que usan los pacientes para llevar su videoconsulta dentro de la plataforma en línea.

“Este enlace al igual que una cuenta de banco o una firma digital se debe mantener privado y no compartirlo con terceros, ya que a través del mismo es que se conecta con el médico”, explica Vega.

Seguir exclusivamente las normativas nacionales actuales no es suficiente para blindar la información médica.

Tanto el CIMA como Huli apostaron por adoptar como buenas prácticas, algunas regulaciones establecidas en la Ley de Portabilidad y Responsabilidad del Seguro Médico de Estados Unidos (HIPAA por sus siglas en inglés).

Además, el CIMA implementa otras prácticas de la Unión Europea (UE) que son estándares de la industria como la General Data Protection Regulation (GDPT) y los ISO 27.000.

“Tenemos un sistema de cumplimiento, hay distintos estándares o normativas”, explica Portuguez.

También hay entrenamiento para las personas en el manejo de los datos, de acuerdo con Vega.

El Hospital Cima, es uno de los dos hospitales en Costa Rica acreditados internacionalmente para recibir turismo médico. Fotografía José Cordero
El Hospital Cima, es uno de los dos hospitales en Costa Rica acreditados internacionalmente para recibir turismo médico. Fotografía José Cordero

La idea de ir un paso más allá de la regulación nacional se fortalece de cara al crecimiento del turismo médico en el país. Estas dinámicas son repetidas por otros centros de salud privados en Costa Rica.

De acuerdo con Massimo Manzi, director ejecutivo de la Cámara Costarricense de la Salud, muy buena parte de la regulación HIPAA se cumple en el país, para que los centros médicos puedan ser acreditados en Estados Unidos. La ejecución de estas normas tiene que ver con cómo se almacenan y cómo se comparten los datos de los pacientes: quién tiene acceso a los datos y quién no.

Algunos de las reglas en seguridad que las entidades deben cumplir de acuerdo con la HIPAA son:

  • Asegurar la confidencialidad, integridad y disponibilidad de toda la información electrónica de salud protegida (e-PHI) que crean, reciben, mantienen o transmiten.
  • Identificar y proteger contra amenazas razonablemente anticipadas a la seguridad o integridad de la información.
  • Proteger contra usos o divulgaciones razonablemente anticipados e inadmisibles.
  • Asegurar el cumplimiento por parte de su fuerza laboral.

La información médica protegida es todo lo relacionado a la salud, el tratamiento o la facturación que pueda identificar a un paciente. Esto incluye:

  • Nombre.
  • Fechas (por ejemplo, fecha de nacimiento, fecha de tratamiento).
  • Ubicación (dirección, código postal).
  • Números de contacto.
  • Información de contacto web (correo electrónico, URL o IP).
  • Números de identificación (seguro social, cédula, cuenta médica).
  • Información de identidad física (foto, huellas dactilares).
Manejo complejo
Un ejemplo de telemedicina funcionando en el Hospital Calderón Guardia de la CCSS. En la fotografía está Luis Guillermo Elizondo médico Endocrinólogo. Fotografía José Cordero
Un ejemplo de telemedicina funcionando en el Hospital Calderón Guardia de la CCSS. En la fotografía está Luis Guillermo Elizondo médico Endocrinólogo. Fotografía José Cordero

Los hospitales son entes complejos y para evitar filtraciones de cualquier información sensible utilizan distintos sistemas.

“Desde el área de informática los riesgos son prioritarios”, apunta Portuguez. Para enfrentarlos, y preverlos, se utiliza un conjunto de mecanismos, porque no existe ninguna herramienta con la que se pueda garantizar una seguridad completa.

En el caso de Huli, la empresa utiliza servidores de Amazon Web Services (AWS) que cumplen con las medidas de HIPAA.

También hay procesos dentro de cada centro. Por ejemplo, encriptar la información y protegerla con distintos procesos de acreditación. En resumen, poner distintas capas de seguridad sobre los datos. También hay labores de etiquetado para datos.

Sin embargo, es información que no destaca como “demasiado sensible” para que no pueda estar en Internet.

“No categorizaría información que no se deba trabajar en una herramienta digital. Lo que debe haber son políticas, procesos y normas que permitan asegurar esa información”, declaró Portuguez.

De acuerdo con Vega, la información médica es tan sensible como otros tipos de información, bancaria o legal, por ejemplo. Y como con estas, hay mecanismos para respaldarla y protegerla.

Aquí entran en juego los métodos de respaldo y redundancia. Por ejemplo, la caída de un servidor es un hecho que puede afectar casi cualquier negocio, pero es un lujo que no se puede dar un hospital. Por eso utilizan servidores múltiples, de esa manera si uno falla no afecta el sistema porque hay varios más como respaldo.

También hay múltiples enlaces para ingresar a la información. Funcionan como distintos caminos para acceder a los datos desde el centro de salud y fuera del mismo.

¿Qué hacer ante una filtración?

Lo principal ante cualquier tipo de detección de información filtrada es aislar la amenaza y reducirla lo más posible. Una vez que el equipo de datos debe investigar qué fue lo que sucedió y cómo, para blindar el problema a futuro.

Una buena práctica es la divulgación para enterar a los afectados. Hay protocolos de cómo comunicar a los usuarios lo más rápido posible lo sucedido, de acuerdo con Vega.

Esto, aunque no es un proceso obligatorio es fundamental si se quiere demostrar transparencia y mantener la confianza, agregó Portuguez.