La consultora PwC realizó un informe sobre los datos robados de hospitales y clínicas médicas. El informe fue publicado en mayo de 2019 y se tituló "Robo de datos en el sector de la atención médica: una investigación de los datos de seguridad de PwC". El informe estimaba que más de 15 millones de registros de pacientes en hospitales y clínicas médicas de todo el mundo han sido robados desde el año 2009, se estima que desde 2020 a la actualidad, la cifra de robo de datos médicos se ha quintuplicado. Esto incluye el ámbito privado y público la sustracción de los datos personales como nombres, direcciones, expedientes médicos, resultados de pruebas y tratamientos, números de seguro social, información financiera y hasta estudios e investigaciones clínicas.
La normativa de Portabilidad y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act) HIPAA, por sus siglas en inglés, fue creada en 1996 por el Congreso de los Estados Unidos como parte de la Ley de Reforma de Salud Balanced Budget Act.
HIPAA establece reglas para proteger la privacidad y seguridad de la información médica de los pacientes y exige que los proveedores de atención médica, los aseguradores y otros involucrados en la atención médica tomen medidas para proteger la información contra el uso o divulgación no autorizados. Es aplicable a todas las organizaciones que recopilan, almacenan, procesan, utilizan o transmiten información médica. Estas organizaciones incluyen hospitales, clínicas, médicos, farmacias, empresas de seguros y otros.
Estableciendo los estándares de seguridad para:
*Uso y la divulgación de información médica protegida (PHI), incluida la información relacionada con el tratamiento de un paciente, los pagos por los servicios médicos y la recopilación de datos estadísticos.
*Los derechos de los pacientes para acceder a su propia información médica.
* Establece los requisitos para la seguridad de la información médica, incluyendo la seguridad física, lógica y administrativa, incluye medidas como la identificación de usuarios, el cifrado de datos y el control de acceso.
*Establece un marco para el intercambio electrónico de información médica entre organizaciones.
*Establece las normas y procesos para la divulgación de información médica a terceros, incluyendo a los proveedores de atención médica, compañías farmacéuticas y aseguradores.
* Establece sanciones y multas para las entidades que no cumplan con las regulaciones HIPAA.
Las cinco bases regulatorias de HIPAA:
- Privacidad de la información médica: proporciona reglas para la protección de la información médica y la privacidad de los pacientes. Establece los requisitos para la recopilación, almacenamiento, divulgación, uso y protección de los datos médicos personales.
- Portabilidad de los seguros de salud: establece reglas que permiten a los pacientes sus derechos y beneficios de seguro de salud cuando se cambien de compañía.
- Seguridad de la información médica: establece reglas para garantizar la seguridad y la confidencialidad de la información médica. Establece requisitos para la autenticación, encriptación, firmas digitales y protección de contraseñas.
- Responsabilidades de los proveedores de servicios de salud: establece responsabilidades para los proveedores de servicios de salud, como hospitales y profesionales de la salud, para proteger la información médica. Así como la realización de auditorías de seguridad y la actualización de la seguridad de los sistemas de información.
- Estándar de borrado seguro y certificado: establece un proceso para garantizar que todos los datos médicos almacenados electrónicamente sean eliminados de forma segura y permanente cuando ya no sean necesarios. Esto garantiza que la información médica no pueda ser recuperada por nadie. Además, todos los dispositivos que almacenan información médica electrónica deben ser adecuadamente borrados antes de ser desechados o reutilizados.
El Borrado seguro y certificado en HIPAA.
Haga clic para consultar la HIPAA Survival Guide
El Artículo 164.310(d)(2) de HIPAA establece la obligación del borrado seguro. Esta sección exige que los elementos incluidos en los registros de la entidad de atención médica sean destruidos de forma segura, conforme estable el NIST (Instituto Nacional de Estandarización y Tecnología de Estados unidos), cuando ya no sean necesarios para fines de registro.
El artículo especifica los siguientes requisitos para el borrado seguro:
- Implementar políticas y procedimientos que especifiquen las funciones adecuadas encaminado a que los registros se destruyan de manera segura con software adecuado y certificado por las autoridades nacionales, (BLANCCO).
- Asegurarse de que todos los dispositivos, (computadoras personales, laptops, tabletas, smartphones, fotocopiadoras, tpv), que contienen datos y se deben inventarían antes del primer uso y se desechan correctamente al final de su vida útil. Los dispositivos que almacenan acceden, transmiten o mantienen información y se eliminan deben registrarse en su Registro de eliminación de activos de información almacenado en su Repositorio de cumplimiento.
- El borrado debe efectuarse de acuerdo con las especificaciones y el estándar NIST. El método recomendado por el Instituto Nacional de Estándares y Tecnología (NIST) para borrar archivos es el método de sobrescritura. Este método implica reescribir los datos en los sectores en los que se encuentran los archivos. Esto se hace para asegurarse de que los datos no sean recuperables. El NIST recomienda sobreescribir los datos al menos 3 veces, como realiza Blancco Drive Eraser Ofreciendo un borrado seguro del 100% del disco duro o por particiones físicas al realizar sobreescritura en la totalidad de los sectores contenidos en el disco duro.
- Se debe exigir a los miembros del personal responsables de la eliminación de medios electrónicos que contienen datos, que firmen un formulario que indique que los medios se han eliminado correctamente y activar la eliminación del dispositivo y/o medios del inventario según sea necesario, manteniendo un registro de los elementos destruidos.
Para más información sobre Blancco Drive Eraser, visite www.deletetechnology.com
Autor,
Rafel Chust Calero
Director Delete Technology España & Portugal
