Continuamos nuestra cobertura de Segurinfo, evento organizado por Usuaria que se compone de múltiples conferencias de expertos en seguridad y tecnología. Asistimos a una presentación enfocada en un tema de especial interés desde 2015: el cuidado de los registros médicos en el contexto del avance tecnológico, que pone la información al alcance de todos aunque a veces descuida la privacidad.
"Por el alto valor de los registros médicos, el fraude en salud es más grave que el bancario"
Daniel Luna, CIO del Hospital Italiano de Argentina, y Gabriel Novick, Director Médico de la prestadora de servicios de salud Swiss Medical, debatieron acerca de las buenas prácticas necesarias en el manejo de la información sensible del paciente y el respeto a su privacidad. Además, mostraron cómo el paciente se ha vuelto protagonista de su historia clínica al tiempo que los sistemas de registro deben actualizarse, proponiendo nuevos desafíos que quizá requieren un cambio cultural complejo.
El difícil equilibrio entre accesibilidad y privacidad
Los datos médicos son sensibles y los profesionales de la salud deben poder acceder a ellos para cumplir su función, pero a la vez, las diferentes motivaciones de múltiples individuos derivan en accesos inapropiados a la privacidad, que ponen en evidencia los efectos de la información accesible para muchos.
Evolución del modelo de auditoria en salud
En 2001, explicó Luna, se creó un modelo restrictivo que permitía el acceso mediante claves y solo a las secciones de registros que cada médico o especialista necesitara. De esta manera, ninguno podía acceder a la totalidad de una historia clínica, pero el efecto negativo que tuvo este enfoque fue el tráfico informal de claves: los internos compartían entre sí las contraseñas para que todos pudieran acceder a todo, y había, por ejemplo, médicos especialistas logueados por más de 72 horas – algo que, fuera de una guardia, es poco probable.
En 2014 se dio lugar a un enfoque optimista, a reglas más laxas que permitían el acceso a diversos registros y secciones de ellos. La diferencia fue que el profesional debía justificar su ingreso a la información en casos de “dudosa pertinencia”, que constituían el 15% del total según las auditorías. Se debía poder argumentar el ingreso siendo auditor, médico encargado, personal informático o algún otro rol pertinente.
“Hay que generar un cambio cultural, porque el problema ya no es tecnológico”
Además, los profesionales podían ver quién accedió a cada historia.
Hoy en día, se plantea un enfoque para 2016/2017, todavía no implementado, que consiste en un modelo de acceso discrecional. Presenta una accesibilidad restringida por el propio paciente, granularidad de justificaciones y visualización del registro de acceso.
A tal fin, se debería desarrollar un portal personal de salud, donde el paciente pueda generar una clave y personalizar la restricción del acceso a sus datos médicos y personales. Así, puede darle su clave a quien desee autorizar. También se endurecen las medidas para los profesionales, ya que un Comité de Ética especializado puede sancionar e incluso desvincular a aquellos que accedan a datos de pacientes en forma indebida o los filtren sin autorización.
Los pacientes exigen tecnología, pero no se incorpora con los recaudos necesarios
Gabriel Novick destacó el avance de la tecnología en esta industria, con la incorporación de desfibriladores implantables o registros de actividad cardíaca portables, por ejemplo. Pero al mismo tiempo, y desde que la vida se hizo móvil en 2005, se fue abriendo una nueva posibilidad para los cibercriminales, que aprovechan los dispositivos para perpetrar ataques y robos de información.
En 2015, dijo, el 96% de las filtraciones de datos se debieron a la pérdida de dispositivos móviles, y no a violaciones de sistemas en las instituciones. Es que la portabilidad de la información, de la mano de wearables y hasta apps que registran la actividad cardíaca, puede tener un costado amargo.
De hecho, Novick cree que dado el alto valor de los registros médicos, el fraude en salud es más grave que el fraude bancario que involucra el robo de tarjetas. ¿Por qué? Porque no se puede detener, como sucede en el segundo caso si se cambia o reemplaza una tarjeta por otra.
Así, nuevamente, quedan en evidencia los riesgos asociados al uso de dispositivos móviles en esta industria, tal como cuando supimos que profesionales de salud comparten datos sensibles de pacientes a través de SMS y chat.
“Hay que generar un cambio cultural, porque el problema ya no es tecnológico”, señaló Luna, considerando que la tecnología ya está en condiciones de brindar herramientas funcionales, pero todavía falta una conciencia social de cómo usarlas en forma segura y cómo adaptarse a ellas.