El sector sanitario es sin duda uno de los más afectados por los ataques informáticos durante esta pandemia, tanto por los ciberataques, como por las filtraciones de los datos de sus pacientes.
Sin ir más lejos podemos mencionar en este año 2020 ciberataques a hospitales como el de Torrejón de Ardoz en Madrid, el Hospital Universitario Uniklinik de la ciudad alemana de Dusseldorf o el Hospital Universitario de New Jersey
Aviso de Interpol
Al final del primer trimestre de año, cuando la pandemia
comenzaba a azotar a los países Europeos,
la interpol ya nos advirtió del peligro inminente que suponían los ciberataques
en plena pandemia y de que se debían adoptar medidas de inmediato, sino queríamos
que el sistema sanitario colapsara. Imaginaros lo que podría suceder si se
bloquearan los accesos a los historiales de los pacientes o si paralizaran
diferentes dispositivos médicos, como equipos de resonancia, marca pasos o válvulas
de insulina. Por desgracia la pandemia no ha disuadido a los ciberdelincuentes,
al contrario, se han centrado más en este tipo de instituciones.
El Centro Criptográfico Nacional (CCN) señaló en el último
informe publicado en septiembre que los ataques de ransomware a instituciones
médicas son uno de los principales riesgos a considerar. Un análisis realizado
por una aseguradora estima que este crecimiento llegará al 350% en 2019. Es
previsible que esta tendencia continúe o se acelere en 2020. De hecho, ya ha
habido ataques contra organizaciones y laboratorios relacionados con la guerra
contra el coronavirus.
La pandemia dispara el cibercrimen, con 400.000 campañas tipo ransomware más que en el mismo periodo de 2019.
Los ciberataques en el sector sanitario no es cosas de ahora, sino que son algo habitual desde hace ya bastantes años.
Ya en el año 2011 durante una conferencia sobre piratería informática celebrada a principios de agosto en Las Vegas (EEUU), Jay Radcliffe habló sobre los serios problemas de seguridad que había encontrado en unas bombas de insulina implantables del fabricante Medtronic. Advirtió que cualquier ‘hacker’ podía hacerse fácilmente con el control remoto de esos dispositivos y manejarlos a su antojo. Es decir, podría alterar las dosis, los tiempos de administración y, por tanto, poner en riesgo la salud del paciente.
No solo los Hospitales y las grandes corporaciones están en riesgo de recibir ciberataques
Todas las clínicas y centros médicos, por muy pequeños que
sean, están expuestos a los ataques informáticos. Hay que tener en cuenta que
todo este tipo de organizaciones tiene dos puntos grandes de riesgo:
1 Manejan y guardan información muy sensible de sus
pacientes. A diferencia con otro tipo de organizaciones, las sanitarias poseen
información muy relevante de sus clientes (pacientes). Desde sus datos
personales, pasando por el número de afiliado a la seguridad social, hasta
informes médicos detallados que no deben conocer más que los sanitarios
autorizados para poder realizar su trabajo. Pensar que en los últimos tiempos
la sanidad se ha digitalizado y han pasado toda la información de papel a
digital, encontrándose en una sola ficha, datos personales, informes y todo
tipo de pruebas medicas que se les hubieran realizado.
Todos estos datos tienen que estar perfectamente protegidos
y organizados. De hecho, es tan sensible la información que guardan que la RGPD
indica que este tipo de organizaciones deberán poseer un delegado de protección
de datos para ocuparse tanto de la comunicación empresa-trabajador, como
empresa-paciente, a demás de marcar los protocolos que se seguirán para garantizar
la protección de la información.
2 Poseen equipos médicos necesarios para su trabajo y que en muchos casos, cada vez más, están conectados a internet. Obviamente cualquiera de estos equipos es susceptible de ser hackeado y controlado externamente, con el caos consiguiente que podrían generar, como bombas de insulina que inyectan la cantidad de insulina que quiera el hacker o válvulas cardiacas que funcionan incorrectamente o se paran directamente.
¿Qué puntos necesita cumplir una clínica o un médico autónomo en cuanto al RGPD?
a) ¿Consentimiento o Contrato?
En otros tipos de organizaciones lo que es necesario, es el consentimiento del cliente para poder tratar sus datos, en cambio en este tipo de organizaciones se necesita algo más, no vale con el consentimiento explicito para el tratamiento de sus datos, sino que se hace necesaria la firma de un contrato específico.
b) Seguridad
El RGPD realmente no nos dice como se debe proteger la información de estas organizaciones, sino que deja al libre albedrio de la empresa la forma de hacerlo. En el caso de médicos y clínicas, por el tipo de información que tienen, tendremos que tener en cuenta el riesgo en el caso de perdidas de información, modificaciones o salidas hacia un tercero, por lo que habrá que tomar medidas especiales para guardar a buen recaudo esta información.
c) Información hacia el paciente
Si queremos cumplir con el deber de informar al cliente en clínicas y médicos deberemos hacer algo mas que tener una comunicación con este. Deberemos añadir al contrato que se firma con el una series de clausulas, como la que indica como pueden ejercer sus derechos o quien es el responsable de la empresa en el tratamiento de los datos.
También hay que indicar que los derechos del paciente tienen que ver con el derecho de acceso, de rectificación, de supresión, de oposición y de portabilidad. En definitiva debemos dar contestación a cualquier solicitud de los pacientes.
d) Más allá del tratamiento de datos
A parte de los datos sobre los pacientes y su historial médico que suelen ser procesados por los médicos, el RGPD también nos obliga a agregar al menos “atención de derecho a las personas” y “notificación de una brecha de seguridad en los datos personales”
e) ¿DPO si o DPO no?
Los médicos por no tratar una ingente cantidad de datos no están obligados a tener DPO, aun que si que es muy recomendable. Sin embargo las clínicas, al tratar gran cantidad de datos personales y sensibles si que están en la obligación de tener un delegado de protección de datos.
¿Diferencias entre LOPD y RGPD para clínicas y médicos?
Se diferencian básicamente en cuatro puntos clave:
1 El consentimiento ya no es suficiente.
2 No existen ya ficheros que presentar a la AEPD.
3 Son necesarios los contratos para los encargados de protección datos en el caso de serlo.
4 Los consentimientos que tuviéramos de antes del 2018 posiblemente ya no son válidos.
En resumen, el sector sanitario tiene una inminente necesidad de proteger su información, tanto por lo sensible que es, como por ser uno de los focos principales de los ciberataques..
¿Puedo ser sancionado por la AEPD si recibo un ataque en el cual me secuestran o pierdo la información de mis pacientes?
Puedes ser sancionado hasta con 20.000.000€ o con el 4% de tu facturación anual, siempre y cuando no se hayan tomado las medidas necesarias para proteger esa información y no se este cumpliendo con el RGPD. Sin embargo, si se toman las medidas necesarias y se cumple por completo con el RGPD, nunca serás sancionado.
Onciber recomienda a las clínicas y a los médicos el contratar esta protección con una empresa especializada en protección de datos y ciberseguridad, para evitar cualquier tipo de sanción.
Déjanos a nosotros la protección de tu información y dedícate solamente al foco de tu negocio.
