Date post: | 02-Aug-2015 |
Category: |
Presentations & Public Speaking |
Upload: | fabian-descalzo |
View: | 172 times |
Download: | 0 times |
####
Hacia un modelo de Hacia un modelo de Hacia un modelo de Hacia un modelo de
privacidad y seguridadprivacidad y seguridadprivacidad y seguridadprivacidad y seguridad
01010101010101010101020101010101010101
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
AgendaAgendaAgendaAgenda
�Porqué asegurar los datos de salud� Formas fraudulentas de utilización de datos� Incidentes tecnológicos y de gestión� Estadísticas de fraude� Implicancias por falta de cumplimiento�Categoría de empresas de salud alcanzadas� Entorno de riesgos de datos de salud�Objetivos y planificación del modelo� 10 pasos para la implementación del modelo
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
¿Por qué asegurar los datos de salud?¿Por qué asegurar los datos de salud?¿Por qué asegurar los datos de salud?¿Por qué asegurar los datos de salud?
ConfidencialesDatos personales
Filiatorios ydomiciliarios
SensiblesDatos de Salud
Historia Clínica y estudios complementarios
Nombres completos de afiliados y pacientesFechas de nacimiento
Número de credencialesDirecciones de domicilio y de correo electrónico
Números telefónicos y de documentosInformación de cuentas bancarias
Información clínica.
RiesgosExternos
RiesgosInternos
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de salud? salud? salud? salud? Formas de utilización fraudulentaFormas de utilización fraudulentaFormas de utilización fraudulentaFormas de utilización fraudulenta
FUENTE: http://www.welivesecurity.com/la-es/2015/03/02/robo-de-registros-datos-salud-informacion-medica/
• Nombre, Dirección, Teléfono, email
• Datos básico personales: Útiles para spam, minería de datos, elaboración de perfiles
Nivel 1
• Fecha de nacimiento, Nro. de HC, Nro. de seguro asistencial, Nro. de licencia de conducir
• Datos no públicos, utilizados para cometer robos de identidad
Nivel 2
• Aseguradora/Obra Social, información de pago, tarjeta de crédito, cuenta bancaria
• Datos para cometer fraudes financieros, estafas de facturación, robos
Nivel 3
• Grupo sanguíneo, diagnósticos, prescripciones, datos genéticos
• Datos médicos para cometer fraudes de facturación, uso indebido de prescripciones y servicios médicos, fraude de identificación médica
Nivel 4
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de saludsaludsaludsalud????
Incidentes tecnológicosIncidentes tecnológicosIncidentes tecnológicosIncidentes tecnológicos
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de saludsaludsaludsalud????Incidentes de gestiónIncidentes de gestiónIncidentes de gestiónIncidentes de gestión
Resumen: Papelería que contenía la información de al menos 66 pacientes del hospital fue perdida, aparentemente olvidada por un empleado, en un tren. Los datos incluían nombres, fechas de nacimiento e información médica (diagnósticos, proveedores, etc.). El hospital envío cartas a todos los pacientes cuyas identidades estaban en los papeles perdidos
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de saludsaludsaludsalud????Análisis Análisis Análisis Análisis global de fraude global de fraude global de fraude global de fraude 2013/20142013/20142013/20142013/2014
Concepto Descripción Porcentajes
PrevalenciaEmpresas afectadas por fraude
74%
Aumento de la exposición
Empresas cuya exposición al fraude ha aumentado
85%
Áreas de Pérdida Frecuente
Porcentaje de empresas que informan pérdidas por tipo de fraude
35% Robo de información física y activos de información20% Robo o pérdida de información por ataque informático20% Infracción regulatoria o de cumplimiento25% Conflicto de intereses gerencial
Motores más Importantes del Aumento de Exposición:
Principal motor del aumento de la exposición al fraude y porcentaje de empresas afectadas
43% Aumento de la tercerización y la descentralización de servicios43% Complejidad de la TI
FUENTE: Consultora KROLL (Oficina Buenos Aires), del resultado de análisis al ámbito de salud en América Latina
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
PERDIDA DE DATOS¿QUÉ OCURRE SI NO SE ELABORA LA HC O SE OMITE ANOTAR ALGÚN PROCEDIMIENTO O MEDICACIÓN?Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente. Si es empleado oficial comete el delito de prevaricato por omisión y cuando recibe colaboración de una persona particular también ésta responderá como cómplice.
FALTA DE INTEGRIDAD DE LOS DATOS¿QUÉ OCURRE SI SE HACEN ANOTACIONES DE LAS CONDICIONES DE SALUD DE UNA PERSONA, O ACTOS MÉDICOS O PROCEDIMIENTOS QUE NUNCA SE REALIZARON?Se comente el delito de falsedad ideológica en documento privado. Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente.
FALTA DE CONFIDENCIALIDAD DE LOS DATOS¿QUÉ SANCIÓN TIENE UNA PERSONA PARTICULAR QUE REVELE ALGO QUE ESTE EN LA HISTORIA CLÍNICA DE OTRA PERSONA?Comete el delito de divulgación y empleo de documentos reservados.
La ley 25.326 prevé penas de un mes a dos años de prisión al que insertara o hiciera insertar a sabiendas datos falsos en un archivo de datos personales
Ley 26.529 “Derechos del paciente” también contempla El resguardo del derecho a la intimidad y a la confidencialidad de la información médica del paciente
¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de saludsaludsaludsalud????
Implicancias por falta de cumplimientoImplicancias por falta de cumplimientoImplicancias por falta de cumplimientoImplicancias por falta de cumplimiento
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de saludsaludsaludsalud????
Categorías de empresas de salud alcanzadasCategorías de empresas de salud alcanzadasCategorías de empresas de salud alcanzadasCategorías de empresas de salud alcanzadas
DATOS PERSONALES Y PRIVACIDADCONSTITUCIÓN DE LA NACIÓN ARGENTINA, modificada en 1994. Art. 19 y 43 (Habeas Data).LEY 25.326 de Protección de los Datos Personales.LEY 26.529 Derechos del Paciente en su Relación con los Profesionales e Instituciones de la Salud, que regula los derechos del paciente sobre su historia clínica y el consentimiento informado luego de recibir la información sobre su tratamiento.
Laboratorios
Centros de Diagnóstico y Tratamiento
Obras Sociales y Empresas de Medicina Prepaga
Instituciones de Atención e Internación Médica
Otras empresas que tratan datos de salud(preocupacionales, seguros, etc.)
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Entornos de riesgo de datos de saludEntornos de riesgo de datos de saludEntornos de riesgo de datos de saludEntornos de riesgo de datos de salud
Entornos Ejemplos de situaciones de riesgo Ejemplos de medidas de seguridad
Entorno físico
• Acceso indebido a oficinas o lugares de atención donde se
manipula información de historia clínica o datos de diagnóstico
en papel
• Acceso a equipamiento informático, periféricos y equipos móviles
de sectores que procesan datos de pacientes
• Sistemas de alarma
• Control de acceso físico
• Vidrios laminados opacos que impidan la visual
Entorno
administrativo
• Falta de rol del responsable de seguridad
• Falta de capacitación y supervisión de los equipos de trabajo
• Control de acceso a la información deficiente
• No se evalúan en forma periódica los aspectos de seguridad
• Asignar un responsable de seguridad
• Formación del personal
• Revisión mensual de las actividades del usuario
• Aplicación de políticas
Entorno técnico
• Bajos controles establecidos sobre el acceso a la historia clínica
electrónica
• Registros de auditoría insuficientes para supervisar las
actividades realizadas sobre la historia clínica electrónica o para
evitar cambios indebidos de los datos electrónicos de los
pacientes
• No se aseguran intercambios electrónicos autorizados de la
información del paciente
• Establecer políticas de configuración de seguridad informática
• Establecer políticas de respaldo de datos
• Comprobación de protección ante virus
• Establecer mecanismos de cifrado de datos
Entorno
documental
• Inexistencia de documentos que aseguren el cumplimiento de las
condiciones de seguridad establecidas en el marco regulatorio y
legal de la práctica médica
• Documentación desorganizada y en desconocimiento de la
organización
• Establecer un marco normativo de seguridad de la información
que norme la actividad y responsabilidades de usuarios y
terceras partes, y documentar su aceptación
• Establecer una gestión documental sobre el marco normativo
y prever su comunicación a la organización (ciclo de vida y
política de retención)
Entorno
organizacional
• Incumplimiento en nuevas instalaciones, procesos
administrativos y comerciales.
• Fallas legales y de seguridad de la información en acuerdos
escritos
• Actualización y revisión de acuerdos de negocio en base al
marco regulatorio y políticas de la organización
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Entornos de riesgo de datos de saludEntornos de riesgo de datos de saludEntornos de riesgo de datos de saludEntornos de riesgo de datos de salud
Garantías requeridasAdministrativas - Físicas - Técnicas
Problemática de Terceras Partes
Ciberseguridad
Prácticas de seguridad cibernética básicas para proteger la
confidencialidad, integridad y disponibilidad de sistemas de registro de salud electrónica
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Principales objetivos del modeloPrincipales objetivos del modeloPrincipales objetivos del modeloPrincipales objetivos del modelo
• Apoyar el cuidado del paciente y continuidad de la atención;• Apoyar los procesos cotidianos que sustentan la prestación de la
atención;• Apoyar la gestión administrativa y de toma de decisiones;• Cumplir con los requisitos legales, incluyendo las disposiciones
de la ley de protección de datos o la ley de libertad de información, asistencia clínica u otros tipos de auditoría
• Asegurar la integridad de datos teniendo en cuenta la importancia de la información clínica histórica que componen;
• Ayuda a los profesionales y prestadores, al paciente y al control de tratamiento y servicios diseñados alrededor de los pacientes.
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Planificando el modeloPlanificando el modeloPlanificando el modeloPlanificando el modelo
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modeloPlanificando el modeloPlanificando el modeloPlanificando el modeloPlanificando el modelo
ALC
AN
CE
• Identificar procesos de tratamiento de datos personales y sensibles
• Identificar entradas y salidas externas a los procesos funcionales
LID
ERA
ZGO • Designar un responsable de seguridad y privacidad
• Apoyo de la Alta Gerencia y la Dirección Médica
• Contar con especialistas de campo en la gestión de datos de salud
DO
CU
MEN
TAC
IÓN •Reportes de análisis de
riesgos de seguridad
•Plan de acción de gestión de riesgos
•Convenios de prestadores de servicios
•Registros de capacitación para el personal y terceros asociados
•Registros de auditoría sobre la HCE
•Políticas y procedimientos
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modeloLos riesgos y el plan de acciónLos riesgos y el plan de acciónLos riesgos y el plan de acciónLos riesgos y el plan de acción
AN
ALI
SIS
DE
RIE
SGO
S • Arquitectura de la HCE (hardware, software, interfaces, usuarios)
• Entorno físico donde se tratan datos sensibles (HC)
• Procesos funcionales de tratamiento de datos
PLA
N D
E R
EMED
IAC
IÓN • Integrar equipos de
trabajos interdisciplinarios
• Incluir medidas de seguridad administrativas, físicas y técnicas; políticas y procedimientos; normas organizacionales
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
10 Pasos para implementar el 10 Pasos para implementar el 10 Pasos para implementar el 10 Pasos para implementar el modelomodelomodelomodeloMito y realidad sobre los riesgos analizadosMito y realidad sobre los riesgos analizadosMito y realidad sobre los riesgos analizadosMito y realidad sobre los riesgos analizados
Mito Realidad
El análisis de riesgos de seguridad es
opcional para los pequeños
prestadores
Falso. Todos los prestadores deben incluirse en un análisis de riesgo; el alcance solo está
determinado por los procesos de los servicios de salud (administrativos y tecnológicos),
pero sus componentes (prestadores, usuarios, profesionales médicos) y su entorno (físico ý
lógico) deben analizarse.
Debo externalizar el análisis de riesgos
de seguridad
Falso. Es posible hacer análisis de riesgo acotados basados en herramientas de autoayuda.
Sin embargo, para encarar proyectos de remediación profundos u orientados a obtener
alguna certificación, es necesario contar con la experiencia profesional de un experto con
conocimientos sobre el cumplimiento necesario.
Una lista de verificación es suficiente
para registrar un análisis de riesgo
Falso. Las listas de verificación pueden ser herramientas útiles, pero no completan la
totalidad de los registros necesarios que respaldan sus respuestas.
Existe un método de análisis de riesgo
específico que debo seguir.
Falso. Un análisis de riesgos puede realizarse de innumerables maneras. OCR ha emitido
directrices sobre requisitos de análisis de riesgo de la regla de seguridad. Esta guía ayuda a
las organizaciones en la identificación y aplicación de las garantías más eficaces y
apropiadas para asegurar e-PHI.
El análisis de riesgos de seguridad sólo
debe hacerse sobre la HCE
Falso. Se deben revisar todos los dispositivos electrónicos que almacenan, capturan o
modifican la información electrónica de la salud. (p. ej., su tablet PC, teléfono móvil,
fotocopiadoras, etc.)
Sólo tengo que hacer un análisis de
riesgo una vez
Falso. Anualmente debe de revisar, corregir o modificar y actualizar la protección de
seguridad.
Debo hacer todos los años mi análisis
de riesgos de seguridad completo
Falso. Si bien se debe revisar y actualizar el análisis de riesgos cada año, deben revisarse los
riesgos cuando se producen cambios a los procesos funcionales o sistemas electrónicos
para evitar expuesto durante largos períodos de tiempo.
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modeloGestionando los riesgosGestionando los riesgosGestionando los riesgosGestionando los riesgos
GES
TIO
NA
R Y
MIT
IGA
R L
OS
RIE
SGO
S
• Blindaje de la HCE
• Monitoreo de la arquitectura de la HCE
• Monitoreo de los procesos de tratamiento de información clínica
• Revisar y auditar a Terceras Partes
CA
PAC
ITA
CIÓ
N Y
CO
NC
IEN
TIZA
CIÓ
N • En equipo con el área legal, realizar concientización interna sobre la gestión de datos de salud
• Capacitar al personal de tecnología
• Capacitar a médicos y prestadores sobre las políticas internas
CO
MU
NIC
AC
IÓN
CO
N E
L PA
CIE
NTE • Informar al
paciente sobre como proteger su información de salud, sus derechos de información y como protegemos sus datos
• Instruir claramente sobre la información de diagnóstico enviada por mail
AC
TUA
LIZA
R A
CU
ERD
OS
CO
N P
RES
TAD
OR
ES • Revisar los convenios con prestadores sobre la base de la seguridad y privacidad en el tratamiento de datos de salud
• Establecer revisiones periódicas a procesos funcionales y tecnológicos, así como entornos físicos
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modeloOperando el modeloOperando el modeloOperando el modeloOperando el modelo
Asegurar la gestión y calidad de servicios (datos de Pacientes y Afiliados, información para Prestadores y Profesionales, autorizaciones, solicitud y entrega de HC)
Asegurar la gestión económica (recupero por APE, facturación y reintegros, prótesis y descartables, auditoría médica)
Asegurar el cumplimiento legal evitando juicios, multas y penalidades
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
RecuerdeRecuerdeRecuerdeRecuerde
FABIÁN DESCALZOGovernance, Risk & Compliance
[email protected]://ar.linkedin.com/in/fabiandescalzo
Muchas gracias Muchas gracias Muchas gracias Muchas gracias
por su atenciónpor su atenciónpor su atenciónpor su atención