Iñaki Pariente de Prada Director. Agencia Vasca de protección de Datos.

Transcripción

1 Las implicaciones del uso de herramientas informáticas en el ámbito sanitario para la protección de los datos personales de los pacientes: una visión desde la seguridad. Iñaki Pariente de Prada Director. Agencia Vasca de protección de Datos.

2 EMPEZANDO POR EL FINAL LA PROTECCIÓN DE DATOS COADYUVA A LA SEGURIDAD Y AL BUEN FUNCIONAMIENTO DE LAS ORGANIZACIONES SANITARIAS. 2

3 DEBEMOS PASAR DE «ESTO NO SE PUEDE HACER POR PROTECCIÓN DE DATOS» 3

4 Esto no se puede hacer por Protección de Datos Privacy by Design 4

5 a 5

6 La protección de datos y la seguridad nos benefician a todos y mejoran el funcionamiento de la ORGANIZACIÓN 6

7 Guión de la exposición 1. Marco de referencia de la protección de datos personales. 2. La seguridad vista desde la privacidad. 3. Informática y medios electrónicos. 4. Conclusiones. 7

8 1. Framework de la Privacidad (Principios de la LOPD) 1. Información en la recogida 2. Consentimiento del afectado 3. Tratamiento de los datos. Principio de Calidad (minimización) 4. Especial protección de algunos datos 5. Limitación de las cesiones de datos 6. Cumplimiento derechos A-R-C-O- 7. Deber de secreto 8.Seguridad de los datos Privacy by Design 8

9 Datos de carácter personal Dato de Carácter Personal (art. 3 LOPD): Cualquier información (numérica, alfabética, gráfica, fotográfica, acústica, etc.) relativa a una persona física identificada o identificable utilizada por Administraciones o Empresas No se aplica la normativa sobre PDCP si la información es anónima (datos disociados) o si se presenta como datos agregados o sociales (perfiles o características de colectivos, no de individuos) Datos especialmente protegidos (art. 7 LOPD) Pertenecen a nuestra esfera más íntima y su comunicación a terceros puede hacernos vulnerables. Su tratamiento conlleva un plus de medidas para garantizar la seguridad. Revelan ideología, afiliación sindical, religión, creencias, origen racial, SALUD, vida sexual, infracciones. 9

10 DATO DE SALUD La LOPD no lo define Art. 5.1 g) del Reglamento las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. 10

11 Qué significa tratamiento de datos, sea manual o automático? La expresión tratamiento de datos incluye las siguientes operaciones con datos personales: Recogida, Conservación, Combinación, Comunicación Se suelen combinar métodos manuales e informáticos en el tratamiento de datos personales (en la recogida, archivo, etc.). ES LA ORGANIZACIÓN LA QUE DEBE DEFINIR LOS TRATAMIENTOS A REALIZAR CON LOS DATOS PERSONALES. 11

12 Marco de Referencia II. LA Seguridad de los Datos DESDE LA PRIVACIDAD(art. 9 LOPD) Se adoptarán las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, evitando su alteración o pérdida y su tratamiento o acceso no autorizado Teniendo en cuenta: el estado de la tecnología la naturaleza de los datos almacenados los riesgos a que estén expuestos 12

13 Niveles de seguridad Nivel Alto: ficheros con Datos especialmente protegidos Fines policiales Violencia de género Nivel Medio: ficheros con Infracciones administrativas o penales Información sobre solvencia patrimonial Administraciones Tributarias Entidades financieras Seguridad Social Elaboración de perfiles Nivel Básico: Todos los ficheros Privacy by Design 13

14 Resumen medidas nivel Básico Ficheros automatizados y no automatizados Niveles de Seguridad Art. 89. Funciones y obligaciones del personal Art. 90. Registro de incidencias Art. 91. Control de acceso Art. 92. Gestión de soportes y documentos Sólo automatizados Art. 93. Identificación y autenticación Art. 94. Copias de respaldo y recuperación Sólo no automatizados Art Criterios de archivo - posibilitar derechos ARCO Art Dispositivos de almacenamiento - mecanismos apertura Art Custodia de los soportes - en el proceso de tramitación Privacy by Design 14

15 Resumen medidas nivel Medio Ficheros automatizados y no automatizados Niveles de Seguridad Arts. 95 y 109: Responsable de seguridad Arts. 96 y 110: Auditoria Sólo automatizados Art. 97. Gestión de soportes Art. 98. Identificación y autenticación Art. 99. Control de acceso físico Art Registro de incidencias Sólo no automatizados 15

16 Resumen medidas nivel Alto Niveles de Seguridad Sólo automatizados Art Gestión y distribución de soportes Cifrado de datos. Evitar dispositivos que no permitan el cifrado Art Copias de respaldo y recuperación Art Registro de accesos Excepción: Responsable persona física y único usuario Art Telecomunicaciones Cifrado en redes públicas o inalámbricas Sólo no automatizados Art Almacenamiento de la información Archivadores, áreas restringidas Art Copia o reproducción Personal autorizado Art Acceso a la documentación Mecanismo identificación accesos por diferentes usuarios Art Traslado de documentación Impedir acceso, manipulación 16

17 3. Y ADEMÁS. LAS APLICACIONES informáticas, LA TECNOLOGÍA y LOS medios electrónicos Cuál es la situación actual del uso de internet? 17

18 Uso de internet en el país vasco 18

19 19

20 Special Eurobarometer 404 CYBER SECURITY REPORT Fieldwork: May - June

21 Seguridad en empresas país vasco 21

22 Informática y uso de medios electrónicos en el ámbito sanitario. Aplicaciones informáticas dirigidas a la gestión de la historia clínica: accesos, trazabilidad, seguridad. Aplicaciones móviles en el ámbito de la salud: evaluación previa. Aplicaciones de mensajería instantánea. Otros problemas: la movilidad. 22

23 LAS APLICACIONES EN EL ÁMBITO DE LA SALUD 23

24 24

25 25

26 26

27 27

28 28

29 LOS DISPOSITIVOS MÓVILES Características: tamaño reducido, interfaz inalámbrico, memoria interna y múltiples aplicaciones. + posicionamiento GPS, cámara digital, micrófono y sistema de grabación, y mecanismos de sincronización con servidores. 29

30 DATOS SOBRE INTEGRACIÓN DE DISPOSITIVOS MÓVILES En 2014, el 90 % de las organizaciones desplegarán sus aplicaciones corporativas en los dispositivos móviles y el 80 % de los profesionales utilizará al menos dos dispositivos móviles. En 2016 se comprarán más de 1600 millones de dispositivos móviles 30

31 CUANTOS DE USTEDES TIENEN UN TELÉFONO MÓVIL (CORPORATIVO O NO) Y LO UTILIZAN O HAN UTILIZADO CON FINES PROFESIONALES? 31

32 MAYORES RIESGOS Los dispositivos móviles tienen un riesgo mucho mayor y requiere medidas de seguridad adicionales debido sobre todo a que se utilizan fuera de las instalaciones. 32

33 AMENAZAS FRECUENTES DE DISPOSITIVOS MÓVILES Acceso no autorizado al dispositivo. Acceso no autorizado a la información. Código dañino. Uso de aplicaciones o servicios no aceptados por la organización. Uso inadecuado en compartición prof/per Reutilización inadecuada Utilización de BYOD en la organización. 33

34 MEDIDAS DE SEGURIDAD RECOMENDABLES Pin robusto de acceso al dispositivo Métodos de autenticación más robustos. Encriptación de dispositivo. Prohibiciones específicas: no descarga de determinadas aplicaciones, no permitir uso de determinadas aplicaciones, no acumulación de información en la memoria, etc. 34

35 Un problema indirecto: las redes no seguras Si el acceso se realiza desde redes públicas, y por definición no confiables, el riesgo aumenta. Es normal el acceso mediante mecanismos wifi que posibilita ataques tipo man in the middle, atacando los datos en tránsito. Esto exige la adopción de mecanismos expresos para esta contingencia. 35

36 EL MAYOR RIESGO: LA DESCARGA Y USO DE APLICACIONES NO CONFIABLES Ante este riesgo, qué medidas: Prohibir totalmente la descarga de aplicaciones Permitir las aplicaciones mediante listas blancas. Prohibir determinadas aplicaciones lista negra. Ejecutar un análisis de riesgos de cada una de las aplicaciones. Otros. 36

37 Otros sistemas Monitorización Implementación de medidas de seguridad específicas. Sistemas de autenticación complejos. Adopción de normativa de seguridad específica. 37

38 4. RECOMENDACIONES Evaluación previa, evaluación de impacto Evaluación de riesgos Evaluación de productos y servicios en todo caso Auditoría / Consultoría Aumentar la seguridad Descartar productos o servicios no beneficiosos para la seguridad o que generen riesgos 38

39 CONCLUSIÓN: LA PROTECCIÓN DE DATOS COADYUVA A LA SEGURIDAD Y AL BUEN FUNCIONAMIENTO DE LAS ORGANIZACIONES SANITARIAS. 39

40 AGENCIA VASCA DE PROTECCIÓN DE DATOS