LOS NUEVOS RETOS DE LA SEGURIDAD EN LA INFORMACIÓN CLÍNICA. LOS SERVICIOS DE CLOUD COMPUTING EN EL CAMPO DE LA SALUD Título

Documentos relacionados
Los retos de la era digital: oportunidades del nuevo sistema colombiano de protección de datos personales Título

DATOS PERSONALES EN LOS SERVICIOS

Tratamiento Responsable de los Datos Personales. Pablo Alberto Malagón Torres

IMPACTO DEL RNBD EN LAS EMPRESAS ANDRÉS FELIPE ANGEL

PROGRAMA/TEMARIO DEL ESQUEMA CONTENIDO

Documento de Diligencia Debida de Servicios en la Nube. Parte 1: Política de Servicios en la Nube de la Organización

CURSO DE ESPECIALIZACIÓN EN PROTECCIÓN DE DATOS

Precio Colectivos: 15 /Unidad IVA + Gastos de envío incluidos

EDUCACIÓN CONTINUA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES EDUCACIÓN CONTINUA UVM CURSO PORQUE LA PREPARACIÓN NUNCA TERMINA

Expectativas y beneficios de la autorregulación, experiencias internacionales. Elizabeth Argüello Maya Directora de Economía Digital

POLITICA PARA EL TRATAMIENTO DE DATOS PERSONALES. Bogotá, D.C. 26 de julio de 2013

LEY DE PROTECCIÓN DE DATOS PERSONALES

POLÍTICAS DEL ENCARGADO DE TRATAMIENTO DE DATOS PERSONALES

POLITICA DE TRATAMIENTO DE PROTECCION DE DATOS PERSONALES II. TRATAMIENTO AL CUAL SERAN SOMETIDOS LOS DATOS Y FINALIDAD

POLITICAS Y PROCEDIMIENTOS PARA PROTECCION DE DATOS PERSONALES

MANUAL DE POLÍTICAS WEB. Fecha: diciembre de /14

REVISIÓN DOCUMENTAL DE LA INFRAESTRUCTURA TECNOLÓGICA

POLITICA DE TRATAMIENTO Y PROTECCION DE DATOS PERSONALES

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES CONSUMER & INSIGHTS S.A.S.

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES EDIFICIO TIERRA FIRME WSAP P.H.

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES CONSUMER & INSIGHTS S.A.S.

POLÍTICA TRATAMIENTO DE DATOS PERSONALES CLÍNICAS CIENTIFICAS ODONTOLOGICAS SONRIA. Versión Octubre 2014

POLÍTICAS Y PROCEDIMIENTOS DE PROTECCIÓN DE DATOS PERSONALES

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

POLÍTICA DE TRATAMIENTO DE INFORMACIÓN DE DATOS PERSONALES COLVAN POLÍTICA DE TRATAMIENTO DE INFORMACIÓN DE DATOS PERSONALES

SEMINARIO PROTECCIÓN DE DATOS PERSONALES, REGISTRO NACIONAL DE BASE DE DATOS Y SEGURIDAD DE LA INFORMACIÓN. Juan Pablo Álzate SEMINARIO

POLITICA PARA EL TRATAMIENTO DE DATOS PERSONALES

Título. Ley 1581 de 2012: nuevo régimen general de protección de datos personales

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

POLÍTICA DE TRATAMIENTO DE PROTECCIÓN DE DATOS PERSONALES DE LOS TITULARES INDUSTRIAL DE ALUMINIOS Y CIA LTDA

Política de Privacidad y Protección de datos personales

Profesional Servicio Social Obligatorio (Odontología)

POLITICA DE TRATAMIENTO Y PROTECCION DE DATOS PERSONALES

AVISO DE PRIVACIDAD IDENTIFICACIÓN DEL RESPONSABLE:

CONSTRUCTORA PALO DE AGUA S.A NIT POLITICAS DE PROTECCION BASE DE DATOS

4. Derechos que le asisten a los Titulares de la Información:

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

Ricard Martínez Martínez Presidente de APEP ( Asociación Profesional Española de Privacidad

POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES (Manual de Procedimiento)

POLITICAS DE TRATAMIENTO DE INFORMACIÓN PERSONAL. Acorde con lo establecido en la Ley 1581, el titular debe entender por:

INSTRUCCIONES PARA MANEJO, ADMINISTRACIÓN Y TRATAMIENTO DE DATOS PERSONALES

MANUAL DE POLÍTICAS PARA EL TRATAMIENTO DE DATOS PERSONALES RED UNO S.A. Nit

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

Base7Germany GmbH. Anexo 1 Medidas técnicas y organizativas

capítulo 7- GRUPO DE ESTÁNDARES DE GERENCIA DE LA INFORMACIÓN

CURSO UNIVERSITARIO DE ESPECIALIZACIÓN EN DELEGADO EN PROTECCION DE DATOS (DPD) EN MADRID

1. PRESENTACION. 1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable.

ORIENTACIONES DEL GT29 EN RELACIÓN CON EL RGPD EL PAPEL DEL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS

MÁSTER UNIVERSITARIO EN PROTECCIÓN DE DATOS

REF: Contrato de Transferencia Internacional DICTAMEN DNPDP N 009/08. BUENOS AIRES, 09 de mayo de 2008 SEÑORA APODERADA:

POLÍTICAS DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES

POLÍTICA PARA EL MANEJO, ADMINISTRACIÓN Y TRATAMIENTO DE DATOS PERSONALES PREBEL S.A. y TIENDAS PREBEL S.A.S.

POLÍTICA DE MANEJO, ADMINISTRACIÓN Y TRATAMIENTO DE DATOS PERSONALES

POLÍTICA PARA EL TRATAMIENTO DE LOS DATOS PERSONALES DE LA BASE DE DATOS PÁGINA WEB CCOP LTDA.

A&S COMPUTADORES S.A. POLITICA DE MANEJO, TRATAMIENTO Y ADMINISTRACIÓN DE DATOS PERSONALES E INFORMACIÓN DE TERCEROS.

Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

Seguridad y Protección n de datos en el Sector Financiero

POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN DE MURO EXCAVACIONES Y OBRAS CIVILES S.A.S

MANUAL DE POLITICAS Y PROCEDIMIENTOS EN MATERIA DE TRATAMIENTO DE INFORMACIÓN PERSONAL

POLITICA DE TRATAMIENTO Y PROTECCION DE DATOS PERSONALES

Seguridad de la información como medida para la protección de los datos

1. NOMBRE E IDENTIFICACIÓN DE LA EMPRESA.

POLITICA PARA MANEJO, ADMINISTRACIÓN Y TRATAMIENTO DE DATOS PERSONALES

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DE PLASTIFICAMOS S.A.S.

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES MEDICAMENTOS DR ROJAS SAS NIT

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

El Régimen General de Protección de Datos Personales

HABEAS DATA PRINCIPIO DE RESPONSABILIDAD DEMOSTRADA

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

DOCUMENTO CONTROLADO DEFINICIONES

POLÍTICA DE SALUD FAMILIAR S.A. I.P.S. PARA EL TRATAMIENTO DE DATOS PERSONALES 1. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS:

Política de Protección de Datos Personales. Para el envío de información a clientes, trabajadores, proveedores y accionistas;

Andrés Calvo Medina Unidad de Evaluación y Estudios Tecnológicos. Agencia Española de Protección de Datos

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES. Responsable

POLITICA DE TRATAMIENTO DE DATOS PERSONALES GOCITEX SAS

POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES

POLÍTICA DE PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES DE ANAV

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DE PROMOTORA APOTEMA S.A.S.

EN CUMPLIMIENTO DE LA LEY 1581 DE 2012, SU DECRETO REGLAMENTARIO 1377 DE 2013 Y DEMÁS DISPOSICIONES SOBRE LA MATERIA, LA COMPAÑÍA METAL CORAZA S.A.S.

PROCEDIMIENTO PROCEDIMIENTO ATENCIÓN DE PQR DE TRATAMIENTO DE DATOS 0. LISTA DE VERSIONES VERSION FECHA RAZON DE LA ACTUALIZACION

CONTRATO DE ENCARGADO DEL TRATAMIENTO DE DATOS POR CUENTA DE LA UNIVERSIDAD DE OVIEDO (ARTÍCULO 28 RGPD)

LINEAMIENTOS PARA EL TRATAMIENTO DE DATOS PERSONALES

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES DRUGSTORE S.A.S.

Política de tratamiento de Datos Personales

POLÍTICA DE TRATAMIENTO DE DATOS

POLITICA DE TRATAMIENTO DE DATOS PERSONALES CLIENTES BAYPORT COLOMBIA S.A.S

POLÍTICA DE TRATAMIENTO DE DATOS

POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES LA MANCHA DEL JAGUAR S.A.S. NIT

Lista de la Verificación de la Gestión Ambiental 1

MANUAL DE POLÍTICAS Y PROCEDIMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

POLÍTICAS DE TRATAMIENTO, PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES DE LA EMPRESA AUDIOPOST S.A.S.

Transcripción:

LOS NUEVOS RETOS DE LA SEGURIDAD EN LA INFORMACIÓN CLÍNICA. LOS SERVICIOS DE CLOUD COMPUTING EN EL CAMPO DE LA SALUD Título María Claudia Caviedes Mejía Asesora Delegatura para la Protección de Datos Personales Bogotá, 23 de octubre de 2014

Computación en la nube Responsable = Cliente Encargado = Proveedor http://blog.dataprius.com/wp-content/uploads/2013/05/security-on-cloud.jpg

Servicios en salud Gestión global médica Gestión financiera Agenda médica Citas - Programaciones Registro y atención de pacientes Historial Clínico Cirugías Hospitalizaciones - Urgencias Laboratorios - Farmacia Atención de pacientes Admisiones i - Remisiones i Autorizaciones en línea Procesos de facturación Gestión administrativa Administración del talento humano Manejo de múltiples contratos

Reto Cloud como negocio vs. Seguridad de la información y protección de datos personales Negocio: Interoperabilidad entre organizaciones del sistema de salud, usuarios, gobierno Historia clínica unificada e integrada Reducción de costos Seguridad de la información y protección de datos personales: Custodia Seguridad Disponibilidad Confiabilidad Integridad Confidencialidad Continuidad del negocio y recuperación de desastres Accesibilidad a la información del paciente durante los tiempos de ventanas de mantenimiento programadas y no programadas. Conocer la localización del proveedor del servicio y de sus recursos, para anticipar un nivel adecuado de protección de datos.

Dictamen 05/2012 sobre la computación en la nube: GT Art. 29 23/10/2014 5

Riesgos Falta de control: Falta de disponibilidad (falta de interoperabilidad y dependencia de un proveedor) Falta de integridad (recursos compartidos) Falta de confidencialidad (requerimientos entidades competentes) Falta de intervención ió (complejidad d en la cadena de tercerización y falta de medidas necesarias para asistir al responsable ante el ejercicio de los derechos de los titulares) Falta de aislamiento (múltiples arrendatarios) 23/10/2014 6

Riesgos Falta de transparencia (frente a Responsables y Titulares): Cadenas de sub-encargados Zonas geográficas donde se tratan los datos (ley aplicable) Transferencias internacionales (niveles de protección) Responsable debe informar a titulares: Identidad del responsable/encargado Finalidades del tratamiento 23/10/2014 7

Contratos de Cloud (1) Deberes de las partes (cliente = responsable y del proveedor = encargado) Apoyo al cliente en el ejercicio de los derechos de los titulares. Alcance, forma y finalidad del tratamiento. Actualización y rectificación de la información. Transparencia en el tratamiento de los datos. Devolución y/o destrucción de datos (eliminación simultanea en servidores redundantes y garantizarse con subcontratistas). Cláusula de confidencialidad vinculante para el proveedor, sus empleados y cadena de subcontratistas. Prohibición de circulación de datos a terceros salvo que se pacte la posibilidad de subcontratar. 23/10/2014 8

Contratos de Cloud (2) Acuerdos sobre nivel de servicio ii y sanciones por incumplimiento. Medidas de seguridad - Integración con la seguridad interna. Sujeción de los subcontratistas a los términos y garantías del contrato con el proveedor. Obligacionesi denotificación ió al cliente encaso deviolaciones i de datos. Indicación de localización de servidores. Procedimiento de auditorías. Notificación sobre solicitudes de acceso de entidades competentes. Notificación sobre cambios en sus procedimientos. 23/10/2014 9

Medidas técnicas (1) Disponibilidad: Acceso oportuno y fiable (prevención de ataques de denegación de servicio, fallos de infraestructura, t etc.) Integridad: Garantía de autenticidad y no alteración de los datos (mecanismos de autenticación de los mensajes, uso de canales seguros). Confidencialidad: Medidas de cifrado de la información mecanismos de autorización y autenticación, cláusulas para contratistas y empleados. Transparencia: Medidas técnicas y organizacionales. 23/10/2014 10

Medidas técnicas (2) Aislamiento: i Segregación de funciones, evitar privilegios il i excesivos (principio del mínimo privilegio) y medidas técnicas. Posibilidad de intervención: Evitar los obstáculos excesivos para garantizar el ejercicio de derechos de acceso y supresión. Portabilidad: Verificación de las facilidades de portabilidad de la información (independencia de hardware y software) Accountability: Procedimientos de verificación de registros; mecanismos para garantizar acceso; asignación de recursos humanos; certificaciones independientes, etc. 23/10/2014 11

Modelos internacionales para Transferencias internacionales Declaración de adecuación (UE) Principios de Puerto Seguro (Safe Harbor) Normas Corporativas Vinculantes (NCV) Cláusulas contractuales tipo Guías sobre la Protección de la Privacidad y el Flujo Transfronterizo de Datos Personales (OCDE) Cross Border Privacy Rules (APEC) 23/10/2014 12

En Colombia

Transferencia Internacional de datos Decreto 1377 de 2013 arts. 24 y 25 Distingue entre transferencia y transmisión y señala que si hay transmisión no se requiere informar al titular ni contar con su autorización. ió Establece el deber de celebrar un contrato de transmisión de datos personales entre el Responsable y el Encargado de manera que el control y responsabilidad en el tratamiento de datos esté siempre en cabeza del Responsable. En el contrato de transmisión de datos el Encargado se debe comprometer a cumplir con las políticas de tratamiento del Responsable y además se obliga a: Cumplir con los principios de tratamiento de datos. Salvaguarda de la seguridad de la base de datos. Guarda de la confidencialidad. 23/10/2014 14

Accountability Decreto 1377 de 2013 arts. 26 y 27 Los responsables deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para cumplir con sus deberes legales, de manera que sea proporcional con: La naturaleza jurídica del responsable y su tamaño empresarial. La naturaleza de los datos personales objeto del tratamiento. El tipo de tratamiento. Los riesgos potenciales que puede causar el tratamiento. t t En caso de ser requeridos, las organizaciones deben describir los procedimientos usados para la recolección de los datos, las finalidades de uso y la relevancia de los datos para ese tratamiento y demostrar medidas de seguridad apropiadas.

Políticas internas efectivas Las políticas implementadas deben garantizar: Existencia i de una estructura t administrativa i ti proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012. Adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación. Adopción de procesos para la atención y respuesta a consultas, peticiones i y reclamos. La verificación por parte de la SIC de la existencia de medidas y políticas específicas para el manejo adecuado de datos personales que administra un responsable será tenida en cuenta al momento de evaluar la imposición de sanciones.

Elementos esenciales de los Programas basados en esquemas de Responsabilidad Demostrada (The Accountability Project, CIPL 2009) 1. Políticas internas efectivas 2. Liderazgo y supervisión 3. Estructura organizacional 4. Educación y concientización 5. Evaluación de riesgos y mitigación 6. Revisión ió yevaluación constante t 7. Manejo de incidentes y quejas 8. Mecanismos internos de cumplimiento 9. Instrumentos de defensa para titulares

OCDE Guías sobre privacidad 2013 TERCERA PARTE. IMPLEMENTANDO ACCOUNTABILITY 15. Un responsable del tratamiento de datos debe: a) Contar con un programa de gestión de la privacidad que: i. dé cumplimiento a estas Directrices para todos los datos personales bajo su control; ii. se adapte a la estructura, la escala, el volumen y la sensibilidad de sus operaciones; iii. prevea salvaguardias adecuadas en función de la evaluación de riesgo para la privacidad; iv. esté integrado en su estructura de gobierno y establece los mecanismos de supervisión interna; v. incluya planes para responder a las consultas e incidentes; vi. esté actualizado en función del seguimiento continuo y evaluación periódica; b) Estar preparado para demostrar que su programa de gestión de la privacidad es adecuado, en particular, a petición de una autoridad de supervisión competente en materia de privacidad u otra entidad responsable de promover la adhesión a un código de conducta o un acuerdo similar dando efecto vinculante a las presentes Directrices; y c) Proporcionar notificación, según el caso, a las autoridades de supervisión competente en materia de privacidad u otras autoridades pertinentes donde se ha producido un fallo de seguridad importante que afecte a los datos personales. Cuando el fallo probablemente afecte a los interesados, un responsable del tratamiento de datos debe notificar a los interesados afectados.

Ciclo de vida del dato La Gestión de la Información, es un conjunto de procesos por los cuales se controla el ciclo de vida del dato. El objetivo de la Gestión de la Información es propender por la seguridad de la información, garantizandoando su integridad, disponibilidad y confidencialidad.

Adoptar un el enfoque de ciclo de vida del dato significa reconocer cómo se produce el flujo de información en sus procesos y actividades. Identificar los procesos de Tratamiento de la información: Recolección Transformación, almacenamiento transferencia. uso, y Eliminación o archivo

En qué parte del procedimiento o actividad se obtienen los datos (por creación o captura, manual o sistematizados)? Es necesaria la recolección? Qué información se debe recolectar? Recolección Cómo se debe recolectar la información? Se asegura la calidad de los datos a la hora de la captura de los mismos? Se está informando la finalidad?

Mantenimiento i t y uso En qué procedimientos o actividades internas se procesan los datos y cuales de ellos requieren ser transferidos? Cuál es el procedimiento para realizar oportunamente la actualización y rectificación de los datos? Se depuran, consolidan e integran los datos? Se tiene medidas de seguridad y políticas de acceso? Se actualizan y respaldan los datos? Aseguran la calidad?

Disposición Final Cuánto tiempo se conservan los datos en la organización y cuáles son los medios para su disposición final? Existen procedimientos de archivo documental con medidas de seguridad? Se deben almacenar los datos eliminados con el fin de tomar medidas de prevención de solicitudes posteriores? Existen procedimientos para atender la solicitud de revocar la autorización y/o solicitud de la supresión del dato? Gestión de incidentes documentada.

http://www.cepal.org/cgi-bin/getprod.asp?xml=/prensa/noticias/comunicados/8/52118/p52118.xml&

Muchas gracias! mcaviedes@sic.gov.co www.sic.gov.co

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback