####

Hacia un modelo de Hacia un modelo de Hacia un modelo de Hacia un modelo de

privacidad y seguridadprivacidad y seguridadprivacidad y seguridadprivacidad y seguridad

01010101010101010101020101010101010101

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

AgendaAgendaAgendaAgenda

�Porqué asegurar los datos de salud� Formas fraudulentas de utilización de datos� Incidentes tecnológicos y de gestión� Estadísticas de fraude� Implicancias por falta de cumplimiento�Categoría de empresas de salud alcanzadas� Entorno de riesgos de datos de salud�Objetivos y planificación del modelo� 10 pasos para la implementación del modelo

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

¿Por qué asegurar los datos de salud?¿Por qué asegurar los datos de salud?¿Por qué asegurar los datos de salud?¿Por qué asegurar los datos de salud?

ConfidencialesDatos personales

Filiatorios ydomiciliarios

SensiblesDatos de Salud

Historia Clínica y estudios complementarios

Nombres completos de afiliados y pacientesFechas de nacimiento

Número de credencialesDirecciones de domicilio y de correo electrónico

Números telefónicos y de documentosInformación de cuentas bancarias

Información clínica.

RiesgosExternos

RiesgosInternos

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de salud? salud? salud? salud? Formas de utilización fraudulentaFormas de utilización fraudulentaFormas de utilización fraudulentaFormas de utilización fraudulenta

FUENTE: http://www.welivesecurity.com/la-es/2015/03/02/robo-de-registros-datos-salud-informacion-medica/

• Nombre, Dirección, Teléfono, email

• Datos básico personales: Útiles para spam, minería de datos, elaboración de perfiles

Nivel 1

• Fecha de nacimiento, Nro. de HC, Nro. de seguro asistencial, Nro. de licencia de conducir

• Datos no públicos, utilizados para cometer robos de identidad

Nivel 2

• Aseguradora/Obra Social, información de pago, tarjeta de crédito, cuenta bancaria

• Datos para cometer fraudes financieros, estafas de facturación, robos

Nivel 3

• Grupo sanguíneo, diagnósticos, prescripciones, datos genéticos

• Datos médicos para cometer fraudes de facturación, uso indebido de prescripciones y servicios médicos, fraude de identificación médica

Nivel 4

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de saludsaludsaludsalud????

Incidentes tecnológicosIncidentes tecnológicosIncidentes tecnológicosIncidentes tecnológicos

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de saludsaludsaludsalud????Incidentes de gestiónIncidentes de gestiónIncidentes de gestiónIncidentes de gestión

Resumen: Papelería que contenía la información de al menos 66 pacientes del hospital fue perdida, aparentemente olvidada por un empleado, en un tren. Los datos incluían nombres, fechas de nacimiento e información médica (diagnósticos, proveedores, etc.). El hospital envío cartas a todos los pacientes cuyas identidades estaban en los papeles perdidos

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de saludsaludsaludsalud????Análisis Análisis Análisis Análisis global de fraude global de fraude global de fraude global de fraude 2013/20142013/20142013/20142013/2014

Concepto Descripción Porcentajes

PrevalenciaEmpresas afectadas por fraude

74%

Aumento de la exposición

Empresas cuya exposición al fraude ha aumentado

85%

Áreas de Pérdida Frecuente

Porcentaje de empresas que informan pérdidas por tipo de fraude

35% Robo de información física y activos de información20% Robo o pérdida de información por ataque informático20% Infracción regulatoria o de cumplimiento25% Conflicto de intereses gerencial

Motores más Importantes del Aumento de Exposición:

Principal motor del aumento de la exposición al fraude y porcentaje de empresas afectadas

43% Aumento de la tercerización y la descentralización de servicios43% Complejidad de la TI

FUENTE: Consultora KROLL (Oficina Buenos Aires), del resultado de análisis al ámbito de salud en América Latina

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

PERDIDA DE DATOS¿QUÉ OCURRE SI NO SE ELABORA LA HC O SE OMITE ANOTAR ALGÚN PROCEDIMIENTO O MEDICACIÓN?Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente. Si es empleado oficial comete el delito de prevaricato por omisión y cuando recibe colaboración de una persona particular también ésta responderá como cómplice.

FALTA DE INTEGRIDAD DE LOS DATOS¿QUÉ OCURRE SI SE HACEN ANOTACIONES DE LAS CONDICIONES DE SALUD DE UNA PERSONA, O ACTOS MÉDICOS O PROCEDIMIENTOS QUE NUNCA SE REALIZARON?Se comente el delito de falsedad ideológica en documento privado. Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente.

FALTA DE CONFIDENCIALIDAD DE LOS DATOS¿QUÉ SANCIÓN TIENE UNA PERSONA PARTICULAR QUE REVELE ALGO QUE ESTE EN LA HISTORIA CLÍNICA DE OTRA PERSONA?Comete el delito de divulgación y empleo de documentos reservados.

La ley 25.326 prevé penas de un mes a dos años de prisión al que insertara o hiciera insertar a sabiendas datos falsos en un archivo de datos personales

Ley 26.529 “Derechos del paciente” también contempla El resguardo del derecho a la intimidad y a la confidencialidad de la información médica del paciente

¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de saludsaludsaludsalud????

Implicancias por falta de cumplimientoImplicancias por falta de cumplimientoImplicancias por falta de cumplimientoImplicancias por falta de cumplimiento

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

¿Por qué ¿Por qué ¿Por qué ¿Por qué asegurar los datos de asegurar los datos de asegurar los datos de asegurar los datos de saludsaludsaludsalud????

Categorías de empresas de salud alcanzadasCategorías de empresas de salud alcanzadasCategorías de empresas de salud alcanzadasCategorías de empresas de salud alcanzadas

DATOS PERSONALES Y PRIVACIDADCONSTITUCIÓN DE LA NACIÓN ARGENTINA, modificada en 1994. Art. 19 y 43 (Habeas Data).LEY 25.326 de Protección de los Datos Personales.LEY 26.529 Derechos del Paciente en su Relación con los Profesionales e Instituciones de la Salud, que regula los derechos del paciente sobre su historia clínica y el consentimiento informado luego de recibir la información sobre su tratamiento.

Laboratorios

Centros de Diagnóstico y Tratamiento

Obras Sociales y Empresas de Medicina Prepaga

Instituciones de Atención e Internación Médica

Otras empresas que tratan datos de salud(preocupacionales, seguros, etc.)

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Entornos de riesgo de datos de saludEntornos de riesgo de datos de saludEntornos de riesgo de datos de saludEntornos de riesgo de datos de salud

Entornos Ejemplos de situaciones de riesgo Ejemplos de medidas de seguridad

Entorno físico

• Acceso indebido a oficinas o lugares de atención donde se

manipula información de historia clínica o datos de diagnóstico

en papel

• Acceso a equipamiento informático, periféricos y equipos móviles

de sectores que procesan datos de pacientes

• Sistemas de alarma

• Control de acceso físico

• Vidrios laminados opacos que impidan la visual

Entorno

administrativo

• Falta de rol del responsable de seguridad

• Falta de capacitación y supervisión de los equipos de trabajo

• Control de acceso a la información deficiente

• No se evalúan en forma periódica los aspectos de seguridad

• Asignar un responsable de seguridad

• Formación del personal

• Revisión mensual de las actividades del usuario

• Aplicación de políticas

Entorno técnico

• Bajos controles establecidos sobre el acceso a la historia clínica

electrónica

• Registros de auditoría insuficientes para supervisar las

actividades realizadas sobre la historia clínica electrónica o para

evitar cambios indebidos de los datos electrónicos de los

pacientes

• No se aseguran intercambios electrónicos autorizados de la

información del paciente

• Establecer políticas de configuración de seguridad informática

• Establecer políticas de respaldo de datos

• Comprobación de protección ante virus

• Establecer mecanismos de cifrado de datos

Entorno

documental

• Inexistencia de documentos que aseguren el cumplimiento de las

condiciones de seguridad establecidas en el marco regulatorio y

legal de la práctica médica

• Documentación desorganizada y en desconocimiento de la

organización

• Establecer un marco normativo de seguridad de la información

que norme la actividad y responsabilidades de usuarios y

terceras partes, y documentar su aceptación

• Establecer una gestión documental sobre el marco normativo

y prever su comunicación a la organización (ciclo de vida y

política de retención)

Entorno

organizacional

• Incumplimiento en nuevas instalaciones, procesos

administrativos y comerciales.

• Fallas legales y de seguridad de la información en acuerdos

escritos

• Actualización y revisión de acuerdos de negocio en base al

marco regulatorio y políticas de la organización

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Entornos de riesgo de datos de saludEntornos de riesgo de datos de saludEntornos de riesgo de datos de saludEntornos de riesgo de datos de salud

Garantías requeridasAdministrativas - Físicas - Técnicas

Problemática de Terceras Partes

Ciberseguridad

Prácticas de seguridad cibernética básicas para proteger la

confidencialidad, integridad y disponibilidad de sistemas de registro de salud electrónica

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Principales objetivos del modeloPrincipales objetivos del modeloPrincipales objetivos del modeloPrincipales objetivos del modelo

• Apoyar el cuidado del paciente y continuidad de la atención;• Apoyar los procesos cotidianos que sustentan la prestación de la

atención;• Apoyar la gestión administrativa y de toma de decisiones;• Cumplir con los requisitos legales, incluyendo las disposiciones

de la ley de protección de datos o la ley de libertad de información, asistencia clínica u otros tipos de auditoría

• Asegurar la integridad de datos teniendo en cuenta la importancia de la información clínica histórica que componen;

• Ayuda a los profesionales y prestadores, al paciente y al control de tratamiento y servicios diseñados alrededor de los pacientes.

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Planificando el modeloPlanificando el modeloPlanificando el modeloPlanificando el modelo

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modeloPlanificando el modeloPlanificando el modeloPlanificando el modeloPlanificando el modelo

ALC

AN

CE

• Identificar procesos de tratamiento de datos personales y sensibles

• Identificar entradas y salidas externas a los procesos funcionales

LID

ERA

ZGO • Designar un responsable de seguridad y privacidad

• Apoyo de la Alta Gerencia y la Dirección Médica

• Contar con especialistas de campo en la gestión de datos de salud

DO

CU

MEN

TAC

IÓN •Reportes de análisis de

riesgos de seguridad

•Plan de acción de gestión de riesgos

•Convenios de prestadores de servicios

•Registros de capacitación para el personal y terceros asociados

•Registros de auditoría sobre la HCE

•Políticas y procedimientos

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modeloLos riesgos y el plan de acciónLos riesgos y el plan de acciónLos riesgos y el plan de acciónLos riesgos y el plan de acción

AN

ALI

SIS

DE

RIE

SGO

S • Arquitectura de la HCE (hardware, software, interfaces, usuarios)

• Entorno físico donde se tratan datos sensibles (HC)

• Procesos funcionales de tratamiento de datos

PLA

N D

E R

EMED

IAC

IÓN • Integrar equipos de

trabajos interdisciplinarios

• Incluir medidas de seguridad administrativas, físicas y técnicas; políticas y procedimientos; normas organizacionales

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

10 Pasos para implementar el 10 Pasos para implementar el 10 Pasos para implementar el 10 Pasos para implementar el modelomodelomodelomodeloMito y realidad sobre los riesgos analizadosMito y realidad sobre los riesgos analizadosMito y realidad sobre los riesgos analizadosMito y realidad sobre los riesgos analizados

Mito Realidad

El análisis de riesgos de seguridad es

opcional para los pequeños

prestadores

Falso. Todos los prestadores deben incluirse en un análisis de riesgo; el alcance solo está

determinado por los procesos de los servicios de salud (administrativos y tecnológicos),

pero sus componentes (prestadores, usuarios, profesionales médicos) y su entorno (físico ý

lógico) deben analizarse.

Debo externalizar el análisis de riesgos

de seguridad

Falso. Es posible hacer análisis de riesgo acotados basados en herramientas de autoayuda.

Sin embargo, para encarar proyectos de remediación profundos u orientados a obtener

alguna certificación, es necesario contar con la experiencia profesional de un experto con

conocimientos sobre el cumplimiento necesario.

Una lista de verificación es suficiente

para registrar un análisis de riesgo

Falso. Las listas de verificación pueden ser herramientas útiles, pero no completan la

totalidad de los registros necesarios que respaldan sus respuestas.

Existe un método de análisis de riesgo

específico que debo seguir.

Falso. Un análisis de riesgos puede realizarse de innumerables maneras. OCR ha emitido

directrices sobre requisitos de análisis de riesgo de la regla de seguridad. Esta guía ayuda a

las organizaciones en la identificación y aplicación de las garantías más eficaces y

apropiadas para asegurar e-PHI.

El análisis de riesgos de seguridad sólo

debe hacerse sobre la HCE

Falso. Se deben revisar todos los dispositivos electrónicos que almacenan, capturan o

modifican la información electrónica de la salud. (p. ej., su tablet PC, teléfono móvil,

fotocopiadoras, etc.)

Sólo tengo que hacer un análisis de

riesgo una vez

Falso. Anualmente debe de revisar, corregir o modificar y actualizar la protección de

seguridad.

Debo hacer todos los años mi análisis

de riesgos de seguridad completo

Falso. Si bien se debe revisar y actualizar el análisis de riesgos cada año, deben revisarse los

riesgos cuando se producen cambios a los procesos funcionales o sistemas electrónicos

para evitar expuesto durante largos períodos de tiempo.

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modeloGestionando los riesgosGestionando los riesgosGestionando los riesgosGestionando los riesgos

GES

TIO

NA

R Y

MIT

IGA

R L

OS

RIE

SGO

S

• Blindaje de la HCE

• Monitoreo de la arquitectura de la HCE

• Monitoreo de los procesos de tratamiento de información clínica

• Revisar y auditar a Terceras Partes

CA

PAC

ITA

CIÓ

N Y

CO

NC

IEN

TIZA

CIÓ

N • En equipo con el área legal, realizar concientización interna sobre la gestión de datos de salud

• Capacitar al personal de tecnología

• Capacitar a médicos y prestadores sobre las políticas internas

CO

MU

NIC

AC

IÓN

CO

N E

L PA

CIE

NTE • Informar al

paciente sobre como proteger su información de salud, sus derechos de información y como protegemos sus datos

• Instruir claramente sobre la información de diagnóstico enviada por mail

AC

TUA

LIZA

R A

CU

ERD

OS

CO

N P

RES

TAD

OR

ES • Revisar los convenios con prestadores sobre la base de la seguridad y privacidad en el tratamiento de datos de salud

• Establecer revisiones periódicas a procesos funcionales y tecnológicos, así como entornos físicos

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modelo10 Pasos para implementar el modeloOperando el modeloOperando el modeloOperando el modeloOperando el modelo

Asegurar la gestión y calidad de servicios (datos de Pacientes y Afiliados, información para Prestadores y Profesionales, autorizaciones, solicitud y entrega de HC)

Asegurar la gestión económica (recupero por APE, facturación y reintegros, prótesis y descartables, auditoría médica)

Asegurar el cumplimiento legal evitando juicios, multas y penalidades

01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

RecuerdeRecuerdeRecuerdeRecuerde

FABIÁN DESCALZOGovernance, Risk & Compliance

fabiandescalzo@yahoo.com.arhttps://ar.linkedin.com/in/fabiandescalzo

Muchas gracias Muchas gracias Muchas gracias Muchas gracias

por su atenciónpor su atenciónpor su atenciónpor su atención