Violación de datos médicos

Violación de datos de información sanitaria

Los datos médicos, incluidos los datos de identidad de los pacientes, su estado de salud, el diagnóstico y el tratamiento de enfermedades y la información biogenética , no solo afectan a la privacidad de los pacientes, sino que también tienen una sensibilidad especial y un valor importante, que pueden ocasionar sufrimiento físico y mental y pérdida de propiedad a los pacientes e incluso afectar negativamente a la estabilidad social y la seguridad nacional una vez que se filtran. Sin embargo, el desarrollo y la aplicación de la IA médica deben basarse en una gran cantidad de datos médicos para el entrenamiento de algoritmos , y cuanto mayor y más diversa sea la cantidad de datos, más precisos serán los resultados de su análisis y predicción. Sin embargo, la aplicación de tecnologías de big data como la recopilación, el análisis y el procesamiento de datos, el almacenamiento en la nube y el intercambio de información ha aumentado el riesgo de fuga de datos. En Estados Unidos, la tasa de tales violaciones ha aumentado con el tiempo, y a fines de 2017 se habían violado 176 millones de registros. ^{[1] [2]} Hubo 245 violaciones de datos de 10 000 o más registros, 68 violaciones de datos de atención médica de 100 000 o más personas, 25 violaciones que afectaron a más de medio millón de personas y 10 violaciones de información médica personal y protegida de más de 1 millón de personas.

Mercado negro de datos sanitarios

En febrero de 2015, un informe de NPR afirmó que las redes del crimen organizado tenían formas de vender datos de salud en el mercado negro . ^[1]

En 2015, un empleado de Beazley estimó que los registros médicos podrían venderse en el mercado negro por entre 40 y 50 dólares estadounidenses . ^[2]

La delincuencia es la principal causa de las violaciones de datos médicos. ^[3]

Cómo se pierden los datos

El robo, la pérdida de datos , la piratería y el acceso no autorizado a cuentas son formas en las que ocurren violaciones de datos médicos. ^[4] Entre las violaciones de información médica denunciadas en los Estados Unidos, los sistemas de información en red representaron el mayor número de registros violados. ^[5] Hay una gran cantidad de violaciones de datos que ocurren en el sistema de atención médica de EE. UU., entre socios comerciales de los proveedores de atención médica que continuamente obtienen acceso a los datos de los pacientes. ^[6]

Lista de violaciones de datos

• En mayo de 2024, MediSecure sufrió un ciberataque con ransomware en Australia. ^{[7] [8]}
• En mayo de 2021, el Servicio Ejecutivo de Salud de la República de Irlanda fue víctima de un ciberataque que involucraba ransomware, en el ciberataque del Servicio Ejecutivo de Salud , con registros de admisión y resultados de pruebas presentes en una muestra de los datos revisados ​​por el Financial Times . ^[9]
• En octubre de 2018, los Centros de Servicios de Medicare y Medicaid de EE. UU. informaron que alrededor de 75 000 registros individuales se habían visto afectados por una violación de datos que tuvo lugar a través del Portal de agentes y corredores de la ACA . ^[10]
• En 2018, Social Indicators Research publicó la evidencia científica de 173.398.820 (más de 173 millones) de personas afectadas en EE. UU. desde octubre de 2008 (cuando se recopilaron los datos) hasta septiembre de 2017 (cuando se realizó el análisis estadístico). ^[11]
• En 2015, Anthem Inc. perdió datos de 37 millones de personas en la filtración de datos médicos de Anthem
• En 2014, 4,5 millones de personas que utilizan Complete Health Systems sufrieron el robo de sus datos ^{[ cita requerida ]}
• Entre 2013 y 2014, un millón de personas que utilizan el Departamento de Salud Pública y Servicios Humanos de Montana sufrieron el robo de sus datos ^{[ cita requerida ]}
• En 2013, 4 millones de personas que utilizan Advocate Health and Hospitals Corporation sufrieron el robo de sus datos ^{[ cita requerida ]}
• En 2011, 4,9 millones de usuarios de los servicios de Tricare sufrieron el robo de sus datos debido a un error de un empleado de Science Applications International Corporation ^{[ cita requerida ]}
• En 2011, 1,9 millones de personas que utilizaban Health Net sufrieron el robo de sus datos ^{[ cita requerida ]}
• En 2011, un millón de personas que utilizan la Fundación Nemours sufrieron el robo de sus datos ^{[ cita requerida ]}
• En 2010, 6.800 usuarios del Hospital Presbiteriano de Nueva York y del Centro Médico de la Universidad de Columbia sufrieron una filtración de sus datos. En respuesta, esas organizaciones aceptaron pagar al Departamento de Salud y Servicios Humanos de los Estados Unidos una multa de 4,8 millones de dólares. ^[12]
• En 2009, 1 millón de personas que utilizan BlueCross BlueShield de Tennessee sufrieron el robo de sus datos ^{[ cita requerida ]}

Regulación

En Estados Unidos, la Ley de Portabilidad y Responsabilidad del Seguro Médico y la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica exigen que las empresas informen sobre las violaciones de datos a las personas afectadas y al gobierno federal . ^[13]

• Privacidad de la información de salud Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA). - 45 CFR Partes 160 y 164, Estándares para la privacidad de la información de salud individualmente identificable y Estándares de seguridad para la protección de la información de salud electrónica protegida. HIPAA incluye disposiciones diseñadas para ahorrar dinero a las empresas de atención médica al fomentar las transacciones electrónicas, así como regulaciones para proteger la seguridad y confidencialidad de la información del paciente. La Regla de Privacidad entró en vigencia el 14 de abril de 2001, y la mayoría de las entidades cubiertas (planes de salud, cámaras de compensación de atención médica y proveedores de atención médica que realizan ciertas transacciones financieras y administrativas electrónicamente) tenían hasta abril de 2003 para cumplir. Esta disposición de seguridad entró en vigencia el 21 de abril de 2003. La Ley de Portabilidad y Responsabilidad del Seguro Médico ( HIPAA ) es el conjunto de normas federales de referencia que rigen la información médica. Hace tres cosas: iiiEstablecer una estructura para la divulgación de la información de salud personal y establecer los derechos de las personas con respecto a la información de salud; ii. Especificar estándares de seguridad para la retención y transmisión de información electrónica de pacientes; iii. Necesita un formato y una estructura de datos comunes para el intercambio electrónico de información de salud.
• Leyes específicas de California Las leyes de privacidad médica de California, principalmente la Ley de confidencialidad de la información médica (CMIA), las secciones del Código Civil sobre violación de datos y las secciones del Código de salud y seguridad, brindan protecciones similares a la HIPAA, aunque la terminología es diferente. La HIPAA establece un "estándar mínimo" federal que se aplica cuando existen lagunas en la ley de California, y también especifica que las leyes estatales más estrictas anularán o reemplazarán a la HIPAA. Las leyes de privacidad de la atención médica de California se aplican a los proveedores que proporcionan registros médicos personales (PHR), mientras que la HIPAA solo se aplica cuando el proveedor que proporciona el PHR es un socio comercial de una entidad cubierta. La ley federal no otorga a las personas el derecho a presentar una demanda en caso de una violación de datos (solo el Fiscal General puede presentar una demanda), pero la ley de California sí. Esto significa que la ley de California establece un estándar más alto para la privacidad médica y que las personas en California disfrutan de protecciones legales más sólidas y más formas de responsabilizar a las entidades que violan su privacidad médica.
• En el Reino Unido, el marco legal que regula el tratamiento y el procesamiento de los datos de los pacientes es la Ley de Protección de Datos de 2018 (DPA), que incorpora el Reglamento General de Protección de Datos (RGPD) de la UE y el deber de confidencialidad del common law (CLDC). La legislación de protección de datos exige que la recopilación y el procesamiento de datos personales sean justos, lícitos y transparentes. Esto significa que la recopilación y el procesamiento de datos, tal como se define en la legislación de protección de datos, siempre deben tener una base legal válida y también deben cumplir los requisitos del CLDC.
• En China, el artículo 18 de las "Normas nacionales de macrodatos para la atención de la salud, medidas de seguridad y gestión de servicios (para la implementación de prueba)" (Planificación y desarrollo de la salud nacional (2018) n.º 23) promulgadas por la Comisión Nacional de Atención de la Salud en 2018 establece que "la unidad responsable adoptará medidas como la clasificación de datos, la copia de seguridad de datos importantes y la autenticación de cifrado para garantizar la seguridad de los macrodatos de atención de la salud". Sin embargo, no se cubre el alcance y la definición de datos importantes. Aunque la "Guía de seguridad de la tecnología de la seguridad de la información - Seguridad de datos de atención de la salud" (la "Guía") emitida por el Comité Nacional de Normalización también propone que los datos importantes se evalúen y aprueben de conformidad con las regulaciones, tampoco hay una definición de la connotación y la definición de datos importantes.

Véase también

• Seguridad informática § Sistemas médicos
• Privacidad médica
• Pérdida de datos

Referencias

1. Shahani, Aarti (13 de febrero de 2015). "El mercado negro de datos sanitarios robados: toda la tecnología considerada: NPR". npr.org . Consultado el 17 de febrero de 2015 .
2. Abelson, Reed; Goldstein, Matthew (5 de febrero de 2015). "El hackeo de Anthem señala una vulnerabilidad de seguridad en la industria de la atención médica". The New York Times . Nueva York . ISSN  0362-4331 . Consultado el 17 de febrero de 2015 .
3. Richards, Robbie (16 de noviembre de 2015). "Healthcare data breaches present a $6 billion threat" (Las violaciones de datos de atención médica representan una amenaza de 6 mil millones de dólares). royaljay.com . Consultado el 16 de noviembre de 2015 .
4. Millman, Jason (19 de agosto de 2014). "Las violaciones de datos de atención médica han afectado a 30 millones de pacientes y siguen aumentando". The Washington Post . Washington DC : WPC . ISSN  0190-8286 . Consultado el 17 de febrero de 2015 .
5. McCoy, Thomas H.; Perlis, Roy H. (25 de septiembre de 2018). "Tendencias temporales y características de las violaciones de datos de salud notificables, 2010-2017". JAMA . 320 (12): 1282–1284. doi :10.1001/jama.2018.9222. ISSN  1538-3598. PMC 6233611 . PMID  30264106. 
6. YARAGHI, NIAM; GOPAL, RAM D. (marzo de 2018). "El papel de las normas generales de la HIPAA en la reducción de la frecuencia de las violaciones de datos médicos: perspectivas de un estudio empírico". The Milbank Quarterly . 96 (1): 144–166. doi :10.1111/1468-0009.12314. ISSN  0887-378X. PMC 5835681 . PMID  29504206. 
7. "El proveedor de scripts MediSecure está en el centro de una filtración de datos de 'ransomware a gran escala', según puede confirmar ABC". ABC News . 2024-05-16 . Consultado el 2024-05-16 .
8. McSweeney, David Swan, Jessica (16 de mayo de 2024). "La policía investiga una filtración de datos sanitarios a gran escala". The Sydney Morning Herald . Consultado el 16 de mayo de 2024 .{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace )
9. Noonan, Laura; Shotter, James (19 de mayo de 2021). "Los datos de pacientes irlandeses robados por piratas informáticos aparecen en línea". Financial Times . Consultado el 19 de mayo de 2021 .
10. "CMS informa sobre una filtración de datos en el portal de agentes y corredores de ACA". www.ajmc.com . 22 de octubre de 2018.
11. Koczkodaj, Waldemar W.; Mazurek, Mirosław; Strzałka, Dominik; Wolny-Dominiak, Alicja; Woodbury-Smith, Marc (2018). "Incumplimientos de registros sanitarios electrónicos como indicadores sociales". Investigación de Indicadores Sociales . 141 (2): 861–871. doi :10.1007/s11205-018-1837-z. S2CID  148750993.
12. "Columbia Medical Center, Hospital To Pay $4.8M Fine for Data Breach" (El centro médico y el hospital de Columbia pagarán una multa de 4,8 millones de dólares por la filtración de datos). iHealthBeat . California HealthCare Foundation . 8 de mayo de 2014. Archivado desde el original el 7 de febrero de 2016 . Consultado el 17 de febrero de 2015 .
13. Oficina de Derechos Civiles (26 de julio de 2013). "Reglamento sobre notificación de infracciones". Departamento de Salud y Servicios Humanos de los Estados Unidos .

Lectura adicional

• "Los piratas informáticos advierten al NHS sobre la seguridad". BBC News . Reino Unido. 9 de junio de 2011.
• Thurton, David (5 de febrero de 2016). "El hospital Inuvik confirma una posible filtración de datos por parte de los empleados". CBC News: North . Yellowknife, Territorios del Noroeste

Enlaces externos

• Oficina de Derechos Civiles. "Infracciones que afectan a 500 o más personas". Portal de infracciones . Departamento de Salud y Servicios Humanos de EE. UU . . Consultado el 17 de junio de 2016 .