Violación de datos médicos

Violación de datos de información de salud.

Los datos médicos, incluida la información de identidad de los pacientes, su estado de salud, el diagnóstico y tratamiento de enfermedades y la información biogenética , no sólo implican la privacidad de los pacientes sino que también tienen una sensibilidad especial y un valor importante, que puede causar angustia física y mental y pérdida de propiedad a los pacientes y incluso afectar negativamente la estabilidad social y la seguridad nacional una vez filtrados. Sin embargo, el desarrollo y la aplicación de la IA médica deben depender de una gran cantidad de datos médicos para el entrenamiento de algoritmos , y cuanto mayor y más diversa sea la cantidad de datos, más precisos serán los resultados de su análisis y predicción. Sin embargo, la aplicación de tecnologías de big data, como la recopilación, el análisis y el procesamiento de datos, el almacenamiento en la nube y el intercambio de información, ha aumentado el riesgo de fuga de datos. En los Estados Unidos, la tasa de este tipo de violaciones ha aumentado con el tiempo, con 176 millones de registros violados a fines de 2017. ^{[1] [2]} Ha habido 245 violaciones de datos de 10,000 o más registros, 68 violaciones de los datos de atención médica de 100.000 o más personas, 25 violaciones que afectaron a más de medio millón de personas y 10 violaciones de la información personal y de salud protegida de más de 1 millón de personas.

Mercado negro de datos sanitarios

En febrero de 2015, un informe de NPR afirmó que las redes del crimen organizado tenían formas de vender datos de salud en el mercado negro . ^[1]

En 2015, un empleado de Beazley estimó que los registros médicos podrían venderse en el mercado negro por entre 40 y 50 dólares . ^[2]

El crimen es la causa principal de las filtraciones de datos médicos. ^[3]

Cómo se pierden los datos

El robo, la pérdida de datos , la piratería informática y el acceso no autorizado a cuentas son formas en que se producen las violaciones de datos médicos. ^[4] Entre las violaciones de información médica reportadas en los Estados Unidos, los sistemas de información en red representaron el mayor número de registros violados. ^[5] Hay una gran cantidad de violaciones de datos que ocurren en el sistema de atención médica de EE. UU., entre socios comerciales de los proveedores de atención médica que continuamente obtienen acceso a los datos de los pacientes. ^[6]

Lista de violaciones de datos

• En mayo de 2024, MediSecure sufrió un ciberataque con ransomware en Australia. ^{[7] [8]}
• En mayo de 2021, el Health Service Executive de la República de Irlanda fue víctima de un ciberataque con ransomware, en el ciberataque Health Service Executive , con registros de admisión y resultados de pruebas presentes en una muestra de los datos revisados ​​por el Financial Times . ^[9]
• En octubre de 2018, los Centros de Servicios de Medicare y Medicaid de EE. UU. informaron que alrededor de 75.000 registros individuales se habían visto afectados por una violación de datos que tuvo lugar a través del Portal de Agentes y Corredores de la ACA . ^[10]
• En 2018, Social Indicators Research publicó la evidencia científica de 173.398.820 (más de 173 millones) de personas afectadas en EE. UU. desde octubre de 2008 (cuando se recopilaron los datos) hasta septiembre de 2017 (cuando se realizó el análisis estadístico). ^[11]
• En 2015, Anthem Inc. perdió datos de 37 millones de personas en la violación de datos médicos de Anthem.
• En 2014, a 4,5 millones de personas que utilizaban Complete Health Systems les robaron sus datos ^{[ cita necesaria ]}
• En 2013-14, a 1 millón de personas que utilizaban el Departamento de Salud Pública y Servicios Humanos de Montana les robaron sus datos ^{[ cita necesaria ]}
• En 2013, a 4 millones de personas que utilizaban Advocate Health and Hospitals Corporation les robaron sus datos ^{[ cita necesaria ]}
• En 2011, 4,9 millones de usuarios de los servicios Tricare sufrieron el robo de datos debido a un error de un empleado por parte de Science Applications International Corporation ^{[ cita necesaria ]}
• En 2011, a 1,9 millones de personas que utilizaban Health Net les robaron los datos ^{[ cita necesaria ]}
• En 2011, a 1 millón de personas que utilizaban la Fundación Nemours les robaron sus datos ^{[ cita necesaria ]}
• En 2010, se vulneraron los datos de 6.800 personas que utilizaban el Hospital Presbiteriano de Nueva York y el Centro Médico de la Universidad de Columbia . En respuesta, esas organizaciones acordaron pagar al Departamento de Salud y Servicios Humanos de Estados Unidos una multa de 4,8 millones de dólares. ^[12]
• En 2009, a 1 millón de personas que utilizaban BlueCross BlueShield of Tennessee les robaron sus datos ^{[ cita necesaria ]}

Regulación

En los Estados Unidos, la Ley de Responsabilidad y Portabilidad del Seguro Médico y la Ley de Tecnología de la Información Médica para la Salud Económica y Clínica exigen que las empresas informen sobre las violaciones de datos a las personas afectadas y al gobierno federal . ^[13]

• Privacidad de la información médica Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (HIPAA). - 45 CFR Partes 160 y 164, Estándares para la privacidad de la información médica identificable individualmente y Estándares de seguridad para la protección de la información médica protegida electrónica. HIPAA incluye disposiciones diseñadas para ahorrar dinero a las empresas de atención médica al fomentar las transacciones electrónicas, así como regulaciones para proteger la seguridad y confidencialidad de la información del paciente. La Regla de Privacidad entró en vigor el 14 de abril de 2001, y la mayoría de las entidades cubiertas (planes de salud, cámaras de compensación de atención médica y proveedores de atención médica que realizan ciertas transacciones financieras y administrativas electrónicamente) tenían hasta abril de 2003 para cumplir. Esta disposición de seguridad entró en vigor el 21 de abril de 2003. La Ley de Responsabilidad y Portabilidad del Seguro Médico ( HIPAA ) es el conjunto básico de regulaciones federales que rigen la información médica. Hace tres cosas: iiiEstablecer una estructura sobre cómo se divulga la información de salud personal y establecer los derechos de las personas con respecto a la información de salud; ii.Especificar estándares de seguridad para la retención y transmisión de información electrónica de pacientes; iii.Necesidad de un formato y una estructura de datos comunes para el intercambio electrónico de información sanitaria.
• Leyes específicas de California Las leyes de privacidad médica de California, principalmente la Ley de Confidencialidad de la Información Médica (CMIA), las secciones sobre violación de datos del Código Civil y las secciones del Código de Salud y Seguridad, brindan protecciones similares a la HIPAA, aunque la terminología es diferente. HIPAA establece un "estándar mínimo" federal que se aplica cuando existen lagunas en la ley de California, y HIPAA también especifica que las leyes estatales más estrictas anularán o reemplazarán a HIPAA. Las leyes de privacidad de la atención médica de California se aplican a los proveedores que proporcionan registros médicos personales (PHR), mientras que HIPAA solo se aplica cuando el proveedor que proporciona el PHR es un socio comercial de una entidad cubierta. La ley federal no otorga a las personas el derecho a presentar una demanda en caso de una violación de datos (solo el Fiscal General puede presentar una demanda), pero la ley de California sí lo hace. Esto significa que la ley de California establece un estándar más alto para la privacidad médica y que Las personas en California disfrutan de protecciones legales más sólidas y de más formas de responsabilizar a las entidades que violan su privacidad médica.
• En el Reino Unido, el marco legal sobre cómo se cuidan y procesan los datos de los pacientes es la Ley de Protección de Datos de 2018 (DPA), que incorpora el Reglamento General de Protección de Datos de la UE (GDPR) y el deber de confidencialidad del derecho consuetudinario (CLDC). . La legislación de protección de datos exige que la recopilación y el procesamiento de datos personales sean justos, legales y transparentes. Esto significa que la recopilación y el procesamiento de datos según lo definido por la legislación de protección de datos siempre debe tener una base legal válida y también debe cumplir con los requisitos de la CLDC.
• En China, el artículo 18 de los "Estándares nacionales de big data de atención médica, medidas de seguridad y gestión de servicios (para implementación de prueba)" (Planificación y desarrollo nacional de salud (2018) No. 23) promulgados por la Comisión Nacional de Atención Médica en 2018 establece "La unidad responsable adoptará medidas como clasificación de datos, copia de seguridad de datos importantes y autenticación de cifrado para garantizar la seguridad de los big data de atención médica". Sin embargo, no se cubren el alcance y la definición de datos importantes. Aunque la "Guía de seguridad de datos de tecnología de seguridad de la información y atención médica" (la "Guía") emitida por el Comité Nacional de Normalización también propone que los datos importantes deben ser evaluados y aprobados de acuerdo con la normativa, tampoco existe una definición de la connotación y definición. de datos importantes.

Ver también

• Seguridad informática § Sistemas médicos
• Privacidad médica
• Pérdida de datos

Referencias

1. Shahani, Aarti (13 de febrero de 2015). "El mercado negro de datos sanitarios robados: toda la tecnología considerada: NPR". npr.org . Consultado el 17 de febrero de 2015 .
2. Abelson, Reed; Goldstein, Matthew (5 de febrero de 2015). "Puntos de piratería de Anthem para la vulnerabilidad de seguridad de la industria de la atención médica". Los New York Times . Nueva York . ISSN  0362-4331 . Consultado el 17 de febrero de 2015 .
3. Richards, Robbie (16 de noviembre de 2015). "Las filtraciones de datos sanitarios presentan una amenaza de 6.000 millones de dólares". royaljay.com . Consultado el 16 de noviembre de 2015 .
4. Millman, Jason (19 de agosto de 2014). "Las filtraciones de datos de atención médica han afectado a 30 millones de pacientes y contando". El Washington Post . Washington DC : WPC . ISSN  0190-8286 . Consultado el 17 de febrero de 2015 .
5. McCoy, Thomas H.; Perlis, Roy H. (25 de septiembre de 2018). "Tendencias temporales y características de las violaciones de datos de salud notificables, 2010-2017". JAMA . 320 (12): 1282-1284. doi :10.1001/jama.2018.9222. ISSN  1538-3598. PMC 6233611 . PMID  30264106. 
6. YARAGHI, NIAM; GOPAL, RAM D. (marzo de 2018). "El papel de las reglas generales de HIPAA en la reducción de la frecuencia de las violaciones de datos médicos: conocimientos de un estudio empírico". El milbank trimestral . 96 (1): 144-166. doi :10.1111/1468-0009.12314. ISSN  0887-378X. PMC 5835681 . PMID  29504206. 
7. "El proveedor de scripts MediSecure está en el centro de la violación de datos de 'ransomware a gran escala', puede confirmar ABC". ABC Noticias . 2024-05-16 . Consultado el 16 de mayo de 2024 .
8. McSweeney, David Swan, Jessica (16 de mayo de 2024). "La policía investiga una violación de datos sanitarios a gran escala". El Sydney Morning Herald . Consultado el 16 de mayo de 2024 .{{cite web}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
9. Noonan, Laura; Shotter, James (19 de mayo de 2021). "Los datos de los pacientes irlandeses robados por piratas informáticos aparecen en línea". Tiempos financieros . Consultado el 19 de mayo de 2021 .
10. "CMS informa violación de datos en el portal de agentes y corredores de ACA". www.ajmc.com . 22 de octubre de 2018.
11. Koczkodaj, Waldemar W.; Mazurek, Mirosław; Strzałka, Dominik; Wolny-Dominiak, Alicja; Woodbury-Smith, Marc (2018). "Incumplimientos de registros sanitarios electrónicos como indicadores sociales". Investigación de Indicadores Sociales . 141 (2): 861–871. doi :10.1007/s11205-018-1837-z. S2CID  148750993.
12. "Columbia Medical Center y hospital pagarán una multa de 4,8 millones de dólares por filtración de datos". iHealthBeat . Fundación de Atención Médica de California . 8 de mayo de 2014. Archivado desde el original el 7 de febrero de 2016 . Consultado el 17 de febrero de 2015 .
13. Oficina de Derechos Civiles (26 de julio de 2013). "Regla de notificación de infracciones". Departamento de Salud y Servicios Humanos de EE. UU .

Otras lecturas

• "Los piratas informáticos advierten al NHS sobre la seguridad". Noticias de la BBC . Reino Unido. 9 de junio de 2011.
• Thurton, David (5 de febrero de 2016). "El hospital de Inuvik confirma una posible violación de datos por parte de los empleados". Noticias CBC: Norte . Yellowknife, Territorios del Noroeste

enlaces externos

• Oficina de Derechos Civiles. "Infracciones que afectan a 500 o más personas". Portal de incumplimiento . Departamento de Salud y Servicios Humanos de EE. UU . Consultado el 17 de junio de 2016 .