Los dispositivos médicos portátiles para la salud pueden causar problemas de seguridad para los pacientes y los profesionales de la salud.
Estamos en un momento emocionante en el floreciente desarrollo en los avances tecnológicos en dispositivos médicos portátiles para la diabetes. Aunque es bien sabido que los proveedores de salud tienen el deber de mantener confidencialmente la información de salud del paciente, puede no estar claro cómo los proveedores pueden cumplir con sus obligaciones para con los pacientes en una época de avances tecnológicos en auge y los riesgos de seguridad cibernética, en particular con los dispositivos portátiles de atención de salud (wearables) y la salud móvil (mHealth).
Los proveedores pueden cumplir con su deber de mantener confidencial la información de salud del paciente mediante la adopción de medidas razonables para prevenir las violaciones de datos que pueden resultar comprometidos. Al actuar razonablemente para evitar una fuga de datos o evitar que los datos del paciente puedan ser visitados sin permiso, los proveedores también pueden evitar la responsabilidad a los pacientes a los que adeudan obligaciones legales.
Lo que es razonable depende de las circunstancias. Con las aplicaciones de salud móviles y el uso cada vez más frecuente de dispositivos portátiles de salud, sobre todo en el manejo de la diabetes, los riesgos de seguridad y privacidad de los datos de los pacientes han sido amplificados. Actuando razonablemente para evitar una fuga de datos, requiere un esfuerzo concertado por parte del proveedor. No existe la seguridad perfecta e incluso la información más fuertemente custodiada puede verse comprometida debido a la cantidad de “crímenes” en la red. Los proveedores, sin embargo, deben tomar medidas razonables para proteger la información mediante la realización de evaluaciones de riesgos y la aplicación de las medidas de seguridad técnicas, administrativas y físicas apropiadas.
En el ámbito hospitalario, dispositivos médicos se han convertido en los puntos clave de la vulnerabilidad dentro de las redes de atención de salud y han sido objeto de ataques, incluyendo los equipos de rayos X, archivo de imágenes y sistemas de comunicación, y analizadores de gases sanguíneos han sido el tema de la seguridad cibernética. Estos ataques amenazan el funcionamiento del hospital general y la seguridad de los datos de los paciente.Del mismo modo, los pacientes que usan “mHealth” y “wearables” pueden ser vulnerables a los ataques de ciberseguridad.
 La tecnología se está expandiendo de manera exponencial en el sector de la salud, especialmente en el mercado de la diabetes. Wearables, tales como bombas de insulina, monitores continuos de glucosa en la sangre, y los manguitos de la tensión sanguínea, que conectan con las aplicaciones móviles podrían dejar a la gente, rastrear y monitorear sus propios signos vitales sin tener que ir a la consulta de un doctor. Los propios dispositivos pueden estar sujetos a los ataques de ciberseguridad. La necesidad de un control remoto de los niveles de glucosa en la sangre de los pacientes y la HbA1c se acentúa dado el aumento previsto de los pacientes con diabetes, junto con una posible escasez de diabetólogos. El campo de la mHealth es propicio para el crecimiento; Sin embargo, los proveedores deben ser conscientes de los riesgos de seguridad con el fin de tomar medidas razonables para cumplir con sus deberes para con sus pacientes.
Los Datos capturados por los Dispositivos Usados en el Cuidado Médico fluyen típicamente a través de un cortocircuito, acoplamientos sin hilos a un cubo de Supervisión en el Hogar del Paciente, que después pasa la Información a la red de banda ancha y la encamina a la nube donde el analista supervisa el estado de un paciente Y notifica continuamente a un abastecedor del cuidado médico en el caso de anomalías. Este proceso proporciona varios puntos dónde los datos pueden ser capturados. Un estudio reciente demostró que el tipo más común de datos sensibles encontrados en la nube son datos confidenciales que abarcan el 47,0% de incidentes de la perdida de los datos de la nube. Después, la información personal identificable abarca el 28,1% de incidentes, seguido por los Datos de pago (13,6%) y los datos protegidos de la salud (11,3%). El abastecedor de la diabetes estará enterado de su Deberes éticos y legales para mantener la información personal de la Salud confidencial y de las aplicaciones qué "Conecta" Y las tecnologías móviles, Y tomará medidas razonables para prevenir la exposición de los datos..
Hechos rápidos en mHealth y seguridad
| • |
La salud móvil, conocida como mHealth, está disponible en el 83% de países mundiales, acordando la O.N.U en 2009, ofrecieron la gama de servicios médicos sobre el teléfono gratuito de emergencia a los centros.
|
| • |
Un elevado examen conducido hacia la alianza de la seguridad de la nube demostró que el apenas 33% de profesionales de la tecnología de información sabían sobre una amenaza en su organización en los 12 meses anteriores, mientras que el 79% de organizaciones tenían actividad indicativa de una amenaza en el último trimestre.
|
| • |
El cuidado médico registra contener números de Seguridad Social y las direcciones valen aproximadamente 20 veces más que un número de la tarjeta de crédito en el mercado negro porque los criminales del cyber pueden abrir cuentas fraudulentas múltiples. Los expedientes para los pacientes enfermos terminales valen aún más porque es menos probable que el paciente o la familia detecte el fraude.
|
| • |
Los iniciados son empleados, contratistas, o los socios de negocio anteriores que habían autorizado el acceso a la red, al sistema, o a los datos de una organización y se habían excedido intencionadamente o habían utilizado ese acceso de una forma que afectó negativamente el secreto, la integridad, o la disponibilidad de la información de la organización o de los sistemas de información. |
La ley protege a los pacientes si los proveedores de cuidado de salud incumplen sus obligaciones legales. Los agravios son males civiles reconocidos por el derecho común como causa de pleitos. Cuando un proveedor de cuidado de la salud tiene el deber de no revelar información médica recibida en relación con el tratamiento, y en su caso dicha información sea divulgada en circunstancias en que este deber de confidencialidad no se haya renunciado, el paciente puede tener una causa de acción.
Los tribunales reconocen responsabilidad civil por incumplimiento de la obligación de confidencialidad. La violación de la confidencialidad de responsabilidad civil se aplica siempre que una persona 1) tenga la obligación de confidencialidad, e 2) incumple ese deber. El tribunal, como una cuestión de derecho, determinará si existe una obligación de confidencialidad. El tribunal puede mirar las leyes, normas, reglamentos, promesas y principios para encontrar que existe un deber. El derecho no se limita a los médicos por sí solos, pero puede extenderse a una amplia variedad de proveedores. Una vez que se encuentra el deber, la determinación de si el derecho se rompió es una cuestión de hecho.
En el área de la salud móvil, puede no estar claro cuando se activan obligaciones legales y éticos. La Asociación Médica Americana aconseja que debe existir una relación médico-paciente válida antes de que el médico utiliza telemedicina. Con muchos profesionales diferentes de la salud que utilizan los dispositivos móviles de salud, incluso si no hay una relación que se establece entre el proveedor y el paciente, pueden ser aplicables aún deberes éticos y legales.
La obligación de confidencialidad se puede encontrar en los estatutos de licencias del estado, principios de confianza, el juramento hipocrático, y los principios de ethics. médica La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) generalmente requiere que las entidades cubiertas, incluidos los proveedores, para proteger la información del paciente por la implementación de la privacidad y la seguridad safeguards. Mientras HIPAA no proporcionar a los pacientes con un derecho privado de acción, puede ser la base para un tribunal para encontrar que el proveedor tenía un deber para mantener información confidencial de salud bajo la violación de la confidencialidad de responsabilidad civil. las leyes de privacidad médica del estado también pueden ser la base para que una corte encuentra que el proveedor tenía un deber para mantener información confidencial de salud bajo la violación de la confidencialidad de responsabilidad civil. Estas leyes varían según el tipo de entidad, el tipo de paciente y el tipo de información médica cubierta. Es importante que el proveedor prudente estar al tanto de la amplitud de las leyes de privacidad del estado en el que la práctica debido a los requisitos de la ley pueden ser la base de la obligación de mantener confidencial la información de salud.
Los proveedores pueden satisfacer su deber de mantener la información confidencial de salud del paciente mediante la adopción de medidas razonables para prevenir las violaciones de datos, tales como la implementación de medidas de seguridad técnicas, administrativas y físicas. El primer paso lo que los proveedores deben hacer es una evaluación del riesgo; de los riesgos de seguridad cibernética, para que puedan tomar las medidas razonables para prevenir una fuga de datos.
 En el área del mHealth, puede ser confuso cuando se accionan los deberes legales y éticos. La asociación médica americana aconsejó que una relación válida del paciente-médico debe existir antes que las aplicaciones del médico telemedicine. Con diversos profesionales del cuidado médico usando el mHealth, aunque no hay relación establecida entre el abastecedor y los deberes del paciente, éticos y legales pueden aplicarse.
El deber del secreto se puede encontrar en una relación fiduciaria, que es una fundada confianza. Las cortes miran a los factores siguientes en definir una relación fiduciaria: “el grado de parentesco de los partidos; la disparidad en edad, salud, y condiciones mentales; experiencia de la educación y del negocio entre los partidos; y el grado a el cual el partido alegado confió la dirección… asuntos de negocio y la fe y la confianza descansadas en [esa persona o entidad]. Es fácil ver que los abastecedores del cuidado médico pueden tener deberes fiduciarios para con sus pacientes. Incluido el deber para mantener la información personal de la salud confidencial.
El deber del secreto se puede encontrar en estatutos de cada estado, principios de la confianza, el juramento hipocrático, y principios de las éticas médicas. El acto de la portabilidad y de la responsabilidad del seguro médico (HIPAA) requiere generalmente entidades cubiertas, incluyendo abastecedores, para proteger la información paciente poniendo salvaguardias del aislamiento en ejecución y de la seguridad. Mientras que HIPAA no provee a los pacientes de la acción privada, puede ser la base para que un tribunal encuentre que el abastecedor tiene la obligación de mantener la información de la salud confidencialmente bajo abertura del agravio del secreto. Las leyes médicas del aislamiento del estado pueden también ser la base para que un tribunal encuentre que el abastecedor debió mantener la información de la salud de la subsistencia confidencial bajo abertura del agravio del secreto. Estas leyes varían por el tipo de entidad, el tipo de paciente, y el tipo de información médica cubierta. Es importante que el abastecedor prudente esté enterado de la anchura de las leyes de aislamiento del estado donde practican porque los requisitos de la ley pueden ser la base para que se mantenga la información de la salud confidencial.
Los abastecedores pueden satisfacer su deber para mantener la información de la salud del paciente confidencial tomando medidas razonables para prevenir aberturas de los datos tales como salvaguardias técnicas, administrativas, y físicas y ponerlas en ejecución. Los primeros pasos que deben hacer los abastecedores son: hacer un gravamen de los riesgos de la seguridad del ciberespacio y así pueden tomar medidas razonables para prevenir una abertura de los datos.
El establecimiento de medidas de seguridad administrativas pueden incluir políticas y procedimientos de desarrollo. Estas políticas y procedimientos pueden incluir una determinación de qué datos se recopilan, cómo se almacenarán los datos, y quién tendrá acceso a los datos. Las medidas de seguridad técnicas pueden ser implementadas de acuerdo con las políticas y procedimientos. Por ejemplo, es importante limitar el acceso a la información protegida de salud, debido a que las amenazas internas son frecuentes y, a menudo pasan desapercibidas, información médica del paciente, en particular información sobre los pacientes terminales, que es valioso en la mercado negro.
Carnegie Mellon University publicó "Las mejores prácticas para prevenir las amenazas Ejecutivas en todas las naciones", basada en el análisis de más de 700 estudios de caso y recomendaron las 19 mejores prácticas para prevenir, detectar y responder a los daños de las amenazas de "información privilegiada" a partir de las evaluaciones de riesgo, detección de vehículos nuevos, física y los controles de seguridad, auditorías y monitorizaciones. Estas mejores prácticas son los siguientes:
| 1. |
Considerar las amenazas de dentro y los socios de negocios en las evaluaciones de riesgos en toda la empresa.
|
| 2. |
Es evidente; documentar y hacer cumplir consistentemente las políticas y controles.
|
| 3. |
La toma de conciencia de amenazas internas en la formación periódica de seguridad para todos los empleados.
|
| 4. |
Comenzando con el proceso de contratación, supervisar y responder a un comportamiento sospechoso o perjudicial.
|
| 5. |
Anticipar y gestionar los problemas negativos en el ambiente de trabajo.
|
| 6. |
Conocer sus activos.
|
| 7. |
Implementar un estricto contraseña y políticas de gestión de cuentas y prácticas.
|
| 8. |
Hacer cumplir la separación de funciones y privilegios mínimos.
|
| 9. |
Definir los acuerdos de garantía explícitas para los servicios en la nube, en especial las restricciones de acceso y sistemas de supervisión.
|
| 10. |
Instituir controles de acceso estrictos y políticas de supervisión sobre los usuarios privilegiados.
|
| 11. |
Controles de cambio del sistema institucionalizado.
|
| 12. |
Usar un motor de correlación de registro o el sistema de sucesos de seguridad y gestión de la información para iniciar la sesión, el monitor y la actuación del personal de auditoría.
|
| 13. |
Supervisar y controlar el acceso remoto desde todos los puntos finales, incluidos los dispositivos móviles.
|
| 14. |
Desarrollar un procedimiento de terminación de empleado integral.
|
| 15. |
Implementar procesos de backup y recuperación seguras.
|
| 16. |
Desarrollar un programa de amenazas internas formalizado.
|
| 17. |
Establecer una línea base de comportamiento normal del dispositivo de red.
|
| 18. |
Ser especialmente cuidadoso con respecto a los medios de comunicación social.
|
| 19. |
Cerrar las puertas a la exfiltración de datos no autorizados. |
 Los proveedores pueden ser capaces de evitar la responsabilidad y evitar que se tenga acceso a los datos del paciente mediante la encriptación de dispositivos portátiles. Una corte de apelaciones, por ejemplo, encontró que un hospital no era responsable en virtud de la Ley de Confidencialidad de Información Médica de California debido a que los demandantes de acción no alegó ni probó que el "carácter confidencial de la información médica del demandante fuera violada como consecuencia de la asistencia sanitaria negligente del proveedor. " En esa demanda, un disco duro externo encriptado que contiene la información médica de identificación personal fue robado. Los demandantes alegaron que el hospital no tuvo los sistemas y controles razonables en el lugar para evitar que la eliminación de la información de salud protegida de las instalaciones del hospital, y como resultado, se perdieron por negligencia en la posesión de la unidad de disco duro y cifrado passwords. El tribunal interpretó que la Ley de confidencialidad de información médica para significar que un médico puede ser responsable si se mantienen por negligencia información médica confidencial y con ello permitió que se accede por una tercera persona no autorizada, es decir, que la permitían escapar o se extienden desde su lugar habitual de almacenamiento. El disco duro se ha cifrado, por lo que aunque se perdió, los demandantes no demostraron que se accede a los datos de salud en el disco duro.
La implementación de medidas de seguridad física es importante ya que la asistencia sanitaria es cada vez más móvil. Dispositivos móviles que contienen los datos del paciente, tales como discos duros externos, teléfonos móviles y portátiles, se deben asegurar físicamente. Estos dispositivos pueden perderse o ser robados fácilmente. Aunque el cifrado puede evitar que se acceda fácilmente a los datos, cifrado por sí sólo no es una prueba de fallos.
| Como el control de la diabetes y la prestación de servicios de atención médica están cambiando con los avances tecnológicos, los proveedores son capaces de servir mejor a los pacientes. Con los avances tecnológicos vienen nuevos desafíos de seguridad del cual los proveedores deben ser conscientes. Sus deberes para con los pacientes y la forma en que cumplen esas funciones requieren que los proveedores para realizar evaluaciones de riesgos en curso y tomar las medidas necesarias para gestionar estos riesgos. Si lo hace, protegía las expectativas de los pacientes, de que sus datos serán confidenciales y ayuda a los proveedores a cumplir con sus obligaciones. Es interesante tener en cuenta los futuros avances en la tecnología y reducir al mínimo los riesgos para la confidencialidad. |
|
