MedsBla, un sistema de comunicación para el médico del futuro

¿Sabes qué puede pasarte si compartes información clínica de tus pacientes con sistemas de mensajería no encriptados? La modificación de la directiva europea de protección de datos ha abierto un nuevo rumbo en los países desarrollados. La garantía en la confidencialidad y seguridad de los datos son los grandes protagonistas. Los datos relativos a la salud son especialmente sensibles. Por este motivo, no escapan a las disposiciones que ahora añade el Reglamento Europeo de Protección de Datos (RGPD) y que también contempla la Ley de Transferencia y Responsabilidad del Seguro Médico en EE. UU. (HIPAA).

Europa y Estados Unidos han dado los primeros pasos para ampliar la protección de sus ciudadanos. Ambos han desarrollado normativas que garantizan la confidencialidad de estos datos y un intercambio seguro. Han cubierto una necesidad, tanto de los ciudadanos como de los propios profesionales. Son pioneros en un reto que pronto asumirán otras naciones.

Seguridad de los datos: una necesidad del médico

Bajo esta premisa y con el objetivo puesto en la seguridad y confidencialidad de la información, la start-up española MedLab Media Group (MMG) ha creado MedsBla. Este ecosistema web/App se ha desarrollado al amparo de las normativas RGPD e HIPAA. MedsBla busca, además, democratizar la práctica de una Medicina más innovadora y segura. Esta ecosistema es más que una aplicación de mensajería instantánea. Tal y como explica MMG, se trata de proporcionarle al profesional sanitario un espacio privado de trabajo. Consiste, añade, en un entorno corporativo en el que estar en contacto con otros colegas de la profesión. Esta App garantiza la confidencialidad y seguridad absoluta de la información de acuerdo a las normativas europea y estadounidense.

 

“Nos dimos cuenta de que los médicos tenían una necesidad muy importante sin cubrir. No podían intercambiar información sensible con sus compañeros. Quisimos crear un sistema de mensajería seguro, fiable y que les permitiera ser ágiles en el desempeño de su profesión. Lo hemos conseguido; nuestra App les ofrece el entorno seguro que buscaban”, Alberto Cueto, Product Owner de MedsBla.

Según Ricardo de Lorenzo y Aparici, socio director del Área de Nuevas Tecnologías del despacho de Lorenzo Abogados, “es vital que el servicio de mensajería utilizado cumpla con las obligaciones del Reglamento (UE) 679/2016. Esta es la normativa europea de cabecera para las organizaciones que residan o prestan servicios a residentes de los Estados miembros de la Unión Europea”.

Reduce los costes de infraestructuras

MMG cubre una necesidad reconocida y manifestada por los propios profesionales sanitarios. Con el diseño de esta App la empresa responde a la demanda del colectivo. Los médicos hasta ahora trabajaban desamparados legalmente con herramientas expuestas a posibles ciberataques. MedsBla protege al profesional sanitario y al paciente. Permite a las organizaciones sanitarias ser más eficaces y eficientes. Gracias a la monitorización de los usuarios esta herramienta identifica a cada momento las necesidades que van surgiendo. Asimismo, favorece una reducción en los costes de infraestructuras. Por otro lado, pone al alcance de cualquier profesional, independientemente de su zona geográfica, una amplia gama de herramientas personalizadas.

 

“En Estados Unidos, los hospitales preferían sistemas de mensajería limitados a su entorno porque no tenían una solución global. MedsBla es ahora la solución global”, Oleg Vorontsov, CEO de MMG.

El médico del futuro seguirá siendo vulnerable si no apuesta firmemente por la protección de datos sanitarios. Tal y como reconocen Kaspersky, en la actualidad existe un alto nivel de desprotección de la información médica. En una investigación esta empresa detectó que más de 1.500 dispositivos utilizados para procesar imágenes de pacientes tenían abierto su acceso. Asimismo, un volumen importante de aplicaciones web tenían vulnerabilidades para las que existían exploits. Los exploits son comandos que aprovechan una vulnerabilidad de seguridad en un sistema de información y conseguen un comportamiento no deseado.

Mientras las organizaciones sanitarias no tomen cartas en este asunto la información sin cifrar seguirá atrayendo a los ciberdelicuentes. Todos recordamos el impacto que supuso WannaCry. Este ataque forma parte del top 5 de los ciberataques más memorables de Karspersky. Durante 4 días, WannaCry consiguió inutilizar más de 200.000 ordenadores en 150 países, entre ellos infraestructuras críticas. En algunos hospitales, WannaCry cifró todos los dispositivos, incluido el equipo médico.

Datos sensibles al alcance de ciberdelincuentes

Una de las novedades del nuevo reglamento europeo es que incluye en los datos de salud los genéticos y biométricos. Todos ellos son de naturaleza especial. Por ello, están sujetos a unas condiciones más restrictivas en cuanto a su uso, asegura Govertis Advisory Services.

En los últimos meses hemos oído hablar mucho del endurecimiento de la vigilancia de los datos, pero, ¿sabe el médico qué implicaciones puede tener resolver consultas con aplicaciones que no trabajen bajo el paraguas del RGPD o la HIPAA?

La facilidad en el acceso a estas herramientas ha provocado que algunos profesionales realicen sus consultas a través del móvil. Cada vez más, los médicos comparten información con sus colegas sin pensar que estos sistemas no garantizan la seguridad. Además, pueden tener implicaciones éticas.

No podemos negar que la introducción de las tecnologías de la comunicación es un gran avance para la Medicina. No obstante, conviene ser cautos con el uso que le damos. Los sistemas de comunicación instantánea permiten inmediatez y rapidez. Pero realizar una consulta médica por esta vía carece de un juicio de valoración preciso. Además, evidencia una falta a la ética profesional.

Juan José Rodríguez Sendín, presidente de la Comisión Deontológica de la Organización Médica Colegial de España (OMC), ha asegurado que “esta es una cuestión muy clara: la Deontología no hace seguro o inseguro un medio. Todo médico sabe que la información clínica es de alta sensibilidad, por lo que usar herramientas que no garanticen la protección de esos datos es asumir un riesgo que está condenado. No está justificado deontológicamente”. Rodríguez Sendín reconoce que en ocasiones los médicos desconocen que incurren en una ilegalidad. “Viven en épocas pasadas”, añade.

Muchos de estos servicios de mensajería son plataformas globales expuestas a una muchos ataques informáticos. El pasado julio los datos personales de al menos 1,5 millones de habitantes de Singapur fueron “hackeados”. Entre la información pirateada se encontraban informes de medicación de 160.000 pacientes. El ciberataque accedió a la base de datos de las instituciones sanitarias nacionales y hacerse con toda esa información sensible.

 

Consentimiento del paciente

El informe realizado por el Ponemon Institute revela que los registros médicos digitales son muy atractivos para los ciberdelincuentes. Su valor en el mercado negro 50 veces más alto al de los datos de tarjetas de crédito. El último informe publicado por este instituto confirma que, por octavo año consecutivo, las organizaciones de atención médica tuvieron los costos más altos asociados al robo de datos. Este alcanzó los $408 por registro perdido o robado, casi tres veces más alto que el promedio entre industrias ($148).

En este contexto, las organizaciones sanitarias deben plantearse la necesidad de sumarse a las iniciativas europea y estadounidense. Deben reforzar la seguridad en el intercambio de información. De no hacerlo, las consecuencias no son únicamente para los profesionales sanitarios o el paciente, sino que repercuten en la gestión de las propias organizaciones generando altos costos adicionales.

Tal y como explica Ricardo de Lorenzo y Aparici, “todavía hay profesionales sanitarios que, a pesar de encontrarse sometidos a políticas de seguridad restrictivas con las entidades con las que tienen una relación laboral, sin siquiera saberlo, siguen vulnerando la protección de datos”. Pese a que no se puede generalizar, “existen muchos profesionales que, dentro del ámbito de sus competencias siguen autogestionándose sus datos personales con programas que ni siquiera son revisados por el Departamento de IT. Con el reglamento europeo de protección de datos deben evitarse estos hábitos”, asegura.

Cifrado de conversaciones y archivos

“Si se quiere utilizar un servicio de mensajería instantánea para comunicarse con otros profesionales, a la hora de recabar el consentimiento del paciente, deberá informársele con detalle acerca de los posibles intervinientes que accederán a  estos datos. Queda prohibida la cesión de datos a sujetos que no necesiten acceder a la información en función del objeto de la prestación”, detalla el especialista.

Ricardo de Lorenzo y Aparici afirma que aplicaciones como WhatsApp “están de rabiosa actualidad por las sanciones que está recibiendo por parte de la Agencia Española de Protección de Datos (AEPD)”. “Estas sanciones se deben a cesiones no consentidas de datos personales que existen entre esta herramienta y Facebook, propiedad ambas del mismo responsable”.

La AEPD gestionó en 2017 más de 10.500 reclamaciones y ha impuesto sanciones históricas como la interpuesta a Google por valor de 900.000 euros por infracciones en la LOPD (ley anterior al RGDP). Asimismo, impuso una multa de 1,2 millones de euros a WhatsApp y Facebook por ceder datos personales sin consentimiento.

Tal y como aclara, “esta herramienta reviste cierta inseguridad en protección de datos”. “Es importante destacar que, respecto del envío de datos de salud, únicamente se cifran las conversaciones entre los interlocutores, pero no los envíos de archivos o imágenes”. Por este motivo, resalta este experto, “podemos estar vulnerando la protección de datos al usar esta herramienta como método de comunicación corporativa”.