Los ataques a la seguridad de la información suelen venir de empleados autorizados

Carlos Alberto Sáiz, socio de Écija Abogados ha participado en la jornada Nuevo Reglamento sobre Protección de Datos sobre En su intervención, ha señalado que «en muchas ocasiones los ataques a la seguridad de la información sanitaria son internos. Proceden de empleados de las entidades, no de hackers informáticos».
N.S. 15/05/2008
Según el letrado, «los usuarios del sistema de información (médicos, enfermeros, y en general, todo el personal que usa y trata datos de salud) son los grandes olvidados de las entidades. Muchas veces éstas se gastan grandes cantidades de dinero en hacer un proyecto de seguridad, en buscar ayuda externa, en nombrar personas especializadas, etc, y se olvidan de que tienen cientos o miles de personas tratando información todos los días».

Sáiz ha explicado que «todos los estudios que se realizan demuestran que hay siempre una determinada cantidad de empleados que se dedican a boicotear a la entidad. Se trata de personas autorizadas, que tienen acceso legal a la información». El problema es el uso que se hace de ella, de ahí la importancia de que se establezca controles -como hace el nuevo reglamento- para saber qué hace un usuario autorizado con la información. «Los centros que tienen historia clínicas o datos sensibles han de implantar un registro de accesos», pero, como sostiene Sáiz- «no sirve de nada esa medida si luego no se hace un informe para ver qué amenazas reales hay y qué accesos extraños se han producido». El abogado ha insistido en que es vital concienciar a trabajadores y directivos sobre la importancia de la confidencialidad de los datos.

Deber de secreto
Además, ha recordado que «todos los empleados que tienen acceso a la información deben guardar secreto sobre ella. Muchas veces a las entidades se les olvida esta baza, la cuestión no es pedir a sus trabajadores que cumplan este deber, sino recordarles que están obligados por la ley a hacerlo».

Asimismo, Sáiz ha destacado que una de las mayores novedades del reglamento es el establecimiento de medidas para los ficheros en papel, ya que hasta ahora sólo había regulación para los digitales.

También ha subrayado que la normativa facilita al usuario la toma de decisiones sobre la finalidad de sus datos. Antes en el momento de la firma del contrato el afectado no podía negarse a que se usaran para un determinado fin, algo que ahora sí es posible. Además, «el reglamento quiere que la persona pueda ejercitar su derecho de acceso, rectificación o cancelación de datos en cualquier servicio de atención al cliente que tenga la entidad, es decir, que si alguien contrata un seguro de salud por teléfono, también puede hacerlo para cancelar los datos».

http://www.diariomedico.com/edicion/diario_medico/normativa/es/desarrollo/1123329.html