A principios de diciembre de 2022, el centro hospitalario de Versalles fue víctima de un ciberataque a gran escala que lo dejó sin sistema de información. El ataque ha vuelto a poner en primer plano la cuestión de la seguridad de los datos relativos a la salud, ya que esta información sensible es especialmente preciada por los ciberdelincuentes, que la venden en la Dark Web. De hecho, las instituciones sanitarias se encuentran entre las organizaciones más afectadas por la piratería informática. En 2021 se registraron más de 730 incidentes solo en el sector sanitario, más del doble que el año anterior (fuente). Afortunadamente, para proteger estos datos y ofrecer una seguridad óptima a los pacientes existen soluciones proporcionadas por proveedores de servicios certificados HDS (Alojamiento de Datos de Salud, por sus siglas en francés), como Oodrive Work, utilizado por la Université Libre de Belgique.
¿Están mal protegidos los datos de salud en Francia?
El ataque informático contra los hospitales de Versalles dista mucho de ser una excepción. Unos meses antes, el centro hospitalario de Corbeil-Essonnes sufrió una intrusión catastrófica en su sistema de información, que provocó el robo de numerosos datos de salud y una perturbación duradera del funcionamiento de los establecimientos asociados.
¿Significa esto que los datos de salud están mal protegidos en Francia? Aunque es difícil responder a esta pregunta, lo cierto es que los hospitales franceses carecen de medios para luchar contra los ciberataques, cada vez más agresivos y sofisticados. Frente a los problemas que sufren a diario los hospitales públicos (falta de personal, reducción de dotaciones, cierre de camas, etc.), las cuestiones relacionadas con la ciberseguridad y la soberanía de los datos pasan con demasiada frecuencia a un segundo plano.
La polémica en torno al Health Data Hub
La situación se complica aún más en el contexto del intercambio de datos de salud. La polémica que siguió a la creación del Health Data Hub (HDH) en 2019 es representativa de las limitaciones de las iniciativas gubernamentales. El HDH agrega datos del Sistema Nacional de Datos de Salud para mejorar la calidad de la asistencia y el apoyo a los pacientes y fomentar la investigación.
El problema es que los datos son alojados por Microsoft, empresa sujeta a la legislación estadounidense y, por tanto, a la Ley de la Nube (Cloud Act), en virtud de la cual el Gobierno puede confiscar cualquier dato alojado en una empresa con sede en Estados Unidos. Y aunque hablamos de migrar los datos a una solución soberana, francesa o europea, no podría ser antes de 2025. Eso si convencemos a los hospitales universitarios de las ventajas de esta migración, que disponen de herramientas proporcionadas casi gratuitamente por Microsoft…
Por tanto, la cuestión de la protección de datos va de la mano de la de la dependencia tecnológica de soluciones extranjeras. Sin embargo, el ecosistema francés cuenta con proveedores de servicios en la nube capaces de alojar estos datos de salud con total seguridad. Además, hoy son fáciles de identificar, gracias a la certificación HDS.
¿Cuál es el marco regulador para los datos de salud?
En el contexto de su alojamiento en la Nube y su tratamiento, los datos de salud se benefician, tanto en Francia como en Europa, de un marco jurídico cada vez más específico. Considerados como «sensibles», están incluidos en el marco reglamentario definido por el RGPD a nivel europeo, traducido a su vez a la legislación francesa, bajo la drástica supervisión de la CNIL (autoridad francesa de protección de datos). Este marco obliga a los responsables del tratamiento a ofrecer una protección óptima a los datos personales de los usuarios, y en particular a la información relacionada con la salud. Así, todas las organizaciones (públicas o privadas) que alojen o utilicen este tipo de datos sensibles deben estar certificadas como Alojamiento de Datos de Salud, por sus siglas en francés (Hébergeurs de Données de Santé o HDS, en francés). Esta certificación pretende garantizar la calidad del servicio de los proveedores de alojamiento de datos de salud, mediante medidas de seguridad reforzadas. Se trata de una capa suplementaria aplicada a la norma ISO 27001 sobre seguridad de los sistemas de información. Para obtener la certificación, emitida por un organismo acreditado por Cofrac (Comité Francés de Acreditación), hay que superar auditorías dedicadas tanto a la norma ISO como a la norma HDS.
La solución Oodrive Work para proteger los datos de salud: el caso de la ULB
El caso del Centro de cribado neonatal de la Université Libre de Belgique, que utiliza la solución Oodrive Work desde octubre de 2022, muestra las ventajas de utilizar una herramienta dedicada a la protección de datos y suministrada por un proveedor certificado HDS.
El centro de cribado analiza los resultados de los análisis de sangre realizados a casi 50 000 recién nacidos. Este cribado sistemático permite detectar afecciones invisibles al nacer para garantizar un tratamiento precoz.
Una vez conocidos los resultados, la ULB los comparte con las unidades de maternidad correspondientes, fuera del campus universitario.
«La transmisión de los resultados es un paso importante en el cribado.»«Por tanto, la comunicación entre el centro de cribado y las salas de maternidad supone una parte importante de nuestras actividades», afirma Lionel Marcelis, Responsable de Laboratorio.
Se trata de datos muy sensibles cuya confidencialidad debe garantizarse. Por ello, el centro ha buscado un servicio en la Nube certificado HDS «ya que las soluciones utilizadas anteriormente no eran satisfactorias, por ser demasiado pesadas, lentas e inseguras».
Las ventajas de Oodrive Work
De ahí el uso de Oodrive Work, la plataforma para compartir documentos sensibles y trabajar en colaboración diseñada por Oodrive. La solución, que la ULB conoce bien desde hace años porque la utiliza un hospital asociado, responde a todas las necesidades del centro de cribado. Es rápida e intuitiva, ofrece un alto grado de seguridad, pero también de disponibilidad, algo esencial en la medida en que «los resultados son potencialmente de vital importancia para los recién nacidos y deben ser accesibles a las salas de maternidad lo antes posible», explica Lionel Marcelis.
Así, gracias a Oodrive Work, cada maternidad dispone de un espacio seguro que centraliza todas las comunicaciones. Por tanto, la certificación HDS de Oodrive ha resultado esencial para la ULB, sobre todo porque los datos de salud se alojan en centros de datos franceses.
Más allá del ejemplo de la ULB, la pertinencia de una solución como Oodrive Work demuestra que es posible, en Francia, beneficiarse de herramientas serias y cualitativas que garanticen la seguridad y la soberanía de los datos, y por tanto su confidencialidad. Ello debe convertirse gradualmente en una prioridad absoluta para las instituciones sanitarias.
