Translate this

abr 172011
 

Es impresionante el furor que despierta el iPad entre los profesionales sanitarios. No hay ningún dato que os pueda ofrecer para corroborar esto, pero trabajo en un hospital y mis compañeros me relacionan con “todo lo que da calambre” (como me dice un compañero de la dirección), así que no es raro que hablen conmigo de tecnología, ya sean experiencias, impresiones, preguntas, problemas…

No es raro ver a profesionales por el hospital con uno y ya hemos tenido más de una solicitud para usarlo al pasar planta. Desde luego les doy la razón… en un momento en el que los hospitales están dejando de imprimir placas y analíticas… ¡algo tendremos que dar para que puedan consultar las pruebas complementarias a pie de cama! ¿No? Lo que es triste es que sean los  propios profesionales los que tengan que traer sus equipos y que nosotros no seamos capaces de darles lo que necesitan… pero bueno, no está la situación económica para muchas florituras.

El ámbito sanitario es uno de los que maneja información más sensible, según nuestra legislación. Y no hace mucho encontré una entrada que hacía referencia a los problemas que tiene el iPad para cumplir con la LOPD.

El análisis destaca tres puntos débiles de este dispositivo:

  • Identificación.
  • Trazabilidad.
  • Cifrado.

No soy ningún experto en seguridad, pero creo que estos problemas no son insalvables:

  • Identificación y trazabilidad: Está claro que dar uno de estos dispositivos a cada profesional no es una opción ;) Pero, ¿no quedaría resuelta la falta de trazabilidad del dispositivo si el control (y registro) de accesos se hace en la aplicación? Imaginemos la consulta de pruebas complementarias, ya sean analíticas o placas. En mi hospital (y supongo que en muchos) el acceso es vía web y es la propia aplicación la que lleva el registro de accesos. Creo que en este sentido, estos problemas estarían resueltos, ¿no?
  • Cifrado: Este tema es más peliagudo. No conozco bien el iPad (no tengo ninguno), pero sí tengo un MacBook Air y éstos van equipados con FileVault, que mantiene toda tu información cifrada, protegiéndola incluso en caso de pérdida o robo. Aunque nada es fiable al 100% y romper un código de cifrado sólo es cuestión de tiempo y potencia de computación. A lo que voy, me extraña que el iPad no cuente con ninguna herramienta de este tipo (aunque sea una aplicación de pago), aunque es posible que se deba a que enlentecería demasiado el dispositivo, por no tener la capacidad de proceso necesaria (no lo diseñarían para este tipo de cuestiones).

Bajo mi punto de vista, el problema del cifrado puede ser muy grave por tres cuestiones: los archivos temporales que puedan generarse en el dispositivo (fuera del control del usuario), la información que el usuario se pueda descargar al dispositivo (de aquellas aplicaciones a las que tenga acceso) y la información sensible que el usuario pueda generar en el propio dispositivo (con aplicaciones que no estén preparadas para proteger la información).

Ejemplos del segundo caso pueden ser: guardar resultados analíticos o imágenes para revisarlos a posteriori (ya sea para un artículo, llevar trabajo a casa, preparar una presentación para dar una clase…).

Ejemplos del tercer caso: usar un gestor de notas o tareas para apuntar datos que pueden ser sensibles, por ejemplo: “Menganito, con número de historia XXX, que está en la cama tal, tiene pedidas las pruebas del VIH. Recordar mirarlas cuando termine la guardia”.

Está claro que no podemos (ni debemos) parar la evolución de la tecnología en nuestro ámbito laboral y que facilitar el trabajo de nuestros profesionales debe ser lo primero, pero también es nuestra obligación salvaguardar la información sensible de aquellos a quienes cuidamos, por lo que hay que pensárselo muy bien antes de usar un dispositivo en un entorno protegido.

Mi intención con esta entrada era que fuéramos conscientes de algunos peligros a los que podemos estar sometiendo la información que manejamos sin ser conscientes de ello. No hace falta pensar sólo en el iPad, también es válido esto si traemos nuestros portátiles (o discos USB) a los hospitales y nos llevamos información sin protegerla adecuadamente.

Mi segunda intención era despertar la comprensión cuando nos vemos obligados a regular el uso de dispositivos ajenos a la infraestructura hospitalaria.

Estoy de acuerdo en que se puede hacer mejor, que el ser excesivamente restrictivo no es la vía, que sería mejor el camino de la formación y proveer de las herramientas adecuadas… pero estamos dónde estamos, cómo estamos y los que estamos… y sólo juntos vamos a poder seguir adelante de forma eficiente… ni valen los “es que tengo que limitar el acceso porque los profesionales no saben” (visión paternalista mezclada con café para todos) ni tampoco los “hay que ver que los de Informática/Dirección no me dejan usar X para hacer mi trabajo mejor” (visión externalizadora de culpa y responsabilidades).

Ni lo uno ni lo otro… la Organización somos todos y cada uno de nosotros. Dejemos las “rencillas internas”. Ya es hora de que nos alineemos (de verdad) para un fin común.

Fuente: Tecnología PyME.

  6 Responses to “El iPad no está preparado para cumplir la LOPD, ¿lo estamos nosotros?”

  1. Gracias por el análisis, Fran.
    El tercer caso que pones para ilustrar el cifrado me parece el más interesante, por ser de los más utilizados para criticar la implantación de una nueva tecnología, sin querer ver que ese problema ya lo estamos teniendo.
    Y no me refiero sólo a la contraseña en el postit pegado en la pantalla, sino a esos compñaeros de guardia con la pegatina del paciente que les preocupa en la bata, nombre y apellidos a la vista de todos con los que se cruza. O quienes van poniendo todas esas etiquetas de la misma guardia en un papel y luego queda el papel sobre la mesa, o se viene a casa con él.
    O incluso quienes imprimen informes o pruebas de un paciente “interesante para un caso” para poder estudiarlo mejor.

    Y es que, aunque se implemente la mejor solución de cifrado e identificación unívoca e inequívoca del usuario, nada impide que éste tome una nota con datos comprometidos en papel y lo guarde en la funda de la tableta por ahorrarse el tiempo de abrir ésta y buscar la nota.

    Creo que a veces nos pasamos de papistas y criticamos un aparato por no solucionar los vicios personales que tenemos, aunque comparto la idea de que quizá el iPad no es el aparato concreto que mejor se adapta al uso hospitalario, y que sería mejor (y quizá más barato) uno ad hoc que tratar de adaptar éste.

  2. Ahí está la clave, Jokin, estamos totalmente de acuerdo… no se trata sólo de los dispositivos, el primer paso está en las personas… un mal uso se puede hacer con el mejor dispositivo que pueda inventarse y contra eso sólo hay un camino: el del conocimiento (información y formación).

    Muchas gracias por tu comentario.

    Un saludo.

  3. Pero, ¿Realmente es necesario pasar planta con el iPad en mano? ¿Que no puede esperar a ser digitalizado en un despacho medico?

    Por otro lado, creo que los datos se pueden sacar del hospital mientras que sean anónimos. Solo seria necesario que en Diraya para iPad quedaran ocultos los datos de filiación y la identificación fuera solo por NHC.

  4. Bueno, en este caso, el iPad lo usan para ver las imágenes radiológicas y los resultados analíticos (como ya no imprimimos nada de eso, se generó esta necesidad).

    Por ahora no es nada extendido, son sólo pruebas que están haciendo algunos facultativos a título personal, usando sus dispositivos.

    Sobre lo de sacar la información del hospital… si es anónima, no hay problema, pero llevarla identificada por el NHC puede incumplir la LOPD (dependiendo de la finalidad): si te lo llevas a casa para currar o investigar, incumple… si lo llevas porque vas a hacer atención domiciliaria, no. Pero, sobre todo… ¿están nuestros sistemas de información preparados para sacar información anonimizada? Diraya no, desde luego… y creo que la gran mayoría del resto (departamentales) tampoco.

    De todos modos, en estos temas, mi compañero sabe mucho más, le voy a pedir que te intente responder.

    Muchas gracias por tu comentario, Emilio.

    Un abrazo.

  5. Efectivamente, como bien dice Fran, sacar datos de la organización es legal o ilegal dependiendo de la finalidad.

    Si se trata de atención domiliciliaria, por ejemplo, peerfecto. Eso si, si la información viaja en el dispostivo portatil es obligatorio que vaya cifrada.

    Si es para investigación, (una publicación, una comunicacion, … en base a esos datos)es obligatorio que los datos vayan disociados (ya no sirve el cifrado)además de tener la autorización del responsable del fichero para llevar a cabo esa investigación. El NHC o el NUHSA son datos de carácter personal y por tanto no pueden utilizarse en la investigación.

    Si se trata de trabajo en casa serán necesarias varias condiciones:

    – Autorización del responsable del fichero para sacar la información del centro.
    – Los datos obligatoriamente deben viajar cifrados.
    – No pueden quedar ficheros temporales o intermedios en casa una vez realizado el trabajo
    – En casa, si pasamos la información a un equipo de sobremesa, cuidado con aplicaciones peer to peer (Vg: Emule)y cosas asi. El equipo en casa tiene que tener las mismas medidas de seguridad que hay en el centro.

    De todas formas, si hay que trabajar en casa hay medios mucho mas sencillos. Por ejemplo, el SAS puede ofrecer a los profesionales autorizados por el Gerente (Responsable del fichero) una acceso VPN a la red corporativa. Es como si el profesional estuviera sentado en su despacho del hospital trabajando en su ordenador. Estas redes son seguras y toda la información viaja cifrada, lo que hace totalmente innecesario el traslado de datos en dispositivos portátiles.

    Un saludo

  6. Muchísimas gracias por tu comentario, Manuel… como siempre, queda muy claro todo.

    Un abrazo.

 Leave a Reply

(required)

(required)

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>