El informe de ENISA llega como la Comisión Europea avanza este año con la iniciativa del espacio europeo de datos sanitarios para promover el intercambio seguro de datos de los pacientes y el acceso a los datos sanitarios.
La pandemia de COVID-19 ha puesto de relieve la creciente necesidad de unos servicios sanitarios digitales eficientes y seguros. Las soluciones en nube permiten el despliegue flexible y rápido del almacenamiento electrónico de datos y de comunicaciones electrónicas, como la telemedicina. Sin embargo, la complejidad de los sistemas jurídicos y las nuevas tecnologías, así como la preocupación por la seguridad de los datos sensibles de los pacientes, han ralentizado la adopción de servicios en la nube por parte del sector sanitario.
El informe aborda estas preocupaciones proporcionando directrices de seguridad para tres ámbitos principales en los que el sector sanitario utiliza los servicios en la nube, a saber:
- Historiales médicos electrónicos (HME), es decir, sistemas centrados en la recogida, el almacenamiento, la gestión y la transmisión de datos sanitarios, como la información al paciente y los resultados de exámenes médicos;
- Asistencia a distancia, es decir, el subconjunto de la telemedicina que apoya las consultas a distancia entre pacientes y médicos;
- Losproductos sanitarios, es decir, los servicios en la nube que apoyan el funcionamiento de los productos sanitarios, como la puesta a disposición de datos sobre productos sanitarios para diferentes partes interesadas o para el seguimiento de productos.
Para cada uno de estos casos de uso, el informe destaca los principales factores que deben tenerse en cuenta cuando las organizaciones sanitarias llevan a cabo la evaluación de riesgos pertinente, por ejemplo, en términos de riesgo para datos sensibles de los pacientes o disponibilidad de un servicio médico. Sin embargo, estas directrices no son más que un primer paso para que los prestadores de asistencia sanitaria se adapten de forma segura a la nube. Es necesario un mayor apoyo, como las normas industriales establecidas en materia de seguridad en la nube, la orientación específica de las autoridades nacionales y de la UE y otras directrices de las autoridades de protección de datos sobre la transferencia de datos sanitarios a la nube.
El informe también propone un conjunto de medidas de seguridad que las organizaciones sanitarias deben aplicar a la hora de planificar su traslado a servicios en la nube, como el establecimiento de procesos para la gestión de incidentes, la definición de requisitos de cifrado de datos y la garantía de la portabilidad y la interoperabilidad de los datos. Las medidas se proponen teniendo en cuenta el proyecto de propuesta de Sistema de Certificación de la Ciberseguridad de la UE relativo a los servicios en la nube (EUCS) para garantizar la compatibilidad y la cartografía de los requisitos. El proyecto de régimen de la Agencia forma parte del marco de certificación de la ciberseguridad destinado a aumentar la confianza en los productos, servicios y procesos de TIC en toda Europa. El proyecto de régimen está abierto a consulta pública hasta el 7 de febrero de 2021.