La Autoridad de Control de los Países Bajos (Autoriteit Persoonsgegevens) ha impuesto una sanción administrativa de 440000 euros al hospital de Amsterdam OLVG por la falta de medidas de seguridad para proteger los historiales médicos contra el acceso por parte de personal no autorizado. A raíz de varias reclamaciones, el supervisor neerlandés llevó a cabo una investigación, una auditoría del sistema de información del hospital y un análisis de varios aspectos de seguridad.
A raíz de las verificaciones, la autoridad concluyó que el hospital había omitido sistemáticamente salvaguardar adecuadamente el acceso a los historiales médicos, identificando dos violaciones específicas de los procesos de autenticación y verificación del login.
Según la Autoriteit Persoonsgegevens, habida cuenta del carácter sensible de los datos (incluidos los datos sanitarios), la gran escala del tratamiento y los riesgos en relación con la privacidad de los interesados, el hospital debería haber aplicado en primer lugar la autenticación basada en dos factores para el acceso a los datos personales en los historiales médicos electrónicos, mientras que este modo más seguro solo se había implementado para acceder desde fuera a la red del hospital, mientras que el personal podía acceder a la red corporativa utilizando exclusivamente un nombre de usuario y una contraseña.
Además, se puso de manifiesto que existía un «Single Sign-On», es decir, una única autenticación que, tras el acceso, permitía acceder inmediatamente al sistema de información del hospital y a los historiales médicos electrónicos. Por otra parte, la Autoridad observó que, en su política de privacidad y en la política de seguridad de la información, el hospital hacía referencia a las normas NEN 7510,NEN 7512 y NEN 7513, que prevén que la identidad de los usuarios debe establecerse mediante la autenticación basada en dos factores.
Según la Autoridad, un hospital como el OLVG debería haber conservado los registros de qué historiales médicos han sido consultados y quién los ha consultado, comprobándolos regularmente para poder identificar los accesos no autorizados y adoptar las medidas de seguridad adecuadas. A pesar de que el hospital disponía de un sistema de seguimiento automático de los accesos, no comprobó y comprobó regularmente los registros, limitándose a dos comprobaciones aleatorias y ocho incidentales del registro de una única historia clínica electrónica en el plazo de un año.
Por consiguiente, la autoridad de control constató que el hospital no había actuado de conformidad con sus propios procedimientos, ya que no había proporcionado un nivel de seguridad adecuado en lo que se refiere a la identificación de los accesos no autorizados a los datos, y la falta de medidas de seguridad adecuadas en respuesta al acceso no autorizado a los expedientes de los pacientes.
A pesar de que durante la instrucción el hospital OLVG corrió a las reparaciones mediante la implementación de medidas de seguridad adicionales, incluyendo la autenticación de dos factores dentro de la red del hospital y el seguimiento de la grabación sobre una base estructural, la autoridad de control de los Países Bajos consideró, no obstante, que el hospital había infringido el artículo 32, apartado 1, del Gdpr, imponiéndole una sanción de 440000 euros. El OLVG ha anunciado que no va a apelar.
FUENTE:FEDERPRIVACY