Política de Seguretat de Aplicacions de mobilitat a l’àmbit de l’Hospital Germans Trias i Pujol

 

1. Objectius de la Política de Seguretat

Aquesta política de seguretat té com a objectiu establir els criteris i requisits mínims de seguretat que han de complir les aplicacions de mobilitat orientades a pacients desenvolupades o contractades per l’Hospital Germans Trias i Pujol. Els objectius principals són:

  • Protegir la confidencialitat, integritat i disponibilitat de les dades personals i sanitàries dels pacients.
  • Garantir que l'ús de les aplicacions compleixi amb la normativa legal vigent en matèria de protecció de dades, seguretat de la informació i drets dels pacients.
  • Definir els rols i responsabilitats dels diferents actors implicats en el desenvolupament, contractació i manteniment d'aquestes aplicacions.
  • Gestionar els riscos associats a la seguretat de la informació i prevenir possibles incidents.

 

2. Marc Normatiu

Les aplicacions orientades a pacients hauran de complir amb el següent marc normatiu:

  • Reglament General de Protecció de Dades (RGPD) [UE 2016/679]: Reglament europeu que regula el tractament de dades personals.
  • Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals (LOPDGDD): Llei espanyola que adapta el RGPD a l'ordenament jurídic espanyol.
  • Llei 41/2002, de 14 de novembre, bàsica reguladora de l'autonomia del pacient i de drets i obligacions en matèria d'informació i documentació clínica.
  • ISO/IEC 27001: Estàndard internacional per a la gestió de la seguretat de la informació.
  • ENS (Esquema Nacional de Seguretat): Normativa espanyola que estableix els principis i requisits de seguretat per als sistemes d'informació utilitzats per les administracions públiques.
 

 

3. Responsables i Funcions

3.1 Comitè de Seguretat de la Informació

  • Funcions:
    • Desenvolupar, revisar i actualitzar la política de seguretat.
    • Supervisar el compliment de la normativa i garantir que es realitzen les avaluacions de riscos periòdiques.
    • Establir mecanismes de seguiment i control per a les aplicacions mòbils.
    • Aprovar les decisions estratègiques sobre seguretat de la informació.

 

3.2 Responsable de Seguretat de la Informació

  • Funcions:
    • Coordinar les activitats relacionades amb la seguretat de la informació de les aplicacions.
    • Realitzar avaluacions de riscos i establir controls per minimitzar-los.
    • Controlar que es compleixin els requeriments tècnics i de seguretat de les dades.
    • Col·laborar amb els proveïdors externs per garantir que les aplicacions desenvolupades externament compleixen amb aquesta política.

3.3 Departament de Sistemes d’Informació

  • Funcions:
    • Implementar les mesures tècniques necessàries per a garantir la seguretat de les aplicacions a tots els nivells i velar per a que es compleixin
    • Controlar i gestionar l'accés a les dades dels pacients a través de les aplicacions.
    • Assegurar la correcta encriptació de les dades tant en trànsit com en emmagatzematge.
    • Realitzar proves de seguretat de les aplicacions abans del seu desplegament i en actualitzacions.

3.4 Proveïdors Externs (En cas de desenvolupament extern)

  • Funcions:
    • Complir amb tots els requisits establerts en aquesta política i garantir que les aplicacions desenvolupades s'alineen amb la normativa vigent.
    • Garantir la integració de mecanismes de seguretat adequats des del disseny de l'aplicació (seguretat per disseny).
    • Col·laborar amb l'hospital en la realització de proves de seguretat i auditories.
    • Signar acords de confidencialitat i comprometre's amb la protecció de les dades dels pacients.

 

4. Gestió dels Riscos

El procés de gestió dels riscos associats a les aplicacions ha d'incloure les següents etapes:

4.1 Identificació de Riscos

  • Avaluar els riscos potencials que poden comprometre la seguretat de la informació, com vulnerabilitats en el codi, accessos no autoritzats, fuga de dades, arquitectura del sistema, etc.

4.2 Anàlisi i Avaluació de Riscos

  • Establir la probabilitat i l'impacte de cada risc identificat.
  • Classificar els riscos en funció de la seva gravetat i l'impacte potencial sobre la seguretat i privacitat dels pacients.

4.3 Mitigació i Control

  • Implementar controls de seguretat per reduir o eliminar els riscos identificats.
  • Monitoritzar contínuament les aplicacions mòbils per detectar vulnerabilitats o incidents de seguretat.

4.4 Revisió i Auditoria

  • Realitzar auditories periòdiques de les aplicacions mòbils per assegurar que les mesures de seguretat implementades són efectives.
  • Revisar periòdicament els riscos i actualitzar les mesures de seguretat si cal.

 

5. Autorització i Control d'Accés

5.1 Principi de Mínim Accés Necessari

  • L'accés a les dades personals i sanitàries dels pacients ha de limitar-se únicament a aquells usuaris que necessiten aquesta informació per a complir les seves funcions.

5.2 Autenticació i Autorització

  • Les aplicacions han d'implementar mecanismes forts d'autenticació d'usuaris, com l'ús de contrasenyes robustes, autenticació multifactor (MFA) i, en cas necessari, identificació biomètrica.
  • Els nivells d'accés han de ser controlats i revisats regularment per assegurar que només el personal autoritzat pot accedir a les dades sensibles.

5.3 Control d'Accés Basat en Rols (RBAC)

  • Definir rols específics dins l'aplicació i assignar permisos d'accés adequats per a cada rol, assegurant que l'usuari només pot accedir a les funcions i dades necessàries segons la seva funció.

 

6. Registres i Traçabilitat

6.1 Registres d'Accés

  • Les aplicacions han de mantenir un registre detallat de tots els accessos a la informació dels pacients, incloent-hi l'identificador de l'usuari, el moment de l'accés i les dades consultades.

6.2 Monitorització de la Seguretat

  • Han d'establir-se mecanismes de monitorització contínua per detectar accions anòmales o sospitoses, com intents d'accés no autoritzat, canvis no autoritzats en les dades, o accessos des de dispositius desconeguts.

6.3 Resposta davant d'Incidents

  • Establir un protocol de resposta davant d'incidents que inclogui la detecció, notificació i gestió d'incidents de seguretat. Això ha d'incloure la notificació a les autoritats competents i als afectats en cas de vulneracions de dades.

 

7. Formació i Conscienciació

  • Tots els professionals implicats en el desenvolupament, gestió i ús de les aplicacions han de rebre formació específica en matèria de seguretat de la informació i protecció de dades.
  • Realitzar campanyes periòdiques de conscienciació sobre bones pràctiques de seguretat, com la gestió de contrasenyes, el reconeixement d'amenaces cibernètiques i la importància de la privacitat dels pacients.

 

8. Manteniment de la Política

Aquesta política ha de ser revisada i actualitzada periòdicament per garantir que segueix alineada amb la normativa vigent i que continua essent efectiva per protegir la seguretat de les dades dels pacients.

 

Torna a la pàgina de l'eSalut MetroNord