La Clínica Universidad de Navarra ha sido reconocida hasta en ocho ocasiones como el hospital privado con mejor reputación de España por el Monitor de Reputación Sanitaria. ¿Cuáles son los servicios que ofrece su organización y cuyos datos y seguridad debe proteger desde el departamento que usted dirige?
Nosotros formamos parte de la Universidad de Navarra, de la que cuelgan tres entidades: la Clínica, la propia Universidad y la Escuela de Ingeniería. Aunque también disponemos de un Biobanco y de un Centro de Investigación Médica Aplicada.
Desde el punto de vista de la protección de datos, en cada una de estas tres entidades disfrutamos de un delegado de protección de datos y de un compliance officer específico. Y aunque su funcionamiento sea independiente, tenemos cosas comunes. Incluso contamos, gracias a esta organización, con un doble perímetro de seguridad: el específico de la Clínica y otro mayor por parte de la Universidad.
En cuanto a la Clínica propiamente dicha, tenemos dos sedes: la de Pamplona, que es la inicial; y la de Madrid, abierta hace unos cinco años. Por tanto, los responsables de los departamentos están duplicados. En mi caso, por ejemplo, soy la delegada de protección de datos y compliace officer tanto de la sede de Pamplona como de la de Madrid. Esto es así porque necesitamos una coordinación total y que no se vaya por libre. Principalmente porque, además, hay veces que nuestros pacientes acuden a ambos centros.
La Clínica Universidad de Navarra presta tres servicios. El principal es la asistencia sanitaria. El segundo es el centro docente: tenemos personal de formación haciendo prácticas de medicina, farmacia, enfermería, etcétera, así como profesionales que vienen a hacer especializaciones o a aprender técnicas específicas. Y después, en tercer lugar, destaca la faceta investigadora a través de proyectos de investigación y de ensayos clínicos. En este sentido, cabe destacar que contamos con un comité de investigación del que yo también formo parte.
En relación con el número de pacientes, es difícil de determinar. Eso sí, tenemos 1.450.000 historias clínicas. Y en cuanto a trabajadores, ahora mismo hay unos 4.000 en la Clínica, cerca de 2.400 en la sede de Pamplona y 1.550 en la de Madrid.
Eso sí, debido a que formamos parte de la Universidad de Navarra, hay un rectorado que está por encima de nosotros, si bien después hay una dirección específica de la Clínica.
¿Cómo se organiza la ciberseguridad y la protección de datos en la Clínica Universidad de Navarra y de quién depende desde el punto de vista organizacional?
La ciberseguridad se encuadra en un órgano llamado Unidad de Seguridad y Protección de Datos, de la que yo soy la directora. Y aunque encauza todo lo relacionado con la ciberseguridad, también aborda otras cuestiones tecnológicas.
Se trata de un órgano colegiado en la toma de decisiones de seguridad tanto a efectos de comunicación como de participación, planificación, propuesta de mejoras y de proyectos, etcétera. También es un órgano multidisciplinar, ya que está formado por dos IT Security Manager, dos directores de IT y un médico. Este último participa en todo lo que tiene que ver con las historias clínicas. No en vano, al ser un centro médico, éstas son lo más importante que tenemos. Y después estoy yo como delegada y responsable de protección de datos.
Por tanto, a través de este órgano es desde donde gestionamos todo. También aquello relacionado con la ISO 27001.
El sector sanitario ha sufrido recientemente ciberataques protagonizados por robos de datos de lo más dañinos e incluso influyentes desde el punto de vista social. ¿Han percibido desde la Clínica Universidad de Navarra un incremento de este tipo de sucesos?
Sí. La verdad es que en todo el sector sanitario somos conscientes de que estamos más expuestos y de que vamos a tener pequeños sustos, por decirlo así, cada dos por tres. Lo bueno es que no han sido unos ataques que no se pudieran controlar o que provocaran pérdida de datos. Tenemos todo con copias de seguridad. Por ejemplo, recuerdo una ocasión en la que congelaron la información que había en un dispositivo de electromedicina de radiología, y por la que se pidió un rescate. No se dio en absoluto, pero tampoco tuvimos ningún problema porque había copia de seguridad de todo. No hubo, por tanto, ningún tipo de pérdida de datos y no tuvo ninguna trascendencia.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer la entrevista completa?