//
Archivos

lopd canarias

Esta etiqueta está asociada a 3 entradas

Amplían la querella contra los dos celadores del Hospital Nuestra Señora de La Candelaria

Según informa el diario digital http://www.canariasahora.com el abogado de la paciente que ha denunciado a dos celadores de este centro hospitalario, ha ampliado la querella al contrastar los accesos de los imputados al historial clínico de la denunciante con la que realmente, según fuentes del hospital, les correspondía.

Este personal sanitario solo puede acceder a la historia clínica cuando realizan sus funciones administrativas (ingresos o traslados), no pudiendo realizar otro tipo de accesos. Según las diligencias que tramita el juzgado,  ninguno de los accesos de los celadores imputados al historial clínico guardaban relación con esas necesidades administrativas ni de gestión de incidencias. Consta que han “entrado mas veces al historial clínico que los propios médicos que la han intervenido y que siguen su evolución”, según consta en la intranet del hospital.

Hasta tal punto llegó el acceso a esta historia clínica que según ha puesto de manifiesto la auditoría realizada, la segunda persona imputada accedió hasta en cinco ocasiones a la historia clínica de la denunciante cuando esta ya no se encontraba en el centro hospitalario, ni siquiera estaba en Tenerife, sino en Pamplona, recuperándose de una intervención. Además, el primer imputado también ha realizado accesos en multitud de ocasiones a la historia clínica de la denunciante sin necesidad.

La Asociación para la Defensa de la Sanidad Pública en Canarias, que en un comunicado reciente afirmaba que “la seguridad y la privacidad de los datos son cruciales en las historias clínicas y en cuanto a los permisos de acceso a las mismas, ya que los pacientes son los propietarios de sus propias historias, son ellos mismos quienes han de decidir quién puede ver su información sanitaria y cuándo.Por tanto resulta inconcebible e intolerable que cosas como la denunciada puedan suceder en el Servicio Canario de la Salud cuando es éste el que ha de proteger las historias clínicas electrónicas de intrusos como los denunciados que no tienen la correspondiente autorización escrita por parte de la paciente “.

Habrá que seguir las evoluciones jurídicas de este caso así como la posible actuación de oficio de la propia Agencia Española de Protección de Datos, ya que, como todo parece apuntar, estamos ante una infracción grave, (art. 44.3.d), del deber de secreto , según regula el artículo 10 de la Ley Orgánica de Protección de Datos Personales.

Fuente: Canarias Ahora.

http://www.canariasahora.com/noticia/240139/

En la Concejalía de Urbanismo de Santa Cruz de Tenerife no aparecen dos ordenadores.

Esta mañana he leído en la edición digital de Canariasahora.es esta noticia. Al parecer después de las pasadas elecciones municipales del 2011, de realizó un inventario de equipos informáticos y el resultado del mismo no coincidió con el inventario anterior, faltando un ordenador portátil y un equipo de sobremesa.

Independientemente de los posibles tintes electorales de esta desaparición misteriosa, lo cierto es que desde el punto de vista de la normativa de protección de datos personales nos encontramos ante un incidente de seguridad en toda regla con todas sus derivadas.

No solo no aparecen los mismos, sino que no se tiene noción de su posible ubicación, ni si han sido sustraidos, trasladados o reubicados en algún otro sitio. Tampoco se puede saber quién lo hizo ni por qué.

Además de la desaparición de los equipos, de los cuales se desconoce que información y/o datos contenían, algunos discos duros aparecieron sin datos, lo que viene a resaltar la gravedad de este hecho.

Si nos encontráramos en una situación similar, ¿cómo deberíamos actuar? ¿qué obligaciones nos viene impuesta en la normativa española de protección de datos personales?.

Es evidente que si nos encontráramos en una situación similar a la comentada, la forma de actuar variará dependiendo del papel que ocupemos en esa organización o entidad responsable del fichero. En función del papel a ocupar, los pasos podrían ser:

1.- Como usuario del sistema de información. 

Como usuario nuestra primera obligación es informar del incidente de seguridad. La organización habrá tenido que dotar de un protocolo de actuación para notificación de incidencia, en función de las instrucción ahí recibidas, debemos redactar el pertinente informe de incidencia y comunicarlo a la dirección y/o al responsable de seguridad señalado en dicho protocolo. En el mismo, habrá que incluir algunos campos como fecha en que se produjo la incidencia, fecha en la tuvimos conocimiento del incidente, tipología del incidente, explicación detallada del mismo, así como las posibles consecuencias del mismo.

2.- Como responsable de seguridad.

Una vez que hemos tenido recibido la notificación de la incidencia habrá que actuar en consecuencia, según el procedimiento que la organización tenga establecido. Resulta evidente que una situación como la comentada, deberá ser remitida inmediatamente a la dirección; indicando en el informe el posible impacto en la seguridad de la información (grado de afectación a la confidencialidad, disponibilidad e integridad de la misma); medidas de seguridad encaminadas a la recuperación de los datos; medidas para restablecer el pleno funcionamiento del sistema informático de la organización; pasos dados para identificar al responsable o posibles responsables del incidente; etc..

3.- Como responsable del fichero.

La entidad titular del sistema de información que gestiona los ficheros que contienen los datos personales también deberá asumir su cuota de protagonismo en la gestión del incidente de seguridad. Esa cuota de protagonismo va desde la iniciación de los protocolos de incidencia; la supervisión de los mismos; las actuaciones legales previstas; la dotación de medios materiales y económicos para que el responsable de seguridad junto con el responsable o administrador de sistemas pueda dejar en funcionamiento nuevamente el sistema informático dando lugar a la aplicación del plan de contingencias y continuidad del negocio esbozado en el plan de riesgos; etc..

Una vez analizada la incidencia y puesto en funcionamiento el resto del sistema, bien por la localización de los equipos y datos o bien por su sustitución, se podrá dar por cerrada el parte de incidencia. Además, deberá contener las posibles medidas de seguridad y recomendaciones futuras a fin de evitar que vuelva a darse una situación como esta.

http://www.canariasahora.es/noticia/217363/

Jornada sobre la LOPD en el COAAT Gran Canaria

Ayer miércoles, 15 de febrero de 2012, tuvo lugar en el salón de actos del Ilustre Colegio de Aparejadores y Arquitectos Técnicos de Gran Canaria, la primera jornada informativa sobre la Ley Orgánica de Protección de Datos Personales, un reto para la pyme.

La jornada fué seguida con mucho interés por los asistentes, con participación de los mismos mediante preguntas y cuestiones prácticas que se fueron contestando de forma clara, precisa y práctica.

En el acto también se tuvo oportunidad de explicar a los asistentes el fraude continuado que algunas seuconsultoras de LOPD están llevando a cabo en el sector al recurrir a los fondos de formación para subvencionar total o parcialmente dichos proyectos. A fin de que los asistentes tuvieran conocimiento de primera mano, se les hizo entrega del informe editado por APEP sobre qué es y en qué consiste un proyecto de consultoría de protección de datos así como el informe sobre cómo identificar un buen proyecto de consultoría.

Estadística del blog

  • 108,410 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: