Page 115 - Revista Auditoria Pública nº 83
P. 115
LEGALIDAD
Recomendaciones de la Agencia Europea de Ciberseguridad
ante incidentes de seguridad en el sector sanitario
Magdalena Jareño Butron
Técnica Superior Informática
José Antonio Arratibel Arrondo
(Interventor en el Servicio Vasco de Salud-OSAKIDETZA)
Gobierno Vasco-Eusko Jaurlaritza
Revista Auditoría Pública nº 83
junio 2024. Páginas: 115-137
Resumen: En este trabajo pretendemos hacer una re- Abstract: In this work we intend to reflect, starting from
flexión, partiendo del marco jurídico relativo a la articu- the legal framework related to the articulation of the res-
lación de los sistemas de respuesta a incidentes infor- ponse systems to computer incidents of the countries
máticos de los países de la Unión Europea frente a los of the European Union against cyber attacks in the heal-
ciberataques en el ámbito sanitario y hospitalario y, en th and hospital field and, ultimately, to the data health
última instancia, a los datos personales de salud que go- personnel who enjoy special legal protection. The new
zan de una especial protección jurídica. La nueva norma- European data protection regulations (GDPR) consider
tiva europea de protección de datos (RGPD), considera this information to be especially protected by govern-
esta información como especialmente protegida por las ment administrations. As an example, we remember the
administraciones gubernamentales. A modo de ejemplo, last cyber attack suffered by a State health center, the
recordamos el último ciberataque que sufrió un centro Hospital Clínic Barcelona, on March 5, and the efforts
sanitario del Estado, el Hospital Clínic Barcelona el pasa- of the Cybersecurity Agency of Catalonia to analyze and
do 5 de marzo, y el esfuerzo de la Agencia de Ciberse- recover stolen information systems. In this sense, the
guridad de Catalunya para el análisis y recuperación de European Union Agency for Cybersecurity is the organi-
los sistemas de información robados. En este sentido, la zation that coordinates cybersecurity in the health sector
Agencia de la Unión Europea para la Ciberseguridad es in the European space. It has developed a series of pro-
la organización que coordina la ciberseguridad del sector tocols that, in the near future, will be part of the positive
sanitario en el espacio europeo. Ha elaborado una serie regulation of the sector. In addition to the experience of
de protocolos que, en un futuro cercano, serán parte de the countries in the European environment, we highlight
la regulación positiva del sector. Además de la experien- that an organized movement is developing worldwide to
cia de los países del entorno europeo, destacamos que create and coordinate response teams to cyber attacks
se está desarrollando un movimiento organizado a nivel on the health sector in order to protect patients’ health
mundial para crear y coordinar equipos de respuesta a data. In short, a necessarily interdisciplinary work that
ciberataques al sector sanitario con el fin de proteger los requires taking into account the positive right to the pro-
datos de salud de los pacientes. En definitiva, un traba- tection of personal health data and the current computer
jo necesariamente interdisciplinar que requiere tener en engineering technician, to guarantee these rights in the
cuenta el derecho positivo de la protección de los datos safest way possible.
personales de salud y, el técnico de la ingeniería informá-
tica actual, para garantizar dichos derechos de la forma
más segura posible.
Palabras Clave: ENISA, RGPD, protección de datos per- Keywords: ENISA, GDPR, personal health data protec-
sonales salud, ciberseguridad hospitalaria. tion, hospital cybersecurity.
115
