La ciberseguretat en la medicina ubiqua i la recerca col·laborativa
La multinacional tecnològica GMV ha celebrat el dia d’avui la II Jornada del HealthTech Observer (HTO) en col·laboració amb l’Associació Nacional d’Informadors de la Salut (ANIS). En aquesta ocasió, la sessió s’ha centrat en els temes crítics de la ciberseguretat, governança de la dada en salut i connectivitat en els sistemes d’informació, incloent els centres de salut, hospitals i CERT líquids.
L’hospital líquid és un nou model d’atenció al pacient basat en l’e-health o medicina sustentada en les noves tecnologies, que va més enllà de les parets físiques del centre i per permeabilitzar fora, implicant i corresponsabilitzant els pacients, els seus familiars, els professionals en la cura de la seva salut, de manera col·laborativa, amb el consegüent benefici pel seguiment continu i ubic de persones dependents, fràgils i crònics sense necessitat de ser a l’hospital.
Aquesta continuïtat assistencial, més enllà de l’atenció hospitalària, no es limita avui dia a la telemedicina o el monitoratge en remot, sinó que desplega tot el seu potencial mitjançant l’anàlisi de grans volums de dades procedents de multitud de fonts i la intel·ligència artificial (IA) per, entre altres coses, poder personalitzar tractaments i contribuir en la investigació de teràpies, destacant el benefici per investigar malalties poc freqüents. És un model caracteritzat per la seva flexibilitat, que s’adapta millor a les necessitats i entorn dels pacients, és més motivador, interactiu i més àgil en la resolució de tots els processos. En aquesta nova manera d’atenció sanitària, la dada cobra una especial importància per oferir evidències en cada un dels esdeveniments clínics.
Aquest nou escenari representa un canvi de paradigma organitzatiu i assistencial que s’encamina cap a una medicina predictiva, personalitzada, de precisió i col·laborativa gràcies als nous i constants avenços tecnològics digitals. És un híbrid entre l’atenció presencial i les prestacions que ens facilita la tecnologia, pensat per al pacient del segle XXI.
Però tota transformació implica un repte. D’una banda, cal garantir la ciberseguretat dels sistemes i, per una altra, la privacitat de les persones. Un ciberatac pot portar a fer més vulnerables els pacients, paralitzar l’activitat assistencial i comprometre investigacions en què les dades són la principal evidència. Es pot destacar que el nombre de ciberatacs de pesca (phishing) i programari segrestador (ransomware) en el sector sanitari ha augmentat un 650 % l’últim any. D’altra banda, aprofitar tot el potencial d’eines com la intel·ligència artificial, amb la qual poder accelerar la investigació mitjançant la creació de xarxes federades de dades, propietat de diverses organitzacions públiques i privades, per aplicar la medicina personalitzada i de precisió, alhora que donar resposta a malalties encara sense elles, comporta disposar dels màxims estàndards de seguretat instaurats en l’organització.
Per debatre sobre tot això, la II Jornada del HealthTech Observer (HTO), organitzada per GMV, ha tingut rellevants experts com són: Miguel Ángel Benito, coordinador autonòmic de seguretat de la informació del Servei de Salut de les Illes Balears; Luis Pérez Pau, European Chief Information de FutuRS, companyia del Grup Ribera Salud; Óscar Riaño, responsable del CERT de GMV; Francesc García Cuyás, director d’Estratègia Digital i Dades de l’Hospital Sant Joan de Déu Barcelona; Inmaculada Pérez, directora de Salut Digital de Secure e-Solutions de GMV, i Alberto Estirado, director de Sistemes d’Informació i Transformació Digital de HM Hospitales.
Espai europeu de dades sanitàries (EEDS)
El 3 de maig de 2022 la Comissió Europea va posar en marxa l’espai europeu de dades sanitàries (EEDS). Es tracta d’un «ecosistema específic per a la salut» (en paraules de la Comissió) per a l’intercanvi de dades sanitàries, que estableix un marc de governança per a l’ús de les dades sanitàries electròniques per part dels pacients (ús primari) i per a finalitats de recerca, innovació, elaboració de polítiques, seguretat dels pacients, estadística o reglamentació (ús secundari).
L’EEDS representa un salt qualitatiu quant a com es prestarà l’atenció sanitària, posarà les dades mèdiques al servei de la ciutadania i la ciència, proporcionant un marc fiable per utilitzar les dades en recerca i innovació, augmentarà l’eficiència i resiliència dels sistemes de salut, etc. Els investigadors, a través de l’EEDS, podran accedir de manera més eficient a una quantitat més gran de dades d’alta qualitat, i dirigiran així el seu treball cap a una medicina personalitzada, predictiva, preventiva i de precisió, cap a l’assistència mèdica amb un clar suport de les eines digitals.
Per garantir la protecció de les dades dels pacients es duu a terme la protecció i anonimització de les dades mèdiques. Aquest procés consisteix a modificar les dades de tal manera que no sigui possible determinar la identitat de la persona a qui corresponen en nom de la investigació mèdica, i per complir les regulacions de privacitat de dades. Les normes de l’EEDS sobre la reutilització de dades es basen en el Reglament general de protecció de dades, el marc introduït per la Llei de governança de dades, la proposta de Llei de dades i la Directiva sobre ciberseguretat.
A aquestes normes se sumen lleis i regulacions per a la protecció de dades personals, com el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016 (Reglament general de protecció de dades, RGPD); La Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals i la directiva sobre protecció de dades en l’àmbit penal i altres normes relatives a la protecció de dades personals.
Com van explicar en l’esdeveniment portaveus de GMV, els algoritmes d’IA necessiten gran quantitat de dades per obtenir la precisió que es necessita en l’àmbit mèdic. Per a això cal seguir una regulació estricta. Els algoritmes actuals provenen d’un nombre molt escàs de fonts, que introdueix biaix (bias) en els algoritmes i no es poden aplicar a diferents grups poblacionals (poca generabilitat). Amb la tecnologia denominada Aprenentatge federat, els algoritmes d’IA s’entrenen de manera col·laborativa, sense necessitat de moure les dades de l’hospital que les allotja. En comptes de moure les dades a un lloc en el qual puguin ser tractades, la tecnologia de GMV mou els algoritmes als centres en els quals es troben les dades. Aquesta tecnologia es basa en l’aplicació de tècniques com ara Secure MultiParty Computation (SMPC) o xifratge homomòrfic.
CiberAP ajuda a protegir els sistemes d’atenció sanitària dins i fora dels centres de salut
Què ocorre amb aquestes xarxes federades i amb el monitoratge constant per a una assistència ubiqua? Que hem de prestar especial atenció en tot moment a la ciberseguretat al llarg de tot el procés: des dels sistemes ubicats al centre mèdic fins a arribar als dispositius de monitoratge que utilitza el pacient a casa seva. El repte és la ciberseguretat de la interconnexió entre sistemes i dispositius dins i fora dels centres mèdics.
Miguel Ángel Benito, coordinador autonòmic de seguretat de la informació del Servei de Salut de les Illes Balears, va compartir informació sobre el projecte CiberAp finançat pel Ministeri de Sanitat i destinat a millorar la ciberseguretat en el sector de la salut, davant d’un escenari en què la IA es presenta com un habilitador per a l’atenció sanitària i la recerca no exempta de reptes. CiberAP reportarà a les 13 comunitats autònomes participants una inversió de 40 milions d’euros, en què les Balears marcarà la pauta a la resta de les regions nacionals: «La definició d’estratègies i estàndards que es prendran es fan des de la nostra coordinació».
D’altra banda, Luis Pérez Pau, European Chief Information de FutuRS, companyia del Grup Ribera Salud, va recordar que en el sector salut és on més temps es triga a detectar una possible vulneració d’informació. Des que té èxit un atac fins que la institució s’adona que les seves dades han estat vulnerades, hi ha una mitjana de 329 dies, segons la guia de ciberseguretat en el sector salut del BID. Així mateix, va incidir en la conveniència que els hospitals se certifiquin a fi que se segueixi un marc de mesures comunes en tots ells. L’expert va posar de relleu la necessitat de «la compartició segura i responsable de dades de salut amb finalitats assistencials i de recerca, que pot millorar significativament l’atenció sanitària i el benestar social. És cert que els ciberatacs són cada vegada més freqüents a escala global, i les organitzacions han de conèixer els seus processos crítics i disposar de plans específics per enfrontar-s’hi o exposar-se a les seves conseqüències; això és un desafiament i també una oportunitat per millorar la seguretat», va afirmar.
Recordant com la salut digital dibuixa un escenari on no hi ha portes, sinó que es tracta d’un model líquid, no només s’han de protegir els centres assistencials o hospitals, sinó el flux que es produeix entre els diferents agents que interactuen en aquest model de salut digital i hospital líquid, va comentar Óscar Riaño, responsable del CERT de GMV (Computer Emergency Response Team- Equip de Resposta davant d’incidents), qui va exposar com haurien de ser els centres de resposta a incidents de ciberseguretat a les institucions sanitàries, proposant el model de CERT Líquid i afirmant que la disponibilitat digital en el sector salut és proporcional a la qualitat de vida de les persones. Igualment, va repassar la normativa europea que entrarà en vigor l’any que ve i el pròxim, en la qual assistirem a una «allau» legislativa centrada en ciberseguretat i resiliència, com NIS2 i CERT, així com en dades i intel·ligència artificial, com la Data Act i l’AI Act.
En aquest sentit, Francesc García Cuyás, director d’Estratègia Digital i Dades de l’Hospital Sant Joan de Déu Barcelona, va ressaltar que en aquest model el domicili és com una habitació més de l’hospital i que la consigna ha de ser la de «moure la dada i no el pacient». Igualment, es va referir a la xarxa ÚNICAS que lidera funcionalment l’Hospital Sant Joan de Déu Barcelona, i va apuntar al nou model d’equips, configurats per professionals sanitaris, científics de dades i tecnòlegs, en aquest context de salut digital i hospital líquid.
En aquesta mateixa línia va participar Inmaculada Pérez, directora de Salut Digital de Secure e‑Solutions de GMV, i va incidir que el nou model condueix a centrar-se en les persones més que en la mateixa malaltia, i facilitar al professional un diagnòstic primerenc, una medicina predictiva, preventiva, personalitzada i de precisió. I tot això gràcies a la integració de plataformes d’intel·ligència artificial com a expenedores de serveis assistencials.
Com a tancament de la Jornada, Alberto Estirado, director de Sistemes d’Informació i Transformació Digital de HM Hospitales, va explicar el Pla de transformació digital de HM Hospitales: com s’ha desenvolupat l’hospital líquid, l’estratègia seguida de la dada i el treball que s’està desenvolupant a l’Institut de Recerca Sanitària HM Hospitales (IIS-HM): l’experiència de «#Datacovidsavelives». «El pla de transformació digital de HM Hospitales implica un esforç molt important de gestió del canvi, que involucra tots els departaments de la companyia, però fonamentalment l’equip humà, que permet una renovació basada en la tecnologia. Els eixos fonamentals del pla de transformació digital són: la gestió orientada a la dada única, l’eficiència de processos assistencials i clínics, les relacions amb el pacient digitals i la seguretat».
Més informació:
Màrqueting i Comunicació
GMV Secure e-Solutions
[email protected]
.