Los establecimientos médico-sociales de la red DomusVi gestionan diariamente volúmenes significativos de datos de salud a través de la plataforma Netsoins. Historias clínicas, prescripciones, evaluaciones de dependencia, historiales médicos: esta información está sujeta al régimen jurídico más estricto del RGPD.
El marco de la CNIL que se dirige específicamente a las organizaciones que acogen o albergan a personas mayores y en situación de discapacidad establece el contexto. La cuestión ya no es si estos datos deben ser protegidos, sino cómo cada eslabón de la cadena, desde el cuidador hasta el proveedor de alojamiento, aplica concretamente las obligaciones.
También recomendado : RH Digital: cómo optimizar la gestión del talento
Certificación HDS de los proveedores: un requisito técnico a menudo subestimado
Antes incluso de configurar Netsoins, un punto estructural pasa regularmente desapercibido para las direcciones de los establecimientos: la certificación de Proveedor de Alojamiento de Datos de Salud. Desde los recordatorios de la CNIL y la doctrina en la nube del ministerio de Salud, todo proveedor que almacena, respalda o mantiene datos del expediente del usuario informatizado debe estar certificado HDS.
Este requisito abarca périmetrías más amplias de lo que se imagina. No solo se refiere al proveedor principal de la plataforma. Un gestor de servicios encargado del mantenimiento de aplicaciones, un proveedor de planes de recuperación de actividad o un servicio de respaldo externalizado también caen bajo esta obligación siempre que manejen datos de salud.
Lectura recomendada : Tendencias tecnológicas: los nuevos actores a seguir de cerca
Para un EHPAD de la red DomusVi, esto significa auditar a todos sus subcontratistas técnicos. Una guía que detalla las buenas prácticas Netsoins Domusvi recuerda esta necesidad de verificación documental antes de cualquier contratación.
Los comentarios del terreno divergen en este punto: algunos establecimientos consideran que la certificación del proveedor principal es suficiente, mientras que la cadena de subcontratación puede implicar a varios actores no certificados. Cada eslabón no certificado constituye una falla regulatoria.
Gestión de habilitaciones en el software Netsoins: el nervio de la seguridad diaria
La protección de los datos de salud en un EHPAD no se juega únicamente a nivel de los servidores. Se juega primero en la gestión de los derechos de acceso dentro del software de cuidados. Netsoins permite configurar perfiles de habilitación por función: auxiliar de enfermería, enfermero, médico coordinador, personal administrativo.
El marco de la CNIL es explícito en este punto. Los datos recopilados solo deben ser accesibles para las personas habilitadas debido a sus funciones. Un agente de recepción no necesita consultar las prescripciones médicas. Un gestor administrativo no debe acceder a las evaluaciones geriátricas detalladas.
Tres principios para una configuración rigurosa
- El menor privilegio: cada perfil de usuario solo debe ver los datos estrictamente necesarios para su función, y nada más. Este es el fundamento del marco de la CNIL para el sector médico-social.
- La revisión periódica de las cuentas activas: las salidas de personal, los cambios de puesto o los reemplazos temporales generan cuentas obsoletas. Una cuenta no desactivada sigue siendo una puerta abierta.
- La trazabilidad de los accesos: Netsoins registra las conexiones y las consultas de expedientes. Explorar estos registros permite detectar accesos anormales, como la consulta repetida de un expediente de un residente por un profesional sin vínculo de atención.
En la práctica, la dificultad proviene de la alta rotación en el sector. Los equipos se suceden en los reemplazos, y la actualización de las habilitaciones se retrasa. Una auditoría trimestral de las cuentas de Netsoins reduce este riesgo.
Análisis de impacto y algoritmos: lo que la CNIL espera ahora de los EHPAD
Un aspecto más reciente se refiere al uso creciente de funcionalidades algorítmicas en los softwares de cuidados. Alertas automáticas, puntuaciones de riesgo de caídas, priorización de intervenciones: estos tratamientos ya no son marginales en los establecimientos equipados con soluciones como Netsoins.
La CNIL ha publicado recomendaciones específicas sobre la inteligencia artificial aplicada a los datos médico-sociales. En cuanto un tratamiento algorítmico puede influir en la atención de un residente, un análisis de impacto en la protección de datos (AIPD) se vuelve obligatorio. Este análisis debe documentar los fines del tratamiento, los conjuntos de datos utilizados y los criterios de decisión.
Los datos disponibles no permiten concluir sobre el grado de adopción de estos análisis de impacto en la red DomusVi. Las recomendaciones de la CNIL son claras, pero su traducción operativa en cada residencia depende de los recursos internos y del acompañamiento por parte del DPO del grupo.
Lo que el AIPD debe cubrir en un contexto Netsoins
El análisis no se limita a una formalidad documental. Debe evaluar la proporcionalidad del tratamiento en relación con el fin de atención, identificar los riesgos para los residentes (perfilado inapropiado, sesgos en las alertas) y prever medidas correctivas. Un residente o su representante legal debe poder ser informado de la existencia de estos tratamientos algorítmicos.
Formación de los equipos de atención en la seguridad de los datos de salud
La configuración técnica no protege nada si los usuarios eluden las reglas por desconocimiento. El intercambio de contraseñas entre colegas, la consulta de Netsoins en un terminal personal no seguro, o el envío de datos de salud por mensajería no cifrada siguen siendo prácticas documentadas en el sector.
El marco de la CNIL recomienda acciones de sensibilización regulares, adaptadas a los diferentes perfiles de personal. La formación debe centrarse en acciones concretas, no en principios abstractos. Bloquear la sesión al abandonar el puesto, nunca transmitir un identificador de conexión, informar de cualquier sospecha de acceso no autorizado.
Los profesionales en EHPAD utilizan cada vez más Netsoins en dispositivos móviles, lo que añade un vector de riesgo. La conexión desde una red Wi-Fi pública, la pérdida o el robo de un terminal que contenga accesos al expediente del usuario informatizado: son escenarios que la formación debe cubrir explícitamente.
La protección de los datos de los residentes en un establecimiento DomusVi se basa en la articulación entre tres niveles: la conformidad de los proveedores de alojamiento, la configuración precisa del software Netsoins, y la cultura de seguridad de los equipos en el día a día. Ninguno de estos tres niveles compensa las fallas de otro. El marco regulatorio existe, las herramientas técnicas también. El eslabón decisivo sigue siendo la aplicación rigurosa, expediente por expediente, acceso por acceso.