A pesar del endurecimiento de la situación legal, el cloud público puede convertirse en un factor de éxito en el sector sanitario. Un ejemplo práctico muestra cómo se logra el equilibrio entre el cumplimiento normativo y la modernización, y qué criterios de selección son determinantes.
El sector sanitario se enfrenta a enormes retos, como la escasez de personal cualificado, el aumento de los costes combinado con la incertidumbre al respecto de la financiación, una infraestructura estática, la urgencia y necesidad de digitalización; y a todo esto se suma el elevado nivel de exigencia que establece el Reglamento KRITIS. Y recientemente se ha añadido otro: el artículo 393 del Código Social alemán (SGB) V obliga a hospitales, aseguradoras médicas y sus proveedores de servicios de IT a disponer de la certificación C5 de la Oficina Federal de Seguridad en la Tecnología de la Información (BSI) para sus soluciones en el cloud. Además, es obligatorio limitar el tratamiento de datos a Alemania, la UE y unos pocos países más. Estos requisitos superan los del Reglamento General de Protección de Datos (RGPD) y exigen a las organizaciones afectadas nuevos procesos de certificación, así como un cambio de mentalidad a la hora de seleccionar el proveedor de servicios en el cloud.
Al mismo tiempo, las instituciones del sector sanitario deben modernizar su infraestructura informática, ser más flexibles y reducir costes. Para lograr este equilibrio, muchos responsables de IT se preguntan si el endurecimiento de la normativa descarta el cloud público o si hay formas de cumplir ambos requisitos.
Los grandes actores del sector sanitario procesan cantidades ingentes de datos. En el caso de AOK Niedersachsen, por ejemplo, se trata de más de 20 millones de documentos al año, entre los que se incluyen notificaciones, liquidaciones de prestaciones o cartas informativas. La aseguradora envía cuatro de cada cinco documentos por correo postal. Esto es necesario debido a que parte de la información no puede o no debe reproducirse digitalmente, o porque la implementación digital entre los diferentes actores del sector sanitario no se ha llevado a cabo de manera coherente. Se trata de unos 16 millones de envíos al año que deben imprimirse, introducirse en sobres y franquearse.
Además, durante las campañas especiales dirigidas a todos los asegurados —en las que, en los momentos de mayor volumen, hay que enviar hasta 2,3 millones de documentos casi simultáneamente—, la escalabilidad de un centro de datos propio in situ llega a sus límites. Esto puede provocar cuellos de botella en el rendimiento que afecten a la disponibilidad del servicio. Para una aseguradora médica, en la que muchos envíos son urgentes, esto supone un riesgo crítico.
El paso lógico: migrar los servicios gestionados al cloud. Pero, ¿a cuál? Un cloud privado permite un mayor control, pero a menudo conlleva problemas de escalabilidad similares a los de las soluciones locales, ya que sigue siendo necesario planificar con antelación las nuevas capacidades y adquirir el hardware. Un cloud público, por el contrario, promete precisamente lo que falta: recursos bajo demanda, escalabilidad en cuestión de horas en lugar de semanas y la desaparición de los tiempos de espera durante los picos de carga.
Sin embargo, en el sector sanitario surge inmediatamente la pregunta de si esto es compatible con los estrictos requisitos de protección de datos y cumplimiento normativo. ¿Los datos sanitarios sensibles y el cloud público son compatibles? En principio sí, pero no todos los clouds públicos cumplen los requisitos.
Por lo tanto, el camino hacia el cloud público no debe comenzar con la selección de la tecnología, sino con intensas consultas internas. El delegado de protección de datos, el departamento jurídico y los departamentos especializados deben colaborar estrechamente para aclarar de antemano todas las cuestiones legales y organizativas. ¿Qué requisitos debe cumplir un proveedor de cloud? ¿Qué cláusulas contractuales son imprescindibles? ¿Cómo se puede garantizar el control sobre los datos de la seguridad social? Solo cuando se hayan establecido estas bases podrá comenzar el proceso de selección. Este orden es determinante para el éxito del proyecto a fin de poder evaluar a los proveedores de forma específica.
El artículo 393 del Código Social alemán (SGB) V exige desde marzo de 2024 una certificación C5 de la BSI y limita el tratamiento de datos a Alemania, la UE y unos pocos países más. El artículo 80 del Código Social alemán (SGB) X regula el tratamiento de los datos de la seguridad social por proveedores de servicios externos y exige que el contratista actúe únicamente siguiendo instrucciones. El RGPD protege los datos personales y exige transparencia. Un cloud público debe cumplir de forma demostrable los tres requisitos.
¿Dónde se encuentran físicamente los servidores? ¿Los datos salen del territorio alemán? Debido a leyes extranjeras como la Cloud Act de Estados Unidos, los responsables necesitan la certeza de que los datos de la seguridad social se procesan exclusivamente en centros de datos alemanes sin puertas traseras. ¿Quién tiene acceso a los sistemas? Otro aspecto de seguridad determinante es la gestión de claves externa: la soberanía sobre el descifrado debe recaer en la empresa sanitaria; el proveedor del cloud no debe tener acceso a él.
Para evitar la dependencia de un único proveedor, lo ideal es que las soluciones en el cloud se basen en estándares abiertos. Así cambiar de proveedor resulta técnicamente sencillo. Al mismo tiempo, la solución en el cloud debe poder escalarse rápidamente para hacer frente a picos de demanda en cuestión de horas.
La prestación de los servicios se convirtió para nosotros en un proyecto emblemático con el objetivo de implementar servicios en el cloud. Y no nos hemos arrepentido de dar ese paso.
Christoph Meyer, director de Gestión de Soluciones en AOK Niedersachsen
La aseguradora de salud AOK Niedersachsen deseaba flexibilizar la gestión documental que les ofrecía el proveedor Binect. La elección recayó en T Cloud Public, cuyos centros de datos están ubicados en Alemania, por lo que los datos de la seguridad social no salen del territorio federal en ningún momento. La solución lleva más de tres años funcionando de forma estable. Los tiempos de resolución se han reducido de días a horas, informa Sebastian Angerstein, director de Gestión de Proyectos y Soluciones de IT en AOK Niedersachsen. Asimismo, la experiencia del usuario también ha mejorado notablemente. Además, la disponibilidad del servicio se ha optimizado de manera considerable. Las actualizaciones se implantan rápidamente y el escalado se realiza con solo pulsar un botón. El modelo de pago por uso aporta ventajas económicas y transparencia sobre los costes reales. «La prestación de los servicios se convirtió para nosotros en un proyecto emblemático con el objetivo de implementar servicios en el cloud. Y no nos hemos arrepentido de dar ese paso» —afirma Christoph Meyer, responsable del área de gestión de soluciones en AOK Niedersachsen.
Lo que otras organizaciones pueden aprender del proyecto: el cloud público y el sector sanitario no son incompatibles. Con la ayuda de soluciones en el cloud certificadas en Alemania, incluso es posible facilitar el cumplimiento de la extensa normativa. Para alcanzar el éxito es decisivo que los departamentos de cumplimiento normativo se impliquen desde el principio y que se opte por estándares abiertos (código abierto) y proveedores con certificación C5 de tipo 2.
