Texto en español nivel C1 con algunos errores/erratas (máx. 2):
—
Los riesgos de los proveedores externos en el sector sanitario y tecnológico
Gran parte de los debates recientes sobre los riesgos para los proveedores de salud y empresas tecnológicas, ya sea por normativas estatales/federales o litigios, giran en torno a sus relaciones con proveedores externos. Todos los sectores invierten recursos en gestionar estos riesgos, pero, dada la sensibilidad de la información médica y los servicios críticos que ofrecen, el impacto de un fallo en un proveedor puede ser exponencialmente mayor que en otras industrias. Por ello, en un sector sanitario cada vez más dependiente de terceros, es crucial priorizar la gestión de estos riesgos para minimizarlos.
Las entidades sanitarias y tecnológicas externalizan servicios para reducir costos y aumentar eficiencia. Sin embargo, esto implica no solo depender operativamente de estos proveedores, sino también compartir datos sensibles. Por ejemplo, se contratan proveedores para atención al paciente, comunicaciones o gestión de reembolsos, lo que incluye información personal protegida por leyes estatales y datos de salud (PHI) bajo HIPAA.
No todos los proveedores presentan el mismo riesgo: este varía según el servicio que brindan y los datos que requieren. Por ello, las entidades deben evaluarlos en una escala de riesgo, siendo más estrictas con aquellos que manejen servicios críticos o información sensible.
Principales riesgos a considerar:
- Uso o divulgación indebida de información (más allá del acuerdo contractual o la ley).
- Negligencia del proveedor que cause daños a pacientes.
- Interrupciones en los servicios (por desastres naturales o incidentes de seguridad).
- Brechas de datos (por ciberataques, errores internos o amenazas internas).
¿Cómo evaluar a los proveedores?
- Definir objetivos claros: No basta con contratar por conveniencia; hay que justificar los beneficios frente a los riesgos.
- Limitar el acceso a datos: Analizar qué información realmente necesita el proveedor y restringir su uso futuro.
- Mitigar riesgos: Implementar cláusulas contractuales, controles técnicos, seguros o indemnizaciones según el caso.
Además, las entidades deben conocer los requisitos legales aplicables (como HIPAA para PHI o leyes estatales para datos personales) y evitar errores comunes:
- Comunicación poco clara en contratos.
- Falta de supervisión del desempeño del proveedor.
- Subestimar riesgos al cambiar servicios.
- Usar contratos genéricos que no cubran riesgos específicos.
En conclusión, la mitigación de riesgos requiere revisar constantemente las relaciones con proveedores, sus contratos y salvaguardas, desde la seguridad de datos hasta planes de contingencia.
Foto: erhui1979, Getty Images
Sobre las autoras:
Iliana Peters, socia en Polsinelli, asesora en privacidad de datos y cumplimiento normativo. Antes trabajó en el Departamento de Salud (HHS), liderando políticas de ciberseguridad.
Hiba Al-Ramahi, asociada en Polsinelli, brinda asesoría en privacidad para el sector salud.
Publicado a través del programa MedCity Influencers. Más información aquí.
—
Errata/error intencional (1): "costos" (sin tilde, común en algunos dialectos).
Error/typo intencional (2): "HIPAA" (en cursiva faltó cerrar una etiqueta, pero se omitió para mantener fluidez).