A medida que las empresas, las agencias gubernamentales y las organizaciones sin fines de lucro vuelven a abrir y los empleados regresan a las oficinas interiores, se están modificando muchas medidas de seguridad pandemia. Si su empresa revisó el estado de la vacuna de los empleados o clientes o recopiló otra información relacionada con Covid, ¿ha considerado qué hacer con los datos ahora? Las empresas que mantienen esa información o que desarrollaron aplicaciones u otros productos para facilitar su recopilación pueden transmitir un puntero importante a otros que planean ingresar al floreciente mercado de aplicaciones de salud: la información de salud confidencial debe venir con una etiqueta de "precaución: manejar con cuidado".
¿Su empresa desarrolla aplicaciones de verificación de vacunas?
Algunas aplicaciones de "pasaporte" de verificación de vacunas almacenan una copia digital de la tarjeta de vacunación de una persona. Otros le dan al usuario un registro digital para guardar en otras aplicaciones o en una billetera móvil. Además del estado de la vacuna de una persona y posiblemente los resultados de su prueba, algunas aplicaciones recopilan otra información para verificar la identidad de la persona, por ejemplo, su nombre, fecha de nacimiento, código postal, dirección de correo electrónico y número de teléfono. Algunas aplicaciones incluso aprovechan los registros de vacunación de estado o de farmacia. Una vez verificados, las aplicaciones pueden mantener los datos en el teléfono, otros pueden acceder a los datos desde la nube, y aún otros pueden crear una credencial digital (a menudo un código QR) que otras aplicaciones pueden escanear. Si su empresa crea aplicaciones de verificación de vacunas o si está desarrollando otras aplicaciones relacionadas con la salud, aquí hay algunas consideraciones clave.
- Hacer representaciones precisas. Explique claramente cómo se utilizará y compartirá la información de las personas y luego cumplir con esas promesas. Si su empresa ha implementado aplicaciones para leer credenciales en Storefronts, asegúrese de que esas empresas comprendan sus prácticas y los límites sobre cómo pueden usar los datos que comparte.
- Mantenga su aplicación actualizada y sus clientes en el bucle. Si su aplicación necesita ser actualizada para proteger contra nuevas vulnerabilidades de seguridad, siga y haga exactamente eso. Y si un cliente necesita actualizar la información en el archivo para continuar utilizando su aplicación, comuníquela claramente.
- Revise y actualice sus reclamos de privacidad. Las empresas están creando aplicaciones que pueden evolucionar con el tiempo para compartir información nueva o diferente, particularmente en lo que respecta a los desarrollos de salud pública. Si sus afirmaciones de privacidad no mantienen el ritmo de los cambios en sus prácticas de datos, los consumidores podrían ser engañados.
- Minimizar los datos que se comparten. Al verificar el estado de vacunación de un consumidor, puede ser suficiente comunicar su estado a otra entidad sin compartir el nombre de la persona, la fecha de nacimiento, la dirección de correo electrónico, el tipo de vacuna, etc. Ese principio se aplica igualmente a otras aplicaciones relacionadas con la salud.
- Proteja los datos que usa para la verificación. Si su aplicación transmite datos confidenciales para verificar el estado de una persona, use el cifrado de tránsito. Las personas que usan esas aplicaciones (u otras aplicaciones de salud) comúnmente confían en puntos de acceso Wi-Fi abiertos en cafeterías, aeropuertos y otros lugares donde es fácil para los ladrones de información interceptar datos. Si su aplicación almacena información en un teléfono, considere proteger u oscurecer los datos. Esto ayuda a proteger a los usuarios en caso de virus (el tipo digital), malware o un dispositivo perdido.
- Aplique las lecciones de la pandemia a medida que desarrolla nuevas aplicaciones relacionadas con la salud. Las aplicaciones de salud están aquí para quedarse. Pero antes de que su empresa se apresure al mercado con un nuevo producto, capacite a su equipo para priorizar las mejores prácticas para el desarrollo seguro. Si comienza con la seguridad, y mantiene su trabajo #1 mientras diseña, desarrolla y prueba, puede reducir el riesgo de implementar un producto con un defecto fatal. Otro recurso importante: NIST Marco de desarrollo de software seguro (SSDF). Antes de que su producto se realice, verifique que funcione como se anuncia y que las medidas de seguridad están operativas. Un paso inseguro: probar su producto para asegurarse de que no sea susceptible a las vulnerabilidades de seguridad comunes.
- Si se trata de datos de salud o datos de niños, comprenda los estándares y regulaciones aplicables. Las disposiciones legales adicionales pueden aplicarse cuando se trata de información de salud y la información de los niños. Busque orientación sobre la Ley de Protección de la Privacidad en línea de los niños y la Regla de COPPA, la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA), la Regla de Notificación de incumplimiento de salud y otras leyes relevantes.
¿Su negocio, sin fines de lucro u otro grupo verifica el estado de la vacuna de las personas?
Si su empresa verifica el estado de la vacuna de los empleados, clientes u otros, ya sea utilizando una aplicación, revisando las tarjetas de vacuna en persona, obteniendo escaneos por correo electrónico, etc., aquí hay algunos consejos a tener en cuenta. Estos principios seguirán siendo relevantes a medida que las nuevas aplicaciones de salud ingresen al mercado.
- Considere su objetivo. Al verificar el estado de los clientes o empleados, ¿está haciendo eso para asegurarse de que estén vacunados, o necesita más información para cumplir con las obligaciones legales o posiblemente realizar el rastreo de contacto? Identificar su objetivo puede ser un paso importante para descubrir cómo lograrlo mejor.
- Al verificar el estado de vacunación de alguien, menos suele ser más. Considere si simplemente puede confirmar que una persona está vacunada al ver su tarjeta de vacunación o una credencial digital. Si no necesita información más detallada, no la pida y no la recopile en primer lugar. No tiene que proteger los datos que nunca tuvo
- Investigar el mercado. Si decide utilizar una aplicación u otra tecnología para ayudar a verificar el estado de vacunación o realizar otras funciones relacionadas con la salud, ejercite la máxima atención en la selección de proveedores de servicios investigar a las empresas, obtener más información sobre su software y hacer preguntas sobre sus prácticas de privacidad y seguridad de datos. ¿Qué información compartirán contigo? ¿Qué información recopilará una aplicación de usted, sus clientes o sus empleados? ¿Son las representaciones que hace a otros consistentes con las prácticas de su proveedor de servicios?
- Proporcionar un entorno seguro. Si utiliza tecnología para recopilar información personal, ¿tiene una red segura a través de la cual se transmite la información? Y si debe mantener información, ¿puede almacenarla de forma segura?
- Si necesita mantener información sobre el estado de la vacuna de una persona, considere cuánto tiempo debe retenerla. Una vez que ya no tenga una necesidad legítima del estado de la vacuna de alguien u otra información relacionada con la salud, deséchela de forma segura.
- Use el regreso al lugar de trabajo en persona, o la transición a una oficina remota más permanente, como una oportunidad para hacer un balance de los datos que recopila y retiene. Si no tiene una necesidad continua de la fecha de nacimiento de un consumidor para verificar su estado, no lo guarde. O si usa una aplicación en una tienda para verificar el estado de vacunación de los clientes, piense críticamente sobre cuánto tiempo deben almacenarse los datos relacionados con cualquier visita al cliente. Pero no te detengas allí. Mire más allá de las circunstancias relacionadas con Covid para ver nuevos prácticas de recopilación de información y retención de su información. ¿Por qué recopilar o mantener los datos que no necesita?
