El colapso del sistema informático del hospital privatizado de Dénia, arrastrado desde el pasado jueves cuando se produjo la caída del servidor, ha destapado que los historiales médicos de los pacientes del centro que gestiona la empresa Marina Salud están en Estados Unidos
|
etiquetas: avería , hospital , dénia , historiales , médicos , eeuu
Esto es una cagada en toda regla
Ejemplo:
www.sap.com/spain/about/cloud-trust-center/faq.html
"Does SAP have regional cloud services?
Yes, we provide the EU Access service from SAP for some of our cloud services. EU Access helps ensure that personal data is stored only in data centers within the European Economic Area, the European Union, and Switzerland. Furthermore, remote access to personal data is restricted to locations within these countries.
What provisions are there for protection of personal data transferred to other countries since the Safe Harbour Decision was deemed invalid by the European Court of Justice in October 2015?
Our Intra-Group Data Protection Agreement is based on the European Union (EU) Standard Contractual…...
Esto es una cagada en toda regla
Ejemplo:
www.sap.com/spain/about/cloud-trust-center/faq.html
"Does SAP have regional cloud services?
Yes, we provide the EU Access service from SAP for some of our cloud services. EU Access helps ensure that personal data is stored only in data centers within the European Economic Area, the European Union, and Switzerland. Furthermore, remote access to personal data is restricted to locations within these countries.
What provisions are there for protection of personal data transferred to other countries since the Safe Harbour Decision was deemed invalid by the European Court of Justice in October 2015?
Our Intra-Group Data Protection Agreement is based on the European Union (EU) Standard Contractual Clauses. It forms a legally binding agreement between SAP global entities, affiliates, and subsidiaries and provides a lawful mechanism for transferring personal data from the EU and the European Economic Area (EEA). It applies to transfers and processing of personal data, whether internal, external, or on behalf of customers, and provides baseline protection of cross-border personal data transfers.
Is SAP certified in accordance with the Privacy Shield Framework for the European Union and the United States?
As a company based in the EU, we rely on EU Standard Contractual Clauses."
Servicios como protonmail precisamente estan en Suiza por eso.
#7 Eso son risas, pero no mias amos para mi como chacho de sistemas de una empresa Europea, me es indiferente, he contratado un cloud con Azure o Google Cloud o AWS y en mi contrato pone que se ciñen a la legislacion europea de proteccion de datos, es problema suyo respetar el contrato, si hay Breixit Amazon Google y MS tienen el problema, no yo, para mi deberia ser transparente
Tu no eres culpable de que te timen.
Si eres programador y estás protestando por sueldos dignos... algo has hecho muy mal.
Un saludo de un programador.
Yo trabajé varios años en la sanidad pública de una comunidad autónoma. Antiguamente, cada centro de salud tenía su propio servidor, lo cual suponía un problema grave de mantenimiento y seguridad, y se centralizó todo en un CPD al que accedían los distintos centros de salud.
Los datos de los pacientes de cada centro de salud no están ya en el propio centro. En la mayoría de los casos no están ni siquiera en su misma provincia. Acceden a ellos a través de Internet, como es lógico y normal en la época en la que nos encontramos.
Por favor seamos serios, esto es ingenieria, hay cajas negras, hay contratos, hay documentos de especificaciones y estos tienen caracter de documento legal, yo tengo que fiarme de lo que me dice el proveedor hasta que se demuestre lo contrario y si se demuestra, la culpa no es mia por fiarme de un documento legal, la culpa es de quien falsifica ese documento.
Yo soy responsable de mi area no de todas
Salu2.
Para mi que han pillado otra cloud bastante más cutre y sin disponibilidad geográfica
Nope. Tienen que seguir la legislación europea como el GDPR para proteger los derechos de los usuarios pero no tienen que estar fisicamente en Europa.
Por debajo de 30 solo hay gente que no ha programado nada serio en su vida o gente que todavía no entiende bien la profesión, ya sea por qué acaba de empezar, por qué le falta práctica o teoría, o por qué es tonto... Hay de todo.
eu-central-1UE (Fráncfort)
eu-west-1 UE (Irlanda)
eu-west-2 UE (Londres)
eu-west-3 UE (París)
eu-north-1 UE Estocolmo
Si nos fiamos de los contratos, la noticia del DIario es absurda (otra más) porque acaban de descubrir la nube. Ahora solo falta que descubran que algunas cosillas de la Adminsitración también están en la nube...
- Donde estén esos datos, tienen que cumplir ciertas garantías de que se van a tratar de manera correcta. En USA no tienen una ley per se "oficial", pero a Europa le vale con que cumplan al menos con el Privacy Shield. Evidentemente si son datos más sensibles te vas a otras normativas como HIPAA
- Si va a ocurrir una transferencia de datos fuera de la Unión Europea, ésta tiene que ser notificado al sujeto al que pertenezcan esos datos, y me da que la liada les va a venir por ahí.
Todas las empresas del mundo que procesen datos de ciudadanos europeos deben cumplir con el GDPR o pagar las multas correspondientes en sus delegaciones en la UE.
#4 #6 www.twilio.com/blog/2018/05/gdpr-and-eu-data-location-requirements.htm
Es una zona gris, pero en general si que es posible mantener los datos fuera de la UE. Pero como mencionais, yo no me la jugaria con datos medicos.
Si quieres volvemos a la edad de piedra. ¿Qué propones, que los datos estén de manera física? Me desorino
Pues si es así no sería muy complicado decidir en que país o paises alquilas esos servidores, digo yo
Si bien mi corazón siempre estará abierto a los sobornos, más información por privado, ofertas especiales para grupos. No es el mismo caso ni de blas.
Es que aquí parece que se está diciendo que si el laboratorio farmacéutico que fabricó la medicina te ha envenenado, la culpa la tiene el médico que te la recetó.
No entiendo eso, esté donde esté el disco, los datos son tuyos legalmente.
Si encima es ilegal alojar esos datos fuera de Europa (es lo que parece), alguien está incumpliendo la ley, ya sea el hospital, sea la contrata de informática, o sea el proveedor de servicios en la nube.
ayyyy que chiste mas bueno
Empresas como salesforce me rio yo cuando dicen que lo cumplen, simplemente te entregan un documento que indica que lo cumplen, por eso los departamentos legales cada vez tienen más peso
No hay NINGÚN PROBLEMA EN ABSOLUTO por tener datos personales alojados en los Estados Unidos de América. Por si no ha quedado claro: NIN. GU. NO.
En fin, lo dicho...
Y ahora clarifico. No da igual no tener backup. Si no tienes backup no hay nada que restaurar y no te puedes recuperar de desastres.
Depende de que tenga el disco, si es interno o externo, si es interno si es un disco de sistema o es un disco de datos... recuperar el servicio puede ser trivial o puede ser una pesadilla.
Te podría contar la historia de un array externo que estaba sin supervisar. Los discos estaba todos en mirror, así que se podían reemplazar en caliente en caso de avería. Ese array solo servía almacenamiento a un servidor en su mismo rack, por dos buses SCSI. Doble fuente de alimentación, conectado a dos SAI diferentes... todo perfecto para poder hacer reparaciones e intervenciones eléctricas sin detener el servicio.
El asunto es que se rompió un disco y no nos enteramos. Total, el array está sin supervision. Las alarmas no llegan a ninguna parte. El mirror hizo muy bien su trabajo. Los datos accesibles sin que se notase desde fuera.
El problema fue cuando se rompieron más discos de otros mirror. Aunque los datos estaban accesibles todos los discos averiados pertenecían a la misma controladora, lo que afecta a rendimiento ya que había datos que sólo estaban accesibles por un camino.
La base de datos que utilizaba ese almacenamiento tenía unos requisitos de rendimiento que no podían satisfacerse accediendo sólo por un camino. Al final tuvo que venir HP a arreglarlo, y no querían tocar nada sin subir la versión del firmware.
Al cliente le faltó poco para poner un cartel de " se busca" ofreciendo un precio por nuestras cabezas.
Ahora con Java todo es mejor y mas bonito,e infinitamente mas rápido que las mierdas que hace SAP.
EDIT: con PO queria decir POO programación orientada a objetos.
europa.eu/rapid/press-release_MEMO-16-2462_en.htm
El privaty shield (antes save harbour) es el convenio de tratamiento de datos de carácter seguro USA-EU e indica muy clarinete que solo pueden tratar datos seguros empresas certificadas con convenio contra EU, si, donde están tus datos importa porque si viajan a servidor USA y este no está certificado se incumple la LOPD
En general y por olvidarse de líos muchas empresas (o por lo menos SAP que es lo que conozco) directamente te dicen mira tío datos de carácter confidencial (como en este caso historiales médicos) se quedan en Europa y así te aseguras que los servidores no se acaban subcontratado a ninguna empresa fuera de la regulación y no te buscas problemas.
Si, donde están tus cosas para según que datos importa y mucho y no USA no tiene a día de hoy que yo sepa algo que te garantice el cumplimiento de la normativa más allá de estos parches legales
Dependiendo de vuestro tamaño estaré de acuerdo contigo, montar las cosas chulas y bien es un chorron de pasta y dependiendo de vuestro presupuesto seguramente compensa más montarte tu casa de putas particular que un armatroste caro que no puedes mantener correctamente
A todos los efectos los datos esten donde estén son tuyos.
Tu según la normativa tienes derecho a solicitar visualizar, modificar o borrar los datos y tienen que concedertelo
El tipo del disco duro solo es dueño de un disco duro.
Si (como el caso) tus datos acaban en un sitio donde no se cumple la norma es como resulta obvio una pedazo de cagada, y ahora se le va a caer el pelo al responsable que me juego un huevo a que es el proveedor de servicio de almacenaje que ha subcontratado a usa a una empresa sin convenio con Europa.
A ningún tipo con dos dedos de frente se le ocurre mearse en la LOPD llevando datos médicos (es falta grave, te pueden arruinar por no hablar de que igual no vuelves a trabajar en Europa)
Cada cambio legal en Uzbequistan te implicaría tener que montar un equipo para parchear con la nueva tontería, SAP te ofrece las notas descargables, bajas, instalas y ya cumples normativa estandarizada y haciendose responsable SAP de que todo va ok o se les cae el pelo.
Y eso meu, molar, cuando operas en 50 o 60 países, mola mucho
Amos repito, es caro, de hecho, soy una pilingui muy cara, pero créeme que cosas chulas se pueden montar (y muy chulas) el problema es que igual, no compensa y tienes absolutamente toda la razón.
Pero SAP es como Apple, el ecosistema entre módulos está pensado para que tengas motivos para que te salga a cuenta el cacharro (y dentro de un par de años si aún no lo has escuchado oirás hablar de accesos indirectos a SAP FICO y os entrarán sudores fríos, resumiendo SAP para forzar licencias va a empezar a cobrar los accesos a sistema mediante volcado por parte de sistemas de terceros, que se lo chiva la auditoría, y cuando eso pase... )
Por no hablar que subestimas también el tamaño de la empresa para la que trabajo, no somos tan pequeños...
Vamos yo te aseguro que duermo muy tranquilo.