Tras una serie de auditorías y constatación de reportes, la Superintendencia Nacional de Salud evidenció que, desde la perspectiva de los usuarios finales de la EPS Sanitas, aún persisten dificultades para tener acceso normal a la prestación de los servicios, luego de más de un mes y medio de que esta administradora de recursos reportó un ataque cibernético que afectó sus plataformas informáticas y, entre otras consecuencias, la vulneración de información personal de sus afiliados, en magnitud aún por determinar.
Dando continuidad a la vigilancia de la garantía en el acceso a los servicios de las EPS Sanitas, afectados desde el pasado 28 de noviembre de 2022, la Superintendencia ha recibido respuesta a los requerimientos formulados a la EPS, se han analizado los informes diarios reportados desde el 1° de diciembre de 2022, ha concedido plazos para el cargue de reporte y ha vigilado el comportamiento de las peticiones, quejas, reclamos y denuncias (PQRD) recibidas durante el tiempo de contingencia, entre otras acciones.
Con corte al pasado 13 de enero de este año, es decir 45 días después de reportado el ciberataque, la Supersalud pudo establecer algunos de los aspectos relevantes relacionados con el restablecimiento y continuidad de los servicios de la EPS y encontró que continúa la incertidumbre frente a la superación completa de los fallos en los sistemas de información.
Frente al anunciado restablecimiento de la oficina virtual para la auto gestión de los afiliados, se evidenció que aún persisten debilidades en el proceso de estabilización que incrementan el uso del canal presencial, derivando en esperas que afectan la satisfacción del usuario con el servicio prestado por parte de la EPS Sanitas y, por ende, la garantía efectiva del derecho fundamental a la salud.
Para el máximo órgano de control de la salud, si bien la EPS reporta que los módulos de historias clínicas, el portal zona pública y el chatbot han sido restablecidos, la evidencia indica que las interfaces todavía no garantizan su interoperabilidad completa, traduciéndose en retrasos, esperas y reprocesos que afectan las acciones de gestión de riesgo en salud y financiero, como responsabilidades indelegables del aseguramiento en salud.
“El denominado plan de recuperación consistente en el restablecimiento de la interoperabilidad de los módulos de atención -bien sea sobre las plataformas informáticas vulneradas o alguna solución alterna- por el momento presenta un nivel de incertidumbre que no permite comprometer y cumplir cronogramas ciertos para su operación habitual”, señala el informe de la Superintendencia.
Y concluye que: “los hallazgos de las auditorías, la información reportada por la EPS como respuesta a los requerimientos y el grado de debilidad en la documentación de soporte e indicadores de medición del impacto del ataque, así como el avance del restablecimiento, requirieron de acciones contundentes de verificación en campo que permitan alcanzar un grado de certeza del horizonte de resolución de la contingencia”.
Respecto de los datos personales, las investigaciones adelantadas por la propia EPS han confirmado la vulneración de información personal de 241.589 usuarios, situación que requiere que Sanitas informe de manera oportuna, veraz y completa a cada uno de los afectados por esta situación específica. Con relación a las historias clínicas, la EPS asegura en sus reportes a la Supersalud que no ha evidenciado la vulneración de la seguridad y reserva de estas.