confidencialidad en la historia de salud digital diraya

CONFIDENCIALIDAD EN LA HISTORIA DE SALUD DIGITAL DEL SSPA

XXIX Congreso Nacional SEMERGEN Sevilla, 6 de octubre 2007

Ignacio Pajares Bernaldo de Quirós

Sevilla, octubre 2007XXIX Congreso Nacional SEMERGEN

Concepto de Concepto de confidencialidad confidencialidad 1/21/2

“Calidad de aquello que se hace o dice en confianza o con seguridad recíproca entre dos o más personas” (RAE)


“Derecho del paciente a que todos aquellos que lleguen a conocer datos relacionados con su persona por su vinculación laboral, al participar de forma directa o indirecta en las funciones propias de las instituciones sanitarias, respeten su intimidad y cumplan con el llamado deber de sigilo, reserva y secreto”

Júdez J, Nicolás P, Delgado MT, et al. La confidencialidad en la práctica clínica: Historia clínica y gestión de la información. Med Clin. 2002; 118:18-37.

Concepto de Concepto de confidencialidad confidencialidad 2/22/2


Normativa que regula el uso Normativa que regula el uso de la Historia Clínicade la Historia Clínica Ley 14/1986 General de Sanidad. Ley Orgánica 15/1999 de 13 de diciembre,

de Protección de datos de carácter personal (LOPD).

Ley 41/2002 de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica.

Convenio sobre los derechos del hombre y la biomedicina de 1997.


Normativa que regula la Normativa que regula la confidencialidad en saludconfidencialidad en salud

Constitución Española. Arts.18.1 y 18.4 Ley Orgánica 15/1999 de 13 de diciembre, de Protección de

datos de carácter personal (LOPD). Ley 41/2002 de 14 de noviembre, básica reguladora de la

Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica.

Ley 14/1986 General de Sanidad (Derechos de los ciudadanos).

Ley 2/1998 de Salud de Andalucía (Derechos de los ciudadanos).


Ley de Autonomía del Ley de Autonomía del pacientepaciente

Artículo 2: “La persona que elabore o tenga acceso a la información y a la documentación clínica está obligada a guardar la reserva debida”.

Artículo 3:” Historia clínica: conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial”.

Artículo 7: “Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin la previa autorización amparada por la ley”.

Artículo 15: “La Hª clínica se llevará con criterios de unidad y de integración, en cada institución asistencial como mínimo para facilitar el mejor conocimiento por los facultativos de los datos de un determinado paciente en cada proceso asistencial”.


El derecho a la intimidad del paciente.

La confianza del paciente en el profesional sanitario.

La lealtad del profesional al paciente.

Las bases de la Las bases de la confidencialidadconfidencialidad


Medidas de seguridad en la Medidas de seguridad en la Historia de Salud Digital Historia de Salud Digital (1/6)(1/6)

Real Decreto 994/1999: Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

Identificación y autenticación (Art. 11 y 18)

Nivel de seguridad básico. Existencia de una relación actualizada de usuarios con nivel de acceso autorizado. Existencia de mecanismos de autenticación. Si es por contraseñas con almacenamiento cifrado y protegido, distribución cifrada, ocultación en pantalla durante su introducción, cambio periódico forzado y longitud mínima de las mismas.



Control de acceso (Art. 12 y 19) Nivel de seguridad básico: Acceso autorizado sólo datos precisos. Segmentación y protección de la aplicación cuando

maneje distintos tipos de datos. Administración de la concesión, alteración o

anulación de permisos restringida a personas autorizadas.

Nivel de seguridad medio y alto: Mecanismo de identificación inequívoca y

personalizada de los usuarios que intenten acceder y verificación de que realmente están autorizados

Limitación de los accesos reiterados fallidos (recomendable 3)



Pruebas con datos reales (Art. 22) Nivel de seguridad medio- alto

Las pruebas con datos reales no se harán salvo garantía del nivel de seguridad correspondiente al tipo de fichero tratado y lo autorice su responsable.

(Para evitar el uso de datos reales se recomienda disociar los datos de entrada, es decir, cambiar o separar los datos identificativos de los registros a utilizar )





Distribución de soportes (Art. 23) Nivel de seguridad alto.

La aplicación en caso de generar soportes ha de: Permitir su cifrado Advertir sobre la necesidad del cifrado o

protección de los datos (por ejemplo mediante pantallas de aviso) antes de su distribución (tanto en soportes o por redes de telecomunicación)



Registro de accesos (Art. 24) Nivel de seguridad alto

Guardar como mínimo de cada acceso: Identificación del usuario Fecha y hora de acceso Fichero accedido Tipo acceso Autorización o denegación de acceso. Si se autoriza, identificación del registro accedido.

Mecanismos de registros de acceso no desactivables

Conservación de los datos registrados como mínimo 2 años



Telecomunicaciones (Art. 26)Nivel de seguridad alto

La transmisión de datos de carácter personal será cifrada o utilizando otros mecanismos que impidan el acceso o manipulación.

Ficheros temporales (Art. 7) Nivel de seguridad alto

Todo fichero temporal será borrado una vez haya dejado de ser necesario para los fines que motivaron su creación.


Requisitos de la Requisitos de la ConfidencialidadConfidencialidad Cumplimiento estricto de la

Normativa. El ciudadano propietario de la

Historia: acceso con tarjeta o firma. Ámbito de Zona rural o Centro urbano.

Bloqueo total o parcial de Hojas de Consulta y Hoja de Problemas.

Trazabilidad de todos los accesos y actualizaciones


El derecho del paciente a la confidencialidad y la intimidad.

Las necesidades del profesional de conocimiento de la información clínica del paciente para su mejor atención.

Factores enfrentados en la Factores enfrentados en la HSDHSD


Antes de Antes de Diraya... Diraya...

Centros de Atención Primaria




Una Historia

en cada centro

TASS TASS


Arquitectura DirayaArquitectura Diraya

Navegador de Hª

B.D. USUARIOS HISTORIA

CENTRAL


Estructura de DirayaEstructura de Diraya

MACOoperadores

BDUusuarios

ESTRUCTURAubicaciones

CITA HISTORIA

RECETA XXISALUD RESPONDE

MTI


BDU Base de Datos de Usuarios

M.A.C.O.M.A.C.O.

Estructura AE

Estructura AP

HISTORIA

de SALUD

ÚNICA

B D UB D U

M T I Módulo de Tratamiento de Información

InterS@s

Receta XXI

Cita centralizada

Características de DirayaCaracterísticas de Diraya


Seguridad y Acceso en Historia Seguridad y Acceso en Historia de Saludde Salud

Historia de Salud

MACO

LOPDLOPD

Control Adicional

de Seguridad

Control Adicional

de Seguridad

Gestión de grupos de Operadores y Auditoría sobre funcionalidades

Gestión de grupos de Operadores y Auditoría sobre funcionalidades

Registro de Acceso a la Historia de

Salud de un usuario

Registro de Acceso a la Historia de

Salud de un usuario

Control de acceso a la historia de salud

de un Usuario

Control de acceso a la historia de salud

de un Usuario

Control de AccesosControl de Accesos

Identificación y AutentificaciónIdentificación y Autentificación

Registro de Acceso a funcionalidades

del sistema

Registro de Acceso a funcionalidades

del sistema


Premisas de la HDS DirayaPremisas de la HDS Diraya

El ciudadano es el eje del SSPA La HDS es única, independientemente de donde se

produce el contacto. La HDS sigue al ciudadano. El Sistema de Información Sanitario (SIS) se

constituye como una única red sanitaria y no múltiples redes locales.

Una HS con sustrato común para AP y AH con unos elementos diferenciadores, específicos para cada dispositivo, pero accesible para todos los profesionales, dependiendo de los permisos de acceso.


Identificación en CitrixIdentificación en Citrix


Escritorio de DirayaEscritorio de Diraya


Control de acceso DirayaControl de acceso Diraya


Escritorio de la HSDEscritorio de la HSD


Perfiles de acceso a la HDSPerfiles de acceso a la HDS

Trabajador social

Sanitarios (médicos, enfermeras, auxiliares enfermería, odontólogos , fisioterapeutas)

Admisión


Búsqueda y selección de Búsqueda y selección de usuariosusuarios


Paciente no perteneciente Paciente no perteneciente al centroal centro


Pantallas de la HSD según Pantallas de la HSD según categoríascategoríasVisualización de sanitariosVisualización de sanitarios

Visualización de T. socialesVisualización de T. sociales


Bloqueo de acceso a la Bloqueo de acceso a la historiahistoria

Bloqueo de HSC

Bloqueo de Anamnesis

Bloqueo de Exploración

Solo puede acceder a la hoja bloqueada el profesional que la creó, o un profesional autorizado por el paciente mediante la tarjeta sanitaria.


Acceso a la Historia de Acceso a la Historia de Salud ÚnicaSalud Única


Historia de Salud Única Historia de Salud Única (1/6)(1/6)

Acceso tras autorización en módulo MACO


Obtención de listados de Obtención de listados de usuariosusuarios

Autorización reservada a personal con perfil de

administrador


Obtención de listados de Obtención de listados de pacientespacientes


Módulo de explotación de Módulo de explotación de informacióninformación


Módulo de explotación de información. Información por niveles, según perfil del profesional: Médico de familia/pediatra: información

personal. Dirección de centro: Información de cada profesional y comparación con Distrito Sanitario Distrito: Información de cada centro, desglosable por profesional, y comparación con provincia. Servicios Centrales: Información por provincias o distritos o centro, llegando a nivel de profesional.

DIÁBACODIÁBACO


Únicamente datos de carácter numérico. Ausencia de cualquier información de carácter personal de usuarios.

Información de: Cartera de Servicios Procesos Asistenciales Actividad asistencial Indicadores de uso Indicadores de cobertura

Qué datos obtenemos de Qué datos obtenemos de DiábacoDiábaco


Como funciona DiábacoComo funciona Diábaco


Acceso a DiábacoAcceso a Diábaco

Los perfiles de acceso se definen en MACO


Funcionamiento de DiábacoFuncionamiento de Diábaco


Resultados en DiábacoResultados en Diábaco

confidencialidad en la historia de salud digital diraya

Education