Preservar la confidencialidad del paciente mediante la dotación de claves

Preservar la confidencialidad del paciente mediante la dotación de claves

Mediante la creación y la gestión del proceso de dotación de claves y contraseñas se pretende preservar los derechos del usuario, cumpliendo la legislación vigente de acuerdo a la Ley Orgánica de Protección de Datos (L.O.P.D.), garantizando además la seguridad y confidencialidad de los documentos que componen la Historia Clínica Electrónica.

AUTORES:

María José Gutiérrez Pérez, DUE

Gloria Ayarza Garza, DUE

Marta Orcajo García-Muñoz, DUE

Carmen Cerrillo Sánchez, TCAE

Ana María Camacho Garzón, DUE

Ainhoa Cendegui Jaques, DUE

Gemma Orejuela Ribera, DUE

María Amelia Arán Martín, DUE

María Teresa Puigdevall Ramo, TCAE

RESUMEN

Una vez instaurado se hace una difusión mediante una circular a todo el personal implicado. Se llega a la conclusión que mediante el proceso se minimiza el riesgo de vulneración de los derechos del paciente, la huella digital sensibiliza al profesional en el uso adecuado de los documentos.

Palabras clave: claves y contraseñas, seguridad y confidencialidad, Historia Clínica Electrónica y Ley orgánica de Protección de Datos.

ABSTRACT

The creation of the process of username-password generation and management is intended to preserve users’ rights, in compliance with the Spanish current legislation, defined by the Ley Orgánica de Protección de Datos (L.O.P.D., Data Protection Act in Spain). Moreover, this process also protects the security and confidentiality of the information in electronic medical records. Once the system is operating, it is presented to all the staff involved by means of a circular. As a result, it is concluded that this process minimizes the risk of interfering with patients’ rights; digital footprint has raised professionals’ awareness about the importance of proper use and management of documents.

Keywords: username, password, security, confidentiality, electronic medical record, Ley Orgánica de Protección de Datos (Data Protection Act in Spain).

INTRODUCCIÓN

La información es un área crítica en la organización sanitaria, tiene que estar disponible para los usuarios autorizados. Solamente deben acceder a la información correspondiente en cada caso, aquellos que estén autorizados para ello. En las áreas críticas la información es confiable y completa asegurando así su integridad en todo momento.

El proceso de dotación de claves y contraseñas define el conjunto de actividades destinadas a garantizar la seguridad y confidencialidad de los documentos que componen la historia clínica electrónica con la finalidad de salvaguardar en todo momento, los derechos del usuario de acuerdo a la Ley Orgánica de Protección de Datos.

OBJETIVOS

Preservar los derechos del paciente y asegurar el correcto cumplimiento de la ley orgánica de protección de datos. Estableciendo los circuitos de control y jerarquías de autorizaciones, que deben observarse en la atención de solicitudes de acceso y asignación de privilegios a usuarios de los sistemas de información.

Garantizar la seguridad y confidencialidad de los documentos clínicos en soporte informático a través del análisis de las funcionalidades de la Historia Clínica Electrónica.

METODOLOGÍA

1) Fase de elaboración:

Equipo multidisciplinar: que serán los encargados de la dotación de claves adecuadas a cada usuario y está constituido por:

Supervisores de Unidad Clínica.
Sº de Informática.
Responsable del Sº de Archivo y Documentación Clínica.

Revisión del marco legal: Para asegurar durante todo el proceso que no se abandona el marco legal y los profesionales estén amparados por la ley en todo momento se revisa la legislación y normativa de seguridad.

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (L.O.P.D.).

Artículo 9. Seguridad de los datos. El responsable del fichero y/o el encargado del tratamiento ha de garantizar la seguridad de los datos de carácter personal, evitando su alteración, pérdida, tratamiento o acceso no autorizado, ya provengan de la acción humana o del medio físico o natural.

Artículo 10. Deber de secreto. Todo aquel que tenga acceso a los datos de carácter personal deberán cumplir el secreto profesional respecto de los mismos, esto es obligatorio incluso después de acabar las relaciones con el titular del fichero y/o responsable del mismo.

Ley 41/2002, ley básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Artículo 7. Derecho a la intimidad: la ley establece el derecho de los usuarios a que se respete la confidencialidad de los datos referentes a su salud y que sólo se accedan a ellos tras previa autorización.
Artículo 14. Definición y archivo de la historia clínica: La historia clínica incluye todos los datos de salud y la identificación de todos los profesionales que interactúan con ellos en la asistencia sanitaria de cada paciente. Cada centro será encargado de custodiar los datos de salud en cualquiera que sea su formato (papel, audiovisual, informático).
Artículo 15 Contenidos de la historia clínica: el paciente tiene derecho a que tanto en atención especializada como atención primaria quede constancia por escrito o en cualquier otro soporte la información transcendental de su estado de salud.
Artículo 19 Custodia de la historia clínica: Cada centro será encargado de custodiar los datos de salud en cualquiera que sea su formato (papel, audiovisual, informático) para preservar los derechos del paciente.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Los datos personales relativos a la salud, son aquellos que se recojan en la asistencia sanitaria del interesado relativos a su estado de salud física, recogidos con anterioridad, en el momento actual o en el fututo.
La protección de los derechos y libertades de las personas físicas obliga al responsable de los datos a realizar actividades tanto técnicas como organizativas para garantizar dicho fin de acuerdo, a este reglamento.

Fase de Implantación:

Difusión: mediante una circular con el fin de informar a todos los responsables departamentales y usuarios de las obligaciones que deben cumplir al tratar datos de carácter personal o al acceder a los sistemas de información del Sistema Público de Salud, entre las que cabe destacar:

No se revelará la información conocida en el desempeño de las funciones, ni se facilitará soporte alguno conteniendo datos de carácter personal, sin haber obtenido la debida autorización. Dicha información no se podrá utilizar con otra finalidad diferente de la profesional. Queda terminantemente prohibido la creación de ficheros para uso particular sin previa autorización.
Las contraseñas: deberán ser personales e intransferibles. Los usuarios serán los responsables de su salvaguarda y custodia. Se deberá modificar tras realizar el primer acceso y después de forma periódica según los periodos de latencia. Se evitará utilizar el nombre de usuario, familiares, amigos, etc., y variaciones sobre los mismos. Tampoco se usarán matrículas, teléfonos, repeticiones de un único carácter o cualquier otra fácilmente deducible.

Puesta en marcha del sistema:

Centrándonos en enfermería. La gestión de claves la realizan las supervisoras de servicio, de tardes, de noches o de festivos, a través de la Intranet y oficina de atención al usuario del Servicio de Informática CAU. La solicitud de la clave incluye el ámbito, grupo, rol y permisos adecuados al perfil (los roles y permisos de acceso vienen definidos por la política de seguridad del hospital), o reseteo de la clave de usuario (si previamente éste ya estuvo trabajando). A posteriori será ella la encargada o responsable de recibir las claves y de entregárselas al usuario, que deberá cambiar las contraseñas.
Cuando cesa el contrato, se realizan los mismos pasos, pero en este caso la supervisora responsable comunica al CAU la anulación de permisos y accesos.

Se informa a los usuarios de sus derechos y obligaciones con respecto al manejo de datos de carácter privado y confidencial. Así mismo se les hace firmar un documento concorde a la L.O.P.D.

4 RESULTADOS

Se consigue el 100% de implantación del proceso en los diferentes grupos profesionales, mediante claves personalizadas.

Se establecen un periodo de latencia anual, con la validación automática y gestionada por el usuario,

Existe una monitorización permanente de la trazabilidad de movimientos efectuados en los documentos, ya que ligado a cada usuario los informáticos crean una huella digital que permite la visualización del uso por parte del propietario de las claves en la aplicación informática.

CONCLUSIONES

La autenticación de los usuarios, acceso a la información a través de perfiles, la no utilización de usuarios genéricos, etc. minimiza el riesgo de vulneración de los derechos del paciente.
La visibilidad pública de: tiempo de latencia, validación según criterio de usuario, modificaciones de documentos; sensibiliza al profesional en el buen uso de la aplicación informática.
La normalización de la gestión de claves ha dotado a los profesionales de una herramienta para cumplir con las expectativas de los pacientes y con la legislación referente a protección de datos.

BIBLIOGRAFÍA

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (L.O.P.D.).

Ley 41/2002, ley básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.