PEC 4 – Caso Práctico 2 –El sistema Sanitario a la SI. La Salud electrónica

GRUPO 5: Rubén Andújar, Sara Giménez, Esther Parra, Lourdes Salinero y María José Vidal

2 Qué aspectos de la normativa de Protección de Datos debemos tener en cuenta

Derecho de acceso del titular de los datos Derecho a la cancelación o rectificación de datos

erróneos o no pertinentes. Derecho a la rectificación si los datos no son veraces

y exactos. Derecho de oposición al tratamiento de datos.

3 Restricción en el acceso al ciudadano en la normativa de Historia Clínica

Restricciones de acceso al ciudadano según el art. 18 de la Ley 41/2002, de14 de noviembre, reguladora de la Autonomía del paciente y de Derechos y obligaciones en materia de documentación clínica:

No comprende los datos confidenciales de terceras personas

No comprende las denominadas anotaciones subjetivas. No comprende a información que pudiera perjudicar

gravemente su salud por estado de necesidad terapéutica.

4 Ley 11/2007 de Acceso electrónico de los Ciudadanos a los Servicios Públicos

El ciudadano tiene derecho de acceder electrónicamente a las Administraciones Públicas.

Deben preservarse todas las garantías de la privacidad. La administración debe promover un régimen de identificación,

autenticación, contenido mínimo, protección jurídica, accesibilidad, disponibilidad y responsabilidad.

La Ley debe partir del principio de libertad de los ciudadanos en la elección de la vía o canal por el que quieren comunicarse con la Administración

La Administración debe recabar los datos que custodia y facilitarlos con respeto a los derechos de la LOPD.

5 Qué requerimientos técnicos habría de incorporar esta funcionalidad

Ya que la ley permite el uso de la firma electrónica, como modo de identificación seguro y confiable, siempre y cuando cumpla con la Ley 59/2003, de 19 de diciembre de Firma Electrónica, se debería impulsar el uso de DNI electrónico como medio de identificación.

Establecer como alternativa al DNI electrónico, la utilización de un usuario y contraseña propios de cada persona

Emitir certificados de cliente para las personas que puedan acceder a sus datos

¿Cómo garantizamos que sólo acceda quién tenga derecho?

6 Qué precauciones deberíamos tener en relación al flujo de esta información a través de Internet (I) Tal y como se dicta en la ley 11/2007(1), cada administración pública será

la responsable de crear la sede electrónica de la cual se va a extraer dicha información, y que debe cumplir con requisitos mínimos de identificación, autenticación, contenido mínimo, protección jurídica, accesibilidad, disponibilidad y responsabilidad.

Para facilitar descargas desde app/web o envíos por mail/mensajes push/etc, formar al personal para sensibilizarlos sobre la seguridad de la información y la vulnerabilidad de exponerla en internet aunque sea de manera no intencionada

Para evitar posibles ataques externos, debemos tener los sistemas actualizados, con la última versión de software y antivirus. Con esto, un ataque no es imposible, pero sí más difícil.

7En el caso de intercambio de información via e-mail, existe un peligro a

tener en cuenta puesto que se puede interceptar la información, enviarla a un destinatario equivocado, etc. Puesto que la comunicación

paciente-profesional sanitario es cada vez más fluida por email, se debería poner especial interés en cubrir todos los aspectos que

garanticen su seguridad como por ejemplo la encriptación de los mensajes

En este sentido adoptar medidas para no adjuntar ningún documento a un mensaje que no esté convenientemente encriptado/cifrado mediante

certificado digital o similar, proporcionar/solicitar la contraseña al paciente receptor de la información que deba introducir en el momento

de la apertura del documento (certificado digital, DNI electrónico,…)

También se puede, en vez de adjuntar informes a mail etc, proporcionar un link seguro que caduque en un período corto de tiempo

convenientemente cifrado de acceso a la documentación vía certificado digital o similar.

Qué precauciones deberíamos tener en relación al flujo de esta información a través de Internet (II)

8Qué información se debería registrar de forma sistemática para garantizar la trazabilidad del sistema según la especificación de la normativa Para datos de nivel alto, debería registrarse en un log: el usuario,

hora, fichero, tipo acceso y dato accedido Para datos de nivel bajo, medio y alto, en caso de incidencia con

los datos, se debería registrar: tipo de incidencia, fecha/hora que ha ocurrido, usuario comunicador, usuario receptor de incidencia y efectos colaterales producidos

Para datos de nivel medio y alto, en caso de incidencias con los datos, debería registrarse: procesos de recuperación de datos realizados, usuario realizador de la recuperación, datos afectados por la incidencia, datos restaurados manualmente

Para datos de nivel medio y alto, debería realizarse registro de entrada y salida de soportes informáticos que contengan información de este nivel.

9Qué procedimientos deberíamos diseñar para implantar esta funcionalidad (I)

Creación de un número de historia unívoco para cada paciente. Creación de un entorno web seguro:

Diseño y elaboración de una base de datos: Base de datos que cumpla con las normativas de Protección de

Datos en los Servicios Sanitarios. (Ej.: mySQL) Diseño y elaboración del software:

Prestando especial atención a la Protección de Datos. Entorno seguro: Cifrado.

10Qué procedimientos deberíamos diseñar para implantar esta funcionalidad (II)

Creación de un entorno web seguro: Protocolo de tratamiento de datos:

Alta o Registro, Rectificación, Eliminación, Búsqueda de datos. Los pacientes deberían entregar firmado: Solicitud de acceso a

la HCE y Consentimiento informado para la cesión de datos. Protocolo de Seguridad:

Nivel alto de seguridad (art. 88, R.D. 1720/2007). Identificación de usuarios con DNI de forma presencial. Cifrado de datos, transmisión cifrada, copia de respaldo y

procedimientos de recuperación Registro de accesos (usuario, fecha, hora, tipo de acceso,

información a la que accede)

11Qué procedimientos deberíamos diseñar para implantar esta funcionalidad (III)

Pruebas de software: Probar el entorno web con un grupo numeroso de probadores. Análisis crítico. Feedback de sugerencias de mejora y errores detectados.

Corrección de errores del entorno web. Prueba con usuarios (Proyecto Piloto):

Inicio con un pequeño número de usuarios. Feedback de sugerencias de mejora y errores detectados. Corrección de errores.

Escalabilidad y mantenimiento: Ampliación del acceso a todo el sistema sanitario. Feedback continuado de usuarios. Mantenimiento del sistema con posibilidad de mejorar, ampliar y

adaptarse a nuevas normativas.

12

Web

• Diseño entorno web seguro• Creación con nivel de seguridad alto• Identificación de usuarios con DNI• Cifrado de datos y transmisión de datos• Registro de accesos

Pruebas

• Pruebas de software• Proyecto piloto con pacientes• Feedback y corrección de errores

Mantenimiento

• Escalabilidad• Feedback y mantenimiento• Posibles modificaciones futuras

Qué procedimientos deberíamos diseñar para implantar esta funcionalidad (IV)

13 Bibliografía (I) Fernández-Alemán JL, Sánchez-Henarejos A, Toval A, Sánchez-García AB, Hernández-

Hernández I, Fernandez-Luque L. Analysis of health professional security behaviors in a real clinical setting: an empirical study . International Journal of Medical Informatics. 2015 Jun; 84(6):454-67. DOI: 10.1016/j.ijmedinf.2015.01.010

Manual de legislación europea en materia de la protección de datos: http://www.echr.coe.int/Documents/Handbook_data_protection_SPA.pdf

Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Título II.

García Ortega, Césareo, et al. La autonomía del paciente y los derechos en materia de información y documentación clínica en el contexto de la Ley 41/2002. Rev. Esp. Salud Pública 2004; 78: 469-479.

R.F. Alban, D. Feldmar, J. Gabbay, A.T. Lefor. Internet security and privacy protection for the health care professional, Curr. Surg. 62 (1) (2005) 106–110.

Rego, S. (2016, Oct 03). La falta de trazabilidad lastra la digitalización. Diario Médico. Octubre 2016. [Disponible en: http://0-search.proquest.com.cataleg.uoc.edu/docview/1825155884?accountid=15299]

De Lorenzo y Montero R, Escudero González M, Palacios González P. Guía básica para el cumplimiento de la Ley Orgánica de Protección de Datos en el sector sanitario. Star Ibérica, S.A. Madrid. 2007. http://www.delorenzoabogados.es/docs/guia_sec_san.pdf

14 Bibliografía (II)

REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. http://www.boe.es/boe/dias/2008/01/19/pdfs/A04103-04136.pdf

Fernández Luque L, Sánchez Parrado JM, Almudevar Arnal N, García Martínez A. Responsabilidad y aspectos legales de la protección de datos personales en los sistemas de información sanitarios. Máster Universitario en Telemedicina. UOC. 2016. PID_00230638.

Imagen diapo 10 extraida de: http://blog.ethosdata.com/dataroom-espanol/bid/295819/Encriptaci-n-de-datos-desde-la-perspectiva-de-un-Data-Room

Imagen diapo 11 extraida de: http://www.freepik.com/free-vector/business-feedback-concept_765210.htm

15

¡GRACIAS!