Presentacion GIBBA en ExpoMedical 2012

12 SYMPOSIUM DEINFORMATICA EN SALUD

Manejo de Información de Saludde las personas

"Seguridad, integridad y confidencialidad en el manejo de la información de pacientes“

Dr. Ricardo Herrero - Lic Jorge Guerra


Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 2

• Enorme experiencia práctica que se ha ganado(Varios países – diferentes áreas y especialidades)

• Mayor complejidad de la prestación de atención de salud(eficiente y eficaz en función de los costos)

• Mayores expectativas de la población

• Avances en nuestros conocimientos sobre mejoramiento, administración y práctica clínica

CALIDAD DE ATENCION DE SALUDCALIDAD DE ATENCION DE SALUD

Resultado de la evolución de la metodología para mejorar la calidad de la atención de salud:



PRINCIPIOS DEL MEJORAMIENTO DE LA CALIDADPRINCIPIOS DEL MEJORAMIENTO DE LA CALIDAD

• Enfoque en el cliente: satisfacer sus necesidades

• Comprensión del trabajo como Procesos y Sistemas

• Trabajo en Equipo: componentes interdisciplinarios

• Prueba de cambios en los procesos y sistemas mediante el uso de datos: los datos se usan para analizar los procesos, identificar los problemas y determinar si los cambios han producido mejoras



ESTRUCTURA INSUMOSESTRUCTURA INSUMOS--PROCESOSPROCESOS--RESULTADOSRESULTADOS



• Los datos relativos a la salud de las personas han tenido siempre uncarácter estrictamente confidencial

• La información clínica debe estar protegida y disponible(Ley 26.529 – Derechos del Paciente)

• La información está expuesta a nuevos y numerosos riesgos

• La información se ha convertido uno de los principales activos estratégicos de las organizaciones: (requiere una adecuada gestión en cuanto a su seguridad)

GESTION DE LA INFORMACIONGESTION DE LA INFORMACIONDE LOS SERVICIOS DE SALUDDE LOS SERVICIOS DE SALUD



• DISPONIBILIDAD

• INTEGRIDAD

• CONFIDENCIALIDAD

SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACIONCONCEPTOS BASICOS



Disponibilidad vs Confidencialidad

SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACIONREQUISITOS REÑIDOS ENTRE SI

Necesidad de acceder a los datos registrados en

su HC

Su acceso requiere de la autorización del

paciente

Las TIC han potenciado la disponibilidad

Las TIC crearon mecanismos

p/salvaguardar la disponibilidad



SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION¿Dónde reside el verdadero nudo del problema?

EN EL PUNTO DE VISTA ORGANIZATIVO

• Definir una Estrategia Corporativa de Seguridad

• Compromiso entre Disponibilidad y Confidencialidad

• Formación y Concientización: profesionales y pacientes



HISTORIA CLINICA Y OTRAS FUENTES DE INFORMACIONHISTORIA CLINICA Y OTRAS FUENTES DE INFORMACION

• La historia clínica es la fuente de información más importante de los servicios de salud.Para garantizar su seguridad:

• Principio de calidad de la información basado en la unicidad los datos• Autorización y autenticación para su acceso• Acuerdos de Confidencialidad

• La historia administrativa es otra fuente de información• Ejemplo: el número de habitación o el consultorio en que se

atiende un paciente permite deducir el servicio médico y a través de éste especular sobre la enfermedad que sufre el paciente



MARCO LEGAL Y MEJORES PRACTICASMARCO LEGAL Y MEJORES PRACTICAS

Ley 25.326/2000 sobre Protección de Datos Personales

• Dirección Nacional de Protección de Datos Personales(www.jus.gov.ar/datos-personales.aspx )

• Registrar las Bases de Datos

• Disponer del Documento de Seguridad de Datos personales




Ley 26.529/2009 sobre Derechos del Pacienteen su relación con los Profesionales e Instituciones de Salud

• Artículo 2 inciso d): Confidencialidad

• Artículo 14: Titularidad



MARCO LEGAL Y MEJORES PRACTICASMARCO LEGAL Y MEJORES PRACTICASPrograma Nacional de Garantía de la Calidad de Atención Médica

http://www.msal.gov.ar/pngcam




Familia ISO 27000

• ISO 27001 y 2

• ISO 27799 (específica de Salud)



ACTUALIDADACTUALIDAD

• Los riesgos a la seguridad de la información de una empresa son más altos a nivel interno:

• “El 80% de los casos de incidencias a la información se realiza desde el interior de la organización”

• “Además, el 82% de estos casos son efectuados por empleados con dolo, es decir, con conocimiento de que están causando un daño a la empresa”

El Empleado, protagonista de los ataques (http://www.redusers.com/expandit)



ACTUALIDADACTUALIDADEl Empleado, protagonista de los ataques (http://www.redusers.com/expandit)

Recomendaciones:

• Definir los perfiles de acceso a la información; • Automatizar los procesos de desvinculaciones de los empleados de la org.; • Determinar password “duros”; • Obligar la renovación de contraseñas periódicamente; • Auditar las políticas aplicadas y los accesos permitidos a cada usuario; • Dejar pistas de auditoría de las acciones tomadas por el usuario; • Tratar de evitar o limitar al mínimo el uso de discos de almacenamiento

local en las PCs; • Utilizar back-up encriptadas; • y almacenar los back-up en forma replicada externamente.• Firmar acuerdos de confidencialidad



PROYECTO DE CERTIFICACION DEL MANEJO DE PROYECTO DE CERTIFICACION DEL MANEJO DE LA INFORMACION DE SALUD DE LAS PERSONASLA INFORMACION DE SALUD DE LAS PERSONAS

Misión

Elaboración de un Modelo Integrado por instrumentos y metodologías para que las instituciones de salud garanticen a sus pacientes Confidencialidad, Disponibilidad e Integridad de sus datos.

No existe un organismo que certifique Sistemas de Información en Salud



Objetivos

Elaborar un manual que contenga elementos objetivos y medibles para que las Instituciones optimicen la forma en que manejan la información de salud de las personas. El cumplimiento podría desembocar en un proceso de certificación, pero el objetivo primario es lograr una herramienta útil para los establecimientos y para las personas que allí se asisten.

Beneficiarios

Las personas objetos de la atención propietaria de los datos y las entidades depositarias de los mismos.

Resultados esperados

Disminuir los riesgos para la pérdida de confidencialidad, integridad y disponibilidad de información de salud.



Estructura del manualEstructura del manual

•• Tipo de estTipo de estáándaresndares

•• Niveles de cumplimiento y madurezNiveles de cumplimiento y madurez

•• EstEstáándaresndares

•• MetodologMetodologíía de evaluacia de evaluacióónn



CríticosSon estándares que de no cumplirse total o parcialmente, pueden causar perjuicios severos a las personas o al establecimiento.EJEMPLO: el establecimiento tiene resuelto qué otras personas, además del paciente, estén autorizadas a dar el consentimiento informado.

Centrales o nuclearesSon estándares importantes para la atención del paciente. Su cumplimiento parcial no genera perjuicios severos a las personas o al establecimiento.EJEMPLO: el establecimiento. ha desarrollado e implementado un listado de procedimientos para los que se requiere indefectiblemente el consentimiento informado.

ExtendidosSon estándares complejos para implementar, que requieren un cambio cultural y en general se vinculan al proceso de mejora continua.EJEMPLO: existe el consentimiento informado firmado por el paciente para la participación en trabajos de investigación y está suscripto por dos testigos.

Tipo de estTipo de estáándaresndares



Modelo de madurez

La evaluación establece el cumplimiento o el no cumplimiento de los estándares y define el grado de madurez respecto al no cumplimiento.

De este punto surgen las recomendaciones para la mejora.

Este concepto posibilita que un establecimiento a través de una autoevaluación pueda definir el camino a seguir para lograr el cumplimiento de los estándares y en base a la clasificación anterior pueda elaborar una estrategia.



EstEstáándaresndaresCapCapíítulo 1 Seguridad de la informacitulo 1 Seguridad de la informacióónn

• Política de seguridad de la información• Organización• Gestión de activos• Seguridad ligada con los recursos humanos• Seguridad física y del entorno• Gestión de comunicaciones y operaciones• Control de accesos• Adquisición, desarrollo y mantenimiento de sistemas• Gestión de incidentes• Gestión de la continuidad de negocio• Conformidad



CapCapíítulo 2 Datos personalestulo 2 Datos personales

• Política de privacidad • Bancos de datos inscriptos ante la DNDP• Calidad de los datos• Recolección de los datos • Cesión de datos• Confidencialidad• Actividades de publicidad directa• Transferencia entre regiones• Tratamiento de datos por cuenta de terceros• Derechos del titular del dato • Capacitación• Acatamiento de las disposiciones de la DNDP • investigaciones clínicas, farmacológicas y fármaco genéticas

EstEstáándaresndares



CapCapíítulo 3 Manejo de la informacitulo 3 Manejo de la informacióón de saludn de salud

• Política• Utilización de códigos estandarizados de diagnóstico, códigos de

procedimiento, símbolos, abreviaturas, • Definición de métodos para agregar comentarios / adiciones.• Los procesos de gestión de la información satisfacen las necesidades de

información interna y externa.• Se recopila información sobre la enfermedad del paciente o la condición

clínica y los cambios durante todo el proceso de cuidado.• Se comparte información sobre la enfermedad del paciente o condición a

través de todo el continuo de la atención a cualquier miembro que sea pertinente del personal.

• Se inicia, mantiene y pone a disposición un registro de salud de cada paciente.




Capitulo 4 ComunicaciCapitulo 4 Comunicacióón y transicin y transicióón asistencialn asistencial

• Política de comunicación• Definiciones de interoperabilidad• Modalidad de transferencia de información entres sectores• Comunicación verbal• Metodología de transmisión de información en las transiciones

asistenciales




• A través de cuestionarios• Los diferentes controles, en muchos casos son aplicables, en forma

indistinta a procedimientos automatizados o no automatizados para el manejo de información

• En caso de sistemas informáticos u otros recursos relacionados con TICs, muchos de los controles se dan por cumplidos si el establecimiento posee certificaciones que incluyan algunos o varios estándares.

• Otros estándares pueden interpretarse como cumplidos si el establecimiento posee certificación de cumplimiento de la ley de datos personales (DNDP).

• Para la certificación se requiere el cumplimiento del total de los controles, de lo contrario el dictamen genera un documento donde se específica el grado de madurez y las recomendaciones para la mejora

MetodologMetodologíía de evaluacia de evaluacióónn



Preguntas

?

Manejo de Información de Saludde las personas

"Seguridad, integridad y confidencialidad en el manejo de la información de pacientes“

Health & Medicine

Presentacion GIBBA en ExpoMedical 2012