Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Responsabilidad y aspectos legales de la protección de datos

20 visualizaciones

Publicado el

PEC 4 Caso Práctico 2 de la asignatura Sistema Sanitario a la SI. La salud electrónica. Posgrado Telemedicina UOC. Grupo 5

Publicado en: Atención sanitaria
  • Sé el primero en comentar

Responsabilidad y aspectos legales de la protección de datos

  1. 1. Responsabilidad y aspectos legales de la protección de datos personales en los sistemas de información sanitarios PEC_4 CASO PRÁCTICO 2 El sistema sanitario a la SI Grupo 5 Programa de Telemedicina UOC
  2. 2. Presentación del caso Somos los responsables del Sistema Informático de un centro sanitario público y queremos implementar un Proyecto que permita a los ciudadanos acceder y consultar sus datos de salud vía internet. Nuestro objetivo va a ser proporcionar un entorno que garantice una seguridad adecuada de los datos que se consultan y también de la base de datos donde se almacenan. Los accesos a través de internet garantizarán en todo momento la confidencialidad de los datos y la seguridad del sistema, teniendo en cuenta que desde nuestro centro disponemos de acceso a información propia e información externa originaria de otro centro sanitario público. Antes de poder implementar el Proyecto deberemos conocer los derechos y restricciones legales de la tipología de datos que vamos a tratar: ❑ Normativa Historia Clínica Electrónica (HCE) ❑ Ley 11/2007 de Acceso electrónico de los Ciudadanos a los Servicios Públicos ❑ LOPD
  3. 3. DERECHOS SEGÚN NORMATIVA Información al ciudadano, Ley 11/2007 (I) ✓ El ciudadano tiene derecho a relacionarse utilizando medios electrónicos con las Administraciones Públicas para obtener informaciones, realizar consultas y alegaciones, formular solicitudes, manifestar consentimiento, entablar pretensiones, efectuar pagos, realizar transacciones y oponerse a las resoluciones y actos administrativos. ✓ Derecho a elegir el canal de comunicación a través de medios electrónicos con las Administraciones Públicas. ✓ Igualdad en el acceso electrónico a los servicios. ✓ A conocer por medios electrónicos el estado de tramitación de los procedimientos en los que sean interesados. ✓ Derecho a la realización de la tramitación a través de una ventanilla única, por vía electrónica y a distancia. ✓ No aportar datos y documentos ya disponibles por la Administración por vía electrónica.
  4. 4. DERECHOS SEGÚN NORMATIVA Información al ciudadano, Ley 11/2007 (II) ✓ A obtener copias electrónicas de los documentos electrónicos que formen parte de procedimientos en los que tenga la condición de interesado. ✓ Calidad de los servicios públicos prestados por medios electrónicos. ✓ Garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros. ✓ A la conservación en formato electrónico por las Administraciones Públicas de los documentos electrónicos que formen parte de un expediente. ✓ A obtener los medios de identificación electrónica necesarios. ✓ A la utilización de otros sistemas de firma electrónica admitidos en el ámbito de las Administraciones Públicas
  5. 5. DERECHOS SEGÚN NORMATIVA Información al ciudadano, HCDSNS (I) ✓ Derecho de acceso a su HC y obtener copia de los datos (obtención de datos de manera gratuita). ✓ El acceso comprende la posibilidad de obtener la información disponible sobre el origen de sus datos de carácter personal y las comunicaciones realizadas o previstas sobre los mismos, así como si están siendo objeto de tratamiento y con qué finalidad. ✓ El acceso de la persona paciente puede realizarse también por representación debidamente acreditada de otra persona, que además deberá aportar autorización firmada del o de la paciente. ✓ En el caso de los pacientes menores de 16 años de edad el acceso a su historia clínica requerirá contar en todo caso con la autorización expresa de sus progenitores o de sus representantes legales.
  6. 6. Información al ciudadano, HCDSNS (II) ✓ Para los pacientes con incapacitación judicial, el acceso podrá hacerse por medio de la persona nombrada como su representante legal. ✓ Rectificación y cancelación de datos si éstos son incompletos, inexactos o inadecuados aunque según Ley 41/2002 existe obligación de que figure en la HC toda la información que sea trascendental. ✓ El ciudadano tiene derecho a realizar un seguimiento para verificar la legitimidad de los accesos al conjunto de sus datos. ✓ El ciudadano puede limitar el acceso a parte de sus datos de salud, aunque no es un derecho reconocido como tal ni en la LOPD ni en la legislación sanitaria (los datos ocultos nunca son borrados y el usuario puede revertir la ocultación en cualquier momento) DERECHOS SEGÚN NORMATIVA
  7. 7. Acceso a historia clínica ✓ Ley 41/2002 de Autonomía del Paciente que, en su artículo 18.1 establece el derecho de acceso a la totalidad de la historia clínica siendo sus limitaciones: ▪ Datos confidenciales de terceras personas. ▪ Anotaciones subjetivas de los profesionales participantes en su elaboración. ▪ Información que pudiera perjudicar gravemente su salud. (art. 5.4 Ley 41/2002) RESTRICCIONES SEGÚN NORMATIVA
  8. 8. ¿Cómo garantizamos que únicamente acceda quien tenga derecho a acceder? ✓Con la autenticación de los usuarios ● Profesionales • Con usuario/contraseña. • Certificado electrónico. ● Pacientes • Todo ciudadano incluido en el registro de usuarios (Base de datos de TSI de su Comunidad) y que se haya dotado de firma electrónica reconocida (o DNI electrónico), podrá acceder a los documentos electrónicos que estén disponibles, a través de la web habilitada por su Servicio de Salud, imprimirlos o descargarlos en un dispositivo de almacenamiento local. • La Tarjeta Sanitaria Individual (TSI) es el documento, necesario y suficiente, establecido legalmente para la identificación de cada ciudadano en el acceso y uso de los servicios del Sistema Nacional de Salud (SNS). • Desde la BD-TSI del SNS cada ciudadano tendrá asignado un Código de Identificación Personal CIP, único para todo el SNS que es vitalicio e intransferible, con este código se asocia de manera unívoca a la persona con sus datos administrativos y clínicos. • Se podrían habilitar otros modos de acceso como sistemas biométricos, usuario/contraseña… • El acceso a la historia clínica electrónica se realiza con total seguridad, ya que sólo el titular de los datos y los profesionales sanitarios que deban atenderle podrán acceder a esta información siempre mediante un certificado electrónico y siempre con el consentimiento expreso del paciente. REQUERIMIENTOS TÉCNICOS
  9. 9. ¿Qué precauciones deberíamos tener en relación al flujo de esta información a través de Internet? ● La encriptación de los datos. ● La seguridad a nivel enlace-red-transporte: a través del uso de redes virtuales privadas seguras. ● Garantizar la trazabilidad de los datos debe ser una prioridad, así podremos ser capaces de seguir los pasos de aquellas posibles actividades ilícitas, que se puedan llevar a cabo con el sistema. ● Aplicar la legislación en relación a la protección de la intimidad recogida en el artículo 18.1 de la Constitución REQUERIMIENTOS TÉCNICOS Artículo 104 Telecomunicaciones RD 1720/2007 Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
  10. 10. ¿Qué información deberíamos registrar de forma sistemática para garantizar la trazabilidad del sistema según especificación de la normativa? Para garantizar que la trazabilidad de nuestro sistema funciona se debería auditar el registro de accesos a la HC. En este registro debería constar como mínimo de la siguiente información: • Usuario de acceso • Fecha y hora de la consulta • Documento al que se ha tenido acceso. Estos datos deberán conservarse durante al menos 2 años Artículo 103 Registro de accesos RD 1720/2007 1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. 4. El período mínimo de conservación de los datos registrados será de dos años. 5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados. 6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias: a) Que el responsable del fichero o del tratamiento sea una persona física. b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales. La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad. TRAZABILIDAD DEL SISTEMA
  11. 11. Identificar qué procedimientos deberíamos diseñar para llevar a cabo esta funcionalidad (I) ✓ Generar usuario y contraseña personal e intransferible. ✓ Elaborar y custodiar Software de Historia Clínica en entorno seguro. ✓ Mantener nivel de seguridad de datos alto. ✓ Contraseña compleja obligando a la combinación de números y letras. El personal debe evitar guardarla en sitios visibles. ✓ Registro de las entradas a la HC por parte de los profesionales y pacientes (usuario, fecha, hora y documento consultado). ✓ La documentación debe estar disponible, ser confidencial, se debe garantizar la integridad de los documentos pudiendo ser modificados con permisos y quedando registrado. ✓ Cursos de formación de seguridad y manejo de la información para los profesionales, también sobre responsabilidad y posibles sanciones. IMPLANTACIÓN FUNCIONALIDAD
  12. 12. Identificar qué procedimientos deberíamos diseñar para llevar a cabo esta funcionalidad (II) ✓ Garantizar conexión a internet segura. ✓ Mantener programa de posibles mejoras al alcance de los profesionales y pacientes. ✓ Adoptar medidas, tanto éticas como jurídicas para evitar los accesos indebidos a la historia clínica. ✓ Aplicar medidas de seguridad física para proteger los equipos utilizados para el acceso a la información: ● Restricción de acceso a correo personal, redes sociales, descargas de ficheros o programas que pueden ser peligrosos aparte de la propia navegación para fines externos a los profesionales. ● Evitar la utilización e intercambio de USBs y CDs donde se puede hacer copias de la información y también infectar con virus el sistema. ● Evitar exponer los equipos a observadores que a través de la pantalla del pc o impresoras puedan acceder a la información privada del paciente. IMPLANTACIÓN FUNCIONALIDAD
  13. 13. 1. Agencia de Calidad del Sistema Nacional de Salud (SNS). El sistema de Historia Clinica Digital del SNS. Disponible en: https://www.msssi.gob.es/organizacion/sns/planCalidadSNS/docs/HCDSNS_Castellano.pdf 2. Ministerio de sanidad, servicios sociales e igualdad. Interoperabilidad plena de las tarjetas sanitarias. Disponible en: http://www.msssi.gob.es/organizacion/sns/planCalidadSNS/tic01.htm 3. Boletín Oficial del Estado. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Disponible en: https://www.boe.es/buscar/pdf/2007/BOE-A-2007-12352-consolidado.pdf 4. EL DERECHO DE ACCESO A LA HISTORIA CLÍNICA POR EL PACIENTE: PROPUESTA PARA LA RESERVA DE ANOTACIONES SUBJETIVAS. Macarena Sáiz Ramos Jefa de Servicio de Asesoramiento y Desarrollo Normativo David Larios Risco Letrado de la Administración de la Seguridad Social. Coordinador de los Servicios Jurídicos. Servicio de Salud de Castilla-La Mancha (SESCAM) Volumen 18, Número 1.Enero-Junio 2009 . Disponible en: https://dialnet.unirioja.es/descarga/articulo/3016224.pdf 5. Fernández-Alemán JL, Sánchez-Henarejos A, Toval A, Sánchez-García AB, Hernández-Hernández I, Fernandez-Luque L. Analysis of health professional security behaviors in a real clinical setting: an empirical study. International Journal of Medical Informatics. 2015 Jun; 84(6):454- 67. DOI: 10.1016/ j.ijmedinf.2015.01.01 6. Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Disponible en: https://www.boe.es/buscar/pdf/2002/BOE-A-2002-22188-consolidado.pdf 7. Boletín Oficial del Estado. Constitución Española. Disponible en: https://www.boe.es/buscar/pdf/1978/BOE-A-1978-31229-consolidado.pdf BIBLIOGRAFÍA
  14. 14. GRACIAS

×